Comment tuer l’offre infonuagique québécoise en donnant nos données en pâture au gouvernement américain?

Le gouvernement pourrait privilégier les fournisseurs d’infonuagique à propriété québécoise, ce qui en garantirait la protection de la souveraineté numérique de nos données. Mais malheureusement, il semble préférer prendre le risque d’offrir nos données au gouvernement américain. Il s’agit de l’Appel d’intérêt numéro : AI-7784 : Mise en place d’offres infonuagiques – Solutions d’infrastructure-service, de plateforme-service et solutions de logiciel-service reliées et de ces annexes et addendas. Comme vous le verrez, le diable est dans les détails et ces détails quelquefois, concourent à favoriser celui-ci…

Explication

Vous le savez peut-être, le gouvernement du Québec a décidé de migrer les données du gouvernement vers l’infonuagique, communément appelé le nuage (ou le cloud). Le but de l’opération est d’économiser l’argent des contribuables et de centraliser les données afin d’augmenter l’efficacité des ministères. Ce qui est tout à fait louable et maintenant rendu nécessaire étant donné la multiplication des centres serveurs, et des technologies différentes et désuètes, qui requièrent des expertises de plus en plus diversifiées et difficiles à maintenir. Dans un reportage de TVA, nous apprenons que les données des Québécois sont à risque :

Les données de Québécois stockées dans les multiples centres de traitement sont vulnérables aux attaques informatiques, affirme le ministre délégué à la Transformation numérique, Éric Caire.

«La situation actuelle du Québec est à risque», a admis le ministre, lundi matin, en ouverture de la Semaine NumériQc, qui a lieu au Terminal de croisière, à Québec. «Il y a des brèches de sécurité».

Le Conseil du trésor a annoncé récemment son désir de placer au moins 80% des données des Québécois dans un système infonuagique appartenant à des entreprises privées comme IBM, Amazon et Microsoft. Les autres données, celles considérées comme les plus sensibles, seront protégées dans un nuage gouvernemental.

Ainsi, le gouvernement va éliminer les 457 centres de traitement informatique où sont hébergées nos données et n’en garder que deux principaux.

Pour enrayer ce problème de multiplicité des technologies et des centres de données, le gouvernement pourrait décider de développer son propre nuage, s’associer au Nuage Fédéral du Canada (comme certaines provinces le font) ou sous-contracter à l’entreprise privée l’hébergement dans le nuage de nos données. C’est cette dernière solution que le gouvernement a adoptée en faisant une demande d’appel d’intérêt en ce sens.

Le gouvernement pourrait privilégier l’offre des entreprises d’infonuagique québécoises, ou ouvrir son offre de service aux revendeurs d’infonuagique d’entreprises américaines ou à ces entreprises américaines elles-mêmes. Il semble qu’encore une fois, ce soit les entreprises américaines qui soient privilégiées.

Comment le gouvernement écarte-t-il les entreprises québécoises?

La rédaction d’appel d’intérêt est un outil permettant d’acquérir des services ou des technologies désirées par une organisation gouvernementale. Or, la rédaction d’un avis et les spécificités qui y sont exigées (à tort ou à raison) peuvent de facto, exclure des fournisseurs potentiels qui pourraient vendre ces produits et services. C’est exactement ce qui se passe avec l’appel d’intérêt d’infonuagique du gouvernement. On exige des spécifications techniques et de sécurité qui dépassent les capacités des entreprises québécoises à remplir et qui ne peuvent l’être dans les faits, que par des multinationales américaines à la Amazon, IBM ou Microsoft. On ne parle pas ici d’exigences minimales de sécurité, mais bien d’exigences maximales. Les fonctionnaires semblent s’être passé le mot pour tout faire en leur possible pour disqualifier notre offre locale avant même qu’elle puisse soumissionner… En voici quelques exemples tirés de l’addenda No6.

1. 1. Question L’exigence de 5000 serveurs virtuels et un minimum de 7 Péta octets (Po) de stockage nous apparaît comme une exigence ne pouvant être rencontrée que par 2 ou 3 fournisseurs. Afin de permettre à un plus grand nombre de fournisseurs de se qualifier et ainsi favoriser la compétition, est-ce que ces quantités de serveurs et de stockage peuvent être moindre ?

Réponse L’exigence est maintenue. Le Courtier veut qualifier des infrastructures dont l’envergure est au moins équivalente à celles de grands organismes publics. Comme mentionné à l’article AI-1.11.1 du document d’appel d’intérêt, à défaut de pouvoir qualifier des offres dans le présent appel d’intérêt, le fournisseur pourra fournir une nouvelle proposition lors de prochains appels d’intérêt.

4. Question À l’annexe 15, Exigences de sécurité, vous demandez ceci : Rapport d’audit de conformité basé sur le standard SSAE 16/SOC 2 Type II : Le fournisseur doit fournir au Courtier une copie du rapport d’audit SSAE 16/SOC 2 Type II datant d’au plus deux ans précédant la date de dépôt des réponses et attestant de la conformité à l’exigence. Nous possédons actuellement le standard SOC 2 Type I. Pour obtenir le standard Type II, nous devons avoir un historique de 12 mois à fournir en Type I. Nous sommes actuellement en cours de processus afin de l’obtenir. Accepteriez-vous que nous fournissions notre rapport actuel sous promesse de vous fournir le rapport Soc 2 Type II avant le 1er février 2020?

Réponse L’exigence est maintenue telle quelle. La présente démarche de qualification ne peut permettre aucun compromis en matière de sécurité. Un rapport d’audit de conformité basé sur le standard SSAE 16/SOC 2 Type I n’est pas conforme, que ce soit temporaire ou permanent, puisque ce rapport n’est pas jugé équivalent à la norme ISO 27001:2013. Comme mentionné à l’article AI-1.11.1 du document d’appel d’intérêt, à défaut de pouvoir qualifier des offres dans le présent appel d’intérêt, le fournisseur pourra fournir une nouvelle proposition lors de prochains appels d’intérêt.

Le marché de l’infonuagique québécois est assez récent. Il n’a pas la longévité du marché des multinationales américaines. Par contre, il se développe à une vitesse étonnante et pourra, si le gouvernement lui en donne la chance, rivaliser avec les plus grandes entreprises mondiales. Déjà, des institutions financières et des multinationales lui font confiance. Mais il semble que notre gouvernement préfère jouer les « clients difficiles » pour les disqualifier avant même que la course ne soit ouverte.

Pourquoi est-ce inquiétant?

Dans la question 1, les exigences sont telles qui si certains hébergeurs infonuagiques québécois décidaient de faire alliance et se partager le contrat, ils ne le pourraient pas. Déjà, de passer de 457 centres de traitement à cinq ou six afin de permettre à nos entreprises à soumissionner, ce serait un très grand avancement. Mais le gouvernement est intransigeant. Il n’en veut qu’un. Dans la question quatre, on comprend que certaines entreprises ont l’exigence de sécurité SSAE 16/SOC 2 Type II qui est très difficile et dispendieuse à obtenir, mais qu’ils doivent encore attendre quelques mois avant d’avoir la confirmation externe de l’accréditation. Encore une fois, le gouvernement ne veut rien savoir.

Le gouvernement aura de toute évidence le choix entre plusieurs fournisseurs ou revendeurs américains et aucune offre d’hébergeurs d’infonuagique québécois. À cause du Cloud Act, comme je l’expliquais dans mon billet Le USA Cloud act et les problèmes d’intégrité et de confidentialité des données des Québécois.

Il a été largement documenté que nos lois de protection des données personnelles ne nous protègent pas de l’intrusion possible et effective du gouvernement américain.

 

Par ailleurs, Cloud.ca prétend que :

The goal of the CLOUD act was designed to help American agencies solve the legal challenges of cross-border data collection and the application of US law in those foreign territories. The result is that this law now enables the US government to legally access data outside the US that is being managed by US companies. In effect, the data is considered under US custody & control. In addition, the same US agencies can enforce a communication ban for US companies to not disclose that the data has been collected.

Servercloudcanada.com est encore plus incisif et inquiétant quant à la prétention des pouvoirs qu’accorderait le Cloud Act

It has long been requested that the SCA become modernized. Under the CLOUD Act, American authorities can now issue a warrant or subpoena to compel U.S. based service providers to present requested data. This applies to service providers located in both the U.S. and in foreign countries such as Canada. The U.S. government has given itself the power to request data even when it breaches foreign law.

(…)
The CLOUD Act extends the reach of law enforcement, but no update has been made to the law requiring a warrant for content. Typically, officials are obliged to show a reason for investigating a suspected criminal or possible crime. But current law does not impose a standard of probable cause for electronic communications. This discrepancy has been recognized by America’s most high-ranking law enforcement officers and has been fixed in similar bills. However, the CLOUD Act remains untouched.

(…)
Some larger cloud companies can appear to be trustworthy providers if they have data centres located in Canada. But location means nothing if these companies are American-owned.

Et pour finir, la CBC disait quant à elle, ceci:

The U.S. has served notice it wants an end to measures that restrict cross-border data flows, or require the use or installation of local computing facilities. It is among the American goals for ongoing NAFTA renegotiation, posing a possible headache for Canada’s cloud-computing plans.

Conclusion

Le gouvernement pourra avoir toutes les exigences et garanties de sécurité imaginables. Si le gouvernement américain décide de venir fouiller dans ses données, ce sera à son fournisseur de le défendre, selon son bon vouloir. Il n’aura même pas la possibilité de le faire lui-même. Par contre, il pourrait aussi décider de donner une chance sérieuse à notre industrie d’infonuagique locale, la surveiller de très près et l’aider à grandir et par le fait même à consolider une expertise et des emplois ici…

PL-14 sur la transformation numérique et les données personnelles, un pas en avant pour des km de retards

C’est la semaine dernière que Monsieur Éric Caire, ministre délégué à la transformation numérique gouvernementale, a déposé le projet de loi 14 (PL-14) Loi favorisant la transformation numérique de l’administration publique. Selon le communiqué de presse du gouvernement, ce projet de loi vise à :

(…) à faciliter la mise en place de services numériques plus conviviaux et mieux adaptés aux besoins des citoyens. Il rend possible le partage d’information entre les ministères et organismes, lorsque la situation le requiert, pour améliorer la fluidité des services et simplifier l’accès aux solutions numériques gouvernementales.
Le projet de loi garantit la protection des renseignements personnels à toutes les étapes de la réalisation des projets numériques. Seuls les organismes publics spécialement désignés par le gouvernement seront autorisés à partager des renseignements personnels entre eux. L’utilisation de ces données est strictement limitée à la réalisation d’un projet d’intérêt gouvernemental, et ce, pour une durée fixe que la loi vient préciser.

C’est une étape importante et essentielle pour le développement éventuel de services gouvernementaux numériques dignes de ce nom et pour une saine prestation de service interministérielle. J’applaudis le gouvernement d’avoir fait ce premier pas. Par contre, à la lecture des prochains paragraphes, vous conviendrez comme moi qu’il s’agit en fait du strict minimum. J’imagine et je souhaite sincèrement que ce ne soit QUE le premier pas et que d’autres projets de loi viendront combler ce qui m’apparaît comme des lacunes importantes.

Les manquements évidents du PL-14

Depuis quelques années déjà, les entreprises sont soumises à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui touchent les organisations et entreprises fédérales. En gros, ils doivent colliger les informations personnelles des consommateurs dans des banques de données spécifiques, nommer une personne responsable à la face du public, maintenir l’intégrité de ces mêmes données, offrir la possibilité aux consommateurs de vérifier l’exactitude de ces données et de les faire modifier si besoin et même de les effacer si tel est son choix. De plus, les entreprises seront scrutées à l’externe et s’exposeront à des amendes pouvant être très salées, s’ils ne se conforment pas correctement à cette loi fédérale. Voici d’ailleurs les 10 principes de cette loi.

    1. Responsabilité
    2. Détermination des fins de la collecte des renseignements
    3. Consentement
    4. Limitation de la collecte
    5. Limitation de l’utilisation, de la communication et de la conservation
    6. Exactitude
    7. Mesures de sécurité
    8. Transparence
    9. Accès aux renseignements personnels
    10. Possibilité de porter plainte à l’égard du non-respect des principes

Disons qu’à la lecture du PL-14, nous constatons que le gouvernement du Québec sera vraiment très loin de ces principes qui doivent assurer une certaine pérennité du consentement du citoyen, de la vérification de l’exactitude, de la limitation de la collecte, de la sécurité, de la transparence, de l’accès, de la permission et des mécanismes de plaintes et des conséquences éventuelles de ces plaintes.

Sur mon LinkedIn dans lequel je partageais cette loi, un abonné écrivit à propos de celle-ci

Suis allé lire le projet de loi. Que dire? Épeurant de vacuité par rapport à ce qui se fait ailleurs dans les pays occidentaux en matière de collecte et partage de renseignements personnels au sein des organismes publics. Rien sur le consentement éclairé des citoyens, rien sur les nouveaux renseignements personnels (biométrie et génétique). Où est le pendant pour protéger les citoyens des dérives de l’industrie privée. Seul point positif, le CT est responsable de l’application.

Par ailleurs, je comprends un peu le bourbier dans lequel se retrouve notre gouvernement. Afin d’être capable de satisfaire aux principes que notre gouvernement fédéral demande pourtant aux entreprises canadiennes, le gouvernement devrait à tout le moins avoir une gestion centralisée de ces données, ce qu’il n’a pas, et de gérer convenablement ces mêmes données, ce qu’il ne semble pas faire non plus. Dans le plan numérique du PQ que j’avais proposé, on parlait entre autre de l’architecture X-Road pour permettre de régler certains des problèmes de partage des données gouvernementales, tout en respectant la vie privée et le choix des citoyens de partager ce qu’ils veulent bien.

On parle ici de l’architecture X-Road. Créée en Estonie, l’architecture X-Road permet aux services publics du pays de s’interconnecter afin d’échanger leurs données pour faciliter la vie des citoyens. Ce modèle a permis une coopération plus poussée entre les organisations publiques et a réduit l’utilisation du papier de façon importante. En prime, les employés de l’État peuvent désormais se concentrer sur les tâches qui nécessitent des interactions humaines. Il s’agira, pour nous, d’observer ce qui se fait partout sur la planète et de retenir les solutions qui s’appliquent le mieux chez nous.

D’ailleurs, récemment le gouvernement suggérait de migrer ces données dans le « cloud » d’une des multinationales américaines avec un appel d’offres. En plus d’être un aveu d’échec cuisant de l’infrastructure des données actuelles, ça permettrait de « pimper nos données ». Lorsque j’écris ça, je ne me réfère pas à l’expression qui a le sens d’amélioration, mais plutôt à celui qu’on prostituerait nos données sensibles à un pimp qui par la suite nous ferait chèrement payer pour l’accès granulaire et intelligent de ces mêmes données. Ce qui est tout à fait scandaleux.

Données ouvertes

Dans ce document on ne dit strictement rien sur les données ouvertes ni sur la protection des données personnelles dans les contextes municipaux. On n’y parle pas non plus de l’intelligence artificielle, de la biométrie et de toutes les avancées aussi spectaculaires qu’inquiétantes que ces mêmes données permettent désormais.

Prédation des données sur le domaine public

Saviez-vous que présentement, certaines entreprises canadiennes et québécoises offrent aux municipalités canadiennes des mobiliers urbains intelligents? Ces mobiliers permettent entre autres d’enregistrer vidéo-voix-données, des usagers qui s’en servent et des passants qui circulent autour. Moi j’ai pogné un méchant buzz en apprenant ça. D’ailleurs, je sais que certains dirigeants TI de municipalités ont été outrés de tels avancés et de réaliser que ces informations étaient retransmises, sans filtres, aux fournisseurs qui proposaient ces mobiliers. Il en est de même pour les feux de circulation intelligents qui scannent les adresses MAC qui se trouvent dans un rayon de 200 mètres de ces feux, puis revendent ses informations au plus offrant, sans que personne ne s’en inquiète. Il me semble qu’il y a là une méchante matière à légiférer. L’un des exemples éloquents des dérives possibles de ce laisser-aller législatif au profit de « bienfaiteurs intelligents et de fournisseurs de gugus de données » est l’exemple récent de Sidewalk Toronto. Un projet de ville intelligente parrainée par la bienfaitrice Alphabet, maison mère de Google. Ce projet est une « expérience » de l’établissement d’un quartier intelligent en bordure du Lac Ontario à Toronto. Il permettra à Google de recueillir et de gérer les données faciales, télémétriques, de circulation et de toutes autres données qu’il jugera importantes, sans l’autorisation des citoyens qui seront ainsi fichés, de la ville de Toronto ou du gouvernement. Vous pouvez d’ailleurs lire Bianca Wilie sauter une coche très documentée dans ses articles de Medium

Sidewalk Toronto: A Hubristic, Insulting, Incoherent Civic Tragedy Part I, Part II,
Sidewalk Toronto: It’s Time for Waterfront Toronto 3.0 — Onward and Upward
Sidewalk Toronto: Amnesia, Willful Ignorance, and the Beautiful Anti-Democratic Neighbourhood of the Future

L’innovation, la prévoyance et l’ignorance

Depuis des années, nos gouvernements se gargarisent du mot « innovation ». Depuis peu, à celui-ci s’ajoutent ceux de « intelligence artificielle », « villes intelligentes » et « données ». Je suis tout à fait enthousiaste à l’avancement de la science, à l’innovation, à l’invention et à l’adaptation aux réalités technologiques qui arrivent à grands pas. J’ai même donné de mon temps, depuis des années, à l’idée d’un plan numérique pour le Québec. J’y militais entre autres pour le principe de « prévoyance », d’adaptation de la force de travail, de réseaux adéquats, de centres de données, de bases de données ouvertes et de plusieurs autres concepts fondamentaux qui nous permettront d’entrer de plain-pied dans le XXIe siècle. J’aimerais « qu’on voit venir » avant de se mettre collectivement dans la marde. Il me semble que la légifération des données est l’une des étapes cruciales à la protection du citoyen face à des enjeux de plus en plus présents et potentiellement inquiétants. Malheureusement, j’observe qu’outre un cercle très restreint d’initiées, c’est l’ignorance de ces avantages, périls et enjeux qui nous guettent…

Presque tous les hommes, frappés par l’attrait d’un faux bien ou d’une vaine gloire, se laissent séduire, volontairement ou par ignorance, à l’éclat trompeur de ceux qui méritent le mépris plutôt que la louange.
Machiavel

Vous pourriez aussi aimer
The trouble with informed consent in smart cities
Eight smart cities that are restoring privacy and empowering citizens with data
CITIES FOR DIGITAL RIGHTS

X-Road Explainer from Tolm on Vimeo.

Le DGEQ, la protection des données personnelles et les tactiques douteuses de Québec Solidaire

Cette semaine, dans l’article de La Presse, Les partis politiques mettent vos données personnelles à risque, selon le DGEQ, on pouvait lire :

Dans son rapport, rendu quelques mois plus tard, Me Reid évoque pour la première fois le risque que des pertes, des vols ou des accès non autorisés aux banques de données des partis exposent les données personnelles des millions de Québécois qui y sont fichés.

« Les partis politiques ne peuvent tenir pour acquis qu’ils sont à l’abri des cybermenaces contre le processus démocratique. Nous sommes préoccupés par cet enjeu et nous souhaitons agir d’une manière proactive afin de prévenir les conséquences sur la vie privée des électeurs. »

– Pierre Reid, directeur général des élections

Le DGEQ a certainement raison de s’inquiéter des risques d’intrusion et ou de vol des données personnelles des québécois que peuvent détenir les partis politiques. J’ajouterais à cette inquiétude, celle de l’obtention de la permission d’utilisation des données personnelles par les partis. Toutes les organisations se doivent d’obtenir, de documenter et de sécuriser de telles permissions sauf, les partis politiques. D’ailleurs, Vincent Marissal de Québec Solidaire souhaite un encadrement strict des partis politiques mais s’inquiète plutôt de pouvoir garder « la possibilité d’entrer en contact avec les gens ».

Le député de Québec solidaire Vincent Marissal a abondé dans le même sens. Il souhaite encadrer les partis « de la manière la plus solide possible ». Il a cependant souligné un autre passage du rapport du DGEQ, qui reconnaît leurs besoins particuliers.

« Il faut garder un équilibre pour assurer que nous soyons capables, comme parti politique, d’entrer en contact avec les gens, y compris pour faire de la sollicitation, y compris pour les inviter à des événements », a-t-il dit.

Je comprends monsieur Marissal de s’inquiéter de mettre en péril « le contact avec les gens de son parti ». Et pour cause, Québec Solidaire est champion du marketing électoral douteux. En effet, cette organisation politique, plutôt que de réellement proposer des législations et autres actions politiques qui ont réellement un impact sur la vie des citoyens durant les mandats de ses élus, privilégie les fameuses pétitions. Or, ces pétitions serviront d’outil de propagande électorale subséquente. Québec Solidaire profites de « trous dans la loi » sur la protection des renseignements personnels et les documents électroniques (LPRPDE) afin de spammer les électeurs en période électorale et ce, sans avoir eu la délicatesse d’obtenir leurs consentements préalables pour recevoir leurs publicité/propagande électorale car il s’avère que les associations et partis politiques sont exempts de la loi. Est-ce illégal ? Non ce n’est l’est pas. Est-ce éthique ? J’ai de gros doutes là-dessus.

Comme vous pouvez le voir dans cet exemple récent de PÉTITION POUR UNE ASSURANCE DENTAIRE PUBLIQUE, on demande aux gens leurs nom, prénom, courriel, téléphone, code postal et signature. On omet volontairement par contre de leur demander la permission d’utiliser ces données. Ça deviendra très utile en période électoral pour spammer les électeurs.

Étonnamment, lors de la dernière campagne électorale, plusieurs personnes de Mercier m’ont averti avoir reçu des messages SMS de Québec Solidaire durant les élections, sans pour autant avoir jamais signé l’une de leurs très nombreuses pétitions. Il faut savoir que de moins en moins de gens ont un téléphone filaire et qu’ils sont plutôt des usagers de mobiles. Or, pour avoir ces numéros de téléphones, il faut soit faire une pétition, soit acheter des listes de numéros de cellulaires par code postale. Or ces listes sont interdites au Canada, mais peuvent aisément être acheté aux États-Unis. Il est donc aisé de soupçonner que c’est ce qu’a fait Québec Solidaire pour être capable de rejoindre des électeurs qui n’ont jamais signé leurs pétitions. J’ai donc fait une autre plainte officielle au DGEQ. La réponse des porte-paroles de l’organisme est sans équivoque. Nous ne pouvons rien faire pour ce cas précis, allez voir ailleurs… Voici la réponse officielle du DGEQ.

Il est aussi bon de rappeler que Québec Solidaire a aussi profité des listes de données personnelles d’Option nationale (encore une fois sans l’autorisation des gens qui avaient fournis leurs informations à option nationale) de même que les listes de l’initiative Faut qu’on se parle.

Comme quoi, la réflexion du DGEQ sur les données personnelles que détiennent les partis politiques devrait sans doute inclure aussi une réflexion sur la nécessaire obtention de permission par les électeurs, d’utiliser ces mêmes données …

Le USA Cloud act et les problèmes d’intégrité et de confidentialité des données des Québécois

Déjà, avec le USA Patriot Act, plusieurs gestionnaires qui ont à cœur la confidentialité des données personnelles et encore plus stratégiquement, la protection des secrets industriels et d’affaires choisissaient d’héberger les serveurs des organisations et entreprises au Canada, afin de limiter les ponctions extérieures à ces mêmes données. Mais avec le Clarifying Lawful Overseas Use of Data Act, mieux connu sous le nom de USA Cloud Act, les questions deviennent plus troublantes. Il a été largement documenté que nos lois de protection des données personnelles ne nous protègent pas de l’intrusion possible et effective du gouvernement américain. C’était d’ailleurs l’un des points que j’avais mis de l’avant dans le Plan numérique du Parti Québécois, lors de la dernière élection. J’y parlais de souveraineté numérique.

Doter le Québec de ses propres « fermes » de serveurs gouvernementaux, afin d’assurer sa pleine souveraineté en matière de données publiques gouvernementales.

À l’heure actuelle, il est impossible pour le gouvernement du Québec de garantir que les données sensibles des Québécois (information fiscale, de santé et autres) sont hébergées en infonuagique sur des serveurs québécois, ou selon les standards des lois québécoises.

Quelle est la controverse du Cloud Act?

(Traduit librement de ServerCloudCanada) Les autorités américaines peuvent désormais, grâce au Cloud Act, obtenir un subpoena obligeant les entreprises d’infonuagique américaines, à dévoiler aux autorités les données qu’ils requièrent. Cela s’applique à tous fournisseurs d’infonuagique américain qu’ils soient en sol américain ou dans d’autres juridictions comme disons, le Canada. Ainsi, le gouvernement américain s’arroge le droit d’accaparer des données dans des juridictions étrangères même si ces requêtes peuvent contrevenir aux lois de ces autres juridictions.

On peut donc en comprendre que même si les serveurs d’infonuagiques sont en sol canadien, ça n’aura aucune importance sur la protection des données qui sont hébergées chez des fournisseurs d’origines américaines. Qui plus est, il est même possible que les gouvernements et les propriétaires des données qui seront saisies par le gouvernement américain ne soient pas informés de ladite saisie comme le laisse entendre un article de The Verge, citant de nombreuses organisations de protection de la vie privée américaines.

A number of nonprofit groups oppose the bill on privacy grounds, including the American Civil Liberties Union, Electronic Frontier Foundation, Amnesty International, and the Open Technology Institute. The harshest criticism focuses on the new powers granted to the attorney general, who can enter into agreements with foreign countries unilaterally. Those agreements could potentially circumvent the protections of US courts. The act also wouldn’t require users or local governments to be notified when a data request is made, making meaningful oversight significantly harder.

Nonobstant cette nouvelle loi américaine, j’avais déjà fait état de la coercition de certains services de sécurité américains envers des entreprises d’hébergement canadiens dans mon billet Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer. Nos données sont donc de plus en plus en danger d’être scrutées, sans notre accord et c’est pourquoi il m’apparait judicieux, que les gouvernements du Québec et du Canada se dotent de leurs propres serveurs de données afin de protéger les données sensibles des Québécois et des Canadiens. C’est d’ailleurs le récent article L’identité des acheteurs de pot à risque L’adresse IP des Québécois qui consultent le site web de la SQDC passe par la Californie qui m’a mis la puce à l’oreille.

Vous pourriez aussi aimer

Les données personnelles des Québécois sont-elles déjà scrutées par les Américains

Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer https://www.michelleblanc.com/2013/06/14/primeur-le-chantage-des-services-secrets-americains-pour-contraindre-les-entreprises-canadiennes-a-cooperer/

Classdojo, vie privée et dangers potentiels de cet outil

Je n’avais jamais entendu parler de ClassDojo avant de recevoir le téléphone d’un parent (qui s’adonne aussi à être développeur) qui voulait savoir ce que je pensais de cet outil et des questions de vie privée qui y sont associées. Je l’ai informé de mon ignorance à propos de cette application et l’ai invité à m’envoyer un courriel avec plus de détails (ce courriel est en fin de billet). Entretemps, j’ai partagé ce statut sur mes présences sociales.

 

Un parent me téléphone, inquiet pour la vie privée de son enfant de 9 ans, dont le professeur use abondamment de l’application Classdojo.com. Vous en pensez quoi ?

 

Les réponses que j’ai reçues sont majoritairement favorables mais je demeure perplexe quant à l’outil et son utilisation. D’ailleurs, en discutant de ça avec mon amour, elle me dit que lors de sa dernière visite chez le dentiste, la technicienne lui en dit le plus grand bien et qu’elle était ravie d’avoir des nouvelles de sa fille de 7 ans aux heures, grâce à l’application. Déjà il y avait un certain malaise. Mais c’est en lisant certaines critiques que le malaise devient encore plus grand. Certains parents me disent être enchantés de pouvoir communiquer directement avec le professeur et ils n’y voient que du positif. Alors déjà je me demande pourquoi ne pouvaient-ils pas communiquer avec le professeur avant cette application ? Est-ce que le numérique viendrait suppléer à une communication déficiente ? Par ailleurs, cette application sert aussi à classer les comportements en positif et négatif. Est-ce que les professeurs ont désormais intégré le principe du Ratemyteacher ou du Ratemydoctor qui semblaient pourtant avoir été tant décrié? Ou sont-ils finalement capables d’apprécier le « classement » des comportements et appréciation des élèves tout en refusant le même type de système pour eux-mêmes (les paramètres notation publiques ou privées semblent être à la prérogative des professeurs)? Quant à moi, après une visite sur le site, mon inquiétude réside vraiment du côté des questions de la vie privée et de celles des enfants en bas âge de surcroit.

 

Vie Privée

 

L’application ClassDojo a bien une politique de vie privée, mais elle est strictement en anglais. On y dit que les professeurs doivent recevoir le consentement parental, qu’ils ont de nombreux sceaux certifiant la sécurité de l’application et qu’ils sont conformes à la RGPD européenne. Par contre, je n’ai pas trouvé comment ils s’assurent du consentement parental des parents eux-mêmes et je me questionne à savoir ce que peut bien penser le commissaire à la vie privée du Canada de ce genre d’application?

 

Modèle d’affaires

 

Le modèle d’affaires de CalssDojo en est un de freemium. C’est à dire que vous avez un éventail de fonctionnalités gratuitement en utilisant le site, mais si vous voulez élargir les fonctionnalités de l’application, cela devient payant. Un peu comme le fait Linkedin par exemple. Or, nous savons déjà depuis un bout, que si c’est gratuit, c’est que vous êtes le produit. D’ailleurs certains commentateurs dans mes médias sociaux sont  rapides à rappeler que les parents partagent déjà les photos de leurs enfants dans Facebook, alors pourquoi en faire tout un plat avec Classdojo? D’abord peut-être parce que ce n’est pas tous les parents qui font cela et que s’ils le font, c’est leur propre décision. D’ailleurs moi-même j’ai partagé les photos de petit-fils sur mon Facebook, mais je l’ai fait avec l’accord de ses parents, personne ne connait son nom de famille ou la ville dans laquelle il a grandi et j’ai maintenant cessé de le faire puisqu’en grandissant, il devient reconnaissable et que je me dois maintenant de maintenir sa vie privée.

 

Les critiques

 

De nombreuses critiques de cette application sont maintenant disponible sur le Web. Sur Wikipedia on peut lire :

 

In 2017, The London School of Economics, Parenting for a Digital Future , published a series of ethical, legal and mental health concerns related to the rapid growth of ClassDojo’s use in the classroom. In the article, Faculty of Social Sciences at the University of Stirling, Ben Williamson and Alasdair Rutherford, write about the possible conflict that the ClassDojo Company could encounter as a private for-profit company collecting and storing sensitive student behavior data. They ask if parents are being fully informed about what the ClassDojo Company intends to do with the collected student data [38]. Likewise, Williamson and Rutherford warn of a scenario where the ClassDojo Company could be sold for the data it collects and stores[38].

Williamson and Rutherford also explore the possible negative impact ClassDojo could impose on the classroom environment where they claim ClassDojo essentially acts as a classroom social media application where students face constant competition for teacher awarded ClassDojo behavior points[38]. They question whether the classroom time teachers spend on data input could potentially reduce critical face-to-face interaction between teachers and students[38]. They also warn of the possible negative impact the application can have on children’s mental health potentially creating a distressed classroom climate where student behavior is individualized to dojo points discounting larger social and environmental influences on behavior[38].

Williamson and Rutherford write that they believe when considering the serious concerns of student data protection and mental health, it is time for teachers and parents to have a transparent conversation regarding use of ClassDojo in the classroom [38].

 

Et je vous suggère de lire aussi le billet 6 reasons to reject ClassDojo

 

Voici le courriel du parent qui m’a informé de cette application:

 

Bonsoir Mme Blanc!

Merci d’avoir prit quelques minutes de votre temps pour m’écouter! J’ai vu que vous aviez publié sur Facebook à ce sujet, et j’aimerais d’abord apporté quelques précisions. À l’école de mon fiston, aucune permission ne nous a été demandé pour inscrire mon fils sur ClassDojo. Également, nous avions refusé l’an dernier que notre fils soit prit en photo, et que celles-ci puissent être utilisé par l’école. Nous avons refusé également cette année cette permission. Ça ne semble pas arrêter le prof de mon fils à notre connaissance. D’ailleurs, lorsque questionné à ce sujet, il m’a dit que je devais lui prouver qu’il ne pouvait pas ce servir de cet outil. J’ai été insulté de me faire dire ça, puisque je sais qu’une administration publique doit pouvoir justifier ses actions, et non l’inverse.

Voici ce que j’ai trouvé qui peut aller contre l’utilisation de ClassDojo. D’abord, le ministère de l’Éducation a une politique sur la protection des renseignements personnels à l’école. Je considère que tout ce qui concerne mon fils est un renseignement personnel. L’utilisation de ClassDojo par le prof est selon ses dires pour des communications avec les parents, des points pour bonne conduite, et bien sûr des photos dans la classe. Cela contreviendrait aux points 2.2 (necessité) et 2.3 (usage justifié) à la page 10 du document SEC_protect-renseign-perso.pdf en pièce-jointe. Deuxièmement, avec l’aide d’un autre parent, j’ai trouvé l’article 70.1 dans la loi sur l’accès à l’information (en pièce-jointe). Brièvement, il ne permet pas à un organisme public de confier à un tier à l’extérieur du Québec des informations personnels si les dits renseignements ne bénéficieront pas de la même protection que celles prévue par la loi. Selon ce que j’en sais, la protection serait moindre sur ClassDojo, et donc ne passerait pas le test de cet article. Ce sont les 2 principaux arguments que je compte utilisé vis-à-vis du professeur et de l’école.

Je compte envoyer mon courriel d’ici la fin de la semaine au professeur et à la direction. Il est bien dans mon intention de mettre un terme à l’utilisation de cet outil. J’apprécie énormément de vouloir prendre un peu de votre temps pour regarder ce dossier.

En terminant, j’espère ne pas vous avoir paru trop maladroit au téléphone. Ce n’est pas tous les jours qu’on peut discuter directement avec une personne médiatique qu’on admire.

Je vous remercie, et bonne fin de soirée!

 

LA PROTECTION DES RENSEIGNEMENTS PERSONNELS À L’ÉCOLE

LOI SUR L’ACCÈS AUX DOCUMENTS DES ORGANISMES PUBLICS ET SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Expedia et son ouverture à la diversité (conférence)

conference de Michelle Blanc chez Expedia
Il y a quelques mois je reçois un téléphone d’un gestionnaire d’Expedia pour faire une conférence aux employés des départements d’ingénieries des quatre coins de la planète via leur intranet sécurisé. Ma surprise est venue de la requête de ce gestionnaire (Philippe Deschenes, que je connais depuis plusieurs années puisqu’on a déjà siégé ensemble sur le comité aviseur de MCETECH). Il me demandait de parler de diversité, de l’apport des trans en technologie, de ma transition, de comment les embuches que j’ai pu rencontrer m’ont aidé à innover et de sexisme. J’étais enchantée de pouvoir parler aux employés de cette prestigieuse entreprise, mais surtout, de tenter d’exprimer comment d’être différente, au lieu d’être un poids, pouvait plutôt être un atout. Voici donc le PPT de ma conférence et MERCI à Expedia d’avoir une ouverture si évidente à la diversité, qu’elle soit culturelle, raciale, sexuelle ou de genre.


MAJ

Dans le cadre de la Journée Internationale des Femmes 2018, du 8 mars prochain, Desjardins Lab, m’invite à prononcer cette même conférence, cette fois-ci en Français, pour le bénéfice de leurs employés et des gens intéressés à l’innovation, aux enjeux LGBTQ2 ou aux droits de femmes. Vous pourrez assiter à cette conférence en vous inscrivant sur Eventbrite

Elle a eu à faire des choix très difficiles dans sa vie, dont celui de changer de sexe. Elle était déjà une personnalité médiatique connue et son changement de sexe s’est fait sous le regard des médias québécois. Elle a beaucoup perdu, mais a gagné encore plus.

Comment ses expériences personnelles l’ont inspirée à innover, à donner et à s’adapter à des événements particulièrement stressants? Comment recevoir des menaces de mort lui a permis de développer une expertise en cybercriminalité? Pourquoi y a-t-il tant de trans en technologie et dans l’armée? Qu’est-ce que d’être une femme en technologie et comment cela a-t-il un impact sur le design? Comment gérer et se réinventer tout en vivant le sexisme? Et pourquoi, à sa mort, elle sera fière d’avoir osé parler ouvertement de sa transition?

Voilà quelques-unes des questions auxquelles elle répondra dans sa conférence.


Les justiciers maléfiques du Web sont souvent des gens bin ordinaires

Nous avons souvent l’impression que les trolls et autres harceleurs du Web sont des gens anonymes et pas de vie qui n’ont de plaisir qu’à tourmenter les autres. La réalité est plus complexe, virale et malheureusement trop commune.

Ces dernières semaines, j’ai été témoin et impliquée dans certains dossiers de harcèlement en ligne, touchant des individus et entreprises. J’ai aussi pris connaissance d’un reportage de CBS Sunday Morning : Internet shaming, when mob justice goes virtual que je vous conseille fortement de consulter.

Pour vous expliquer ce qu’est l’humiliation publique sur Internet, je vous partage cette photo qui a fait plusieurs fois le tour du monde.

mère indigne du Web

Plusieurs gens que je connais et que je respecte ont partagé cette photo avec des épithètes, commentaires et menaces hors proportion. Pourtant, personne de mes amis ne connaît cette personne (dont le visage a été caché pour ne pas aggraver encore la situation). Ils ont jugés et retransmis cette photo sans avoir le contexte de celle-ci et ont jugés la dame de la photo sans la connaitre ou savoir ce qu’elle faisait réellement sur son téléphone intelligent. Cette personne est maintenant reconnue mondialement comme étant l’exemple même de la mauvaise mère obnubilée par son petit moi et la technologie. Pourtant, peut-être est-elle en train de texter à son mari pour savoir où il est ? Peut-être vient-elle de recevoir un texto auquel elle doit répondre ? Peut-être cherche-t-elle une info importante pour son enfant ? Nous n’en savons strictement rien. Mais cette pauvre dame a été néanmoins trainée dans la boue à la grandeur de la planète et devra vivre avec les répercussions psychologiques et autres, pour le reste de sa vie.

Plus près de moi, j’ai été impliquée dans divers dossiers clients qui ont vécu des crises similaires. Il s’agit d’entreprises dont un client ou des activistes n’aimant pas certaines positions de l’organisation, sont allés en ligne avec des récriminations. Ces statuts ont été partagés des dizaines de milliers de fois, la cote Google MyBusiness de ces gens a été indument baissée massivement et dans les commentaires, plusieurs menaces ont été aperçues sans que le « client/activiste soi-disant insatisfait » n’efface ces menaces et qu’il efface les commentaires qui ne « bitchaient » pas les cibles qu’il avait identifiées. Les internautes ont partagé et commenté massivement ces statuts sans se demander s’il y avait une vérité derrière les avances qui avaient été publiées.

Ces dossiers sont dans les mains de la justice aux niveaux criminel et civil et les entrepreneurs/victimes vivent encore et  vivront longtemps les retombées négatives de toute ces histoires. D’ailleurs un autre de mes clients, entrepreneurs à succès avec des dizaines de milliers de dollars de vente par an, a lui aussi partagé l’un de ces statuts incriminants. Je me demandais quelle aurait été sa réaction si sa propre entreprise avait été la cible d’une telle cabale de médisance. Je me demande aussi si chacune des personnes qui a jugé et condamné sans avoir l’autre version des entrepreneurs ciblés, avait eux aussi vécu telle aventure, comment ils se sentiraient aujourd’hui?

J’ai l’intuition que l’humiliation publique internet suit la même logique que celle de la psychologie des foules durant les manifestations. Si quelqu’un lance une brique dans une vitrine il se dépersonnalise et a l’impression que ce n’est pas lui, mais plutôt la foule qui a tiré cette brique. Comme on peut le lire dans Wikipedia :

Si l’on raisonne au niveau de l’individu, l’individu en foule acquiert trois caractères que l’on ne trouve que dans l’état de foule :

·       l’irresponsabilité. Du fait du nombre, un individu en foule peut ressentir un sentiment de « puissance invincible » et voir ses inhibitions s’effondrer. Il pourra accomplir des actions qu’il n’aurait jamais accomplies seul (par exemple, piller un magasin de façon non préméditée) : « le sentiment de responsabilité… disparaît entièrement. » Ceci vaut surtout pour les foules anonymes et hétérogènes, où l’individu, noyé dans la masse, est difficile (voire impossible) à retrouver par la suite.
·       La « contagion ». Ce que d’autres auteurs, comme David Hume, ont désigné sous le terme de sympathie et thématisé dans les relations inter-individuelles prend ici une ampleur beaucoup plus grande : une même passion agitera tous les membres de la foule avec une grande violence.
·       La suggestibilité. L’individu faisant partie de la foule voit sa conscience s’évanouir, au même titre que celle d’un hypnotisé. Il n’a plus d’opinions, ni de passions qui lui soient propres. Cela explique que des foules puissent prendre des décisions allant à l’encontre des intérêts de leurs membres, comme les Conventionnels qui lèvent leur propre immunité (ce qui leur permettra de s’envoyer les uns les autres à l’échafaud).

Dans tous les cas, il serait certainement judicieux que chacun prenne quelques instants pour regarder son propre nombril et se demande en quoi il participe à cette tendance extrêmement destructive qu’est le harcèlement collectif, la justice internet ou encore l’humiliation publique internet…

Vous pourriez aussi aimer:
Les médias sociaux sont-ils responsables d’un climat de haine sociale?

MAJ
Comme quoi je ne suis pas si pire avec mes analyses 🙂 Voici la version de la maman sur la photo
Mom Shuts Down Cyber Bullies After Man Posts Picture Of Her & Baby On Facebook

touchee

Les PDG et les menaces numériques et risques informatiques

J’ai eu la chance de collaborer à la recherche et la rédaction d’une série d’excellents articles de mon ami et client Benoît Grenier (et de sa firme Parminc). Ces articles portent sur certaines des menaces les plus importantes qui pèsent sur les entreprises et leur PDG. Que ce soit les types de menaces informatiques, les conséquences de celle-ci, l’aveuglement volontaire de certains dirigeants, le manque de communication entre les parties prenantes ou même les faiblesses que certains fournisseurs de services-conseils en cybersécurité, ces articles illustrent éloquemment comment amorcer une réflexion en profondeur de ce qui pourrait permettre une croissance continue des entreprises, ou sa perte pure et simple. Je vous suggère fortement d’en prendre connaissance…

Les CEO et l’angle mort des cybercrimes

Les CEO et les cybercrimes, les solutions

Le CEO et les risques informatiques ou pourquoi se doter d’un CRO (Chief Risk Officer)?

 

MERCI à
https://parminc.com/
http://ginasavoie.com/
http://www.benoit-grenier.com/
http://www.csircorp.com/
http://nam-hoang.com/