“It’s easier to fool people than to convince them that they had been fooled.” Mark Twain Dans mon billet La […]
L’alternative à l’endémique fraude par clic Lire la suite »
En 2006 j’écrivais au père du Web Tim Berners-Lee . Voici une traduction libre de ce que je lui écrivait (plusieurs portions anglophone de ce texte ont été traduite librement afin d’en faciliter la lecture).
Cher Monsieur Berners-Lee
Je voudrais tout d’abord bous remercier chaudement pour l’immense cadeau que vous avez fait au monde et reconnaître votre apport à cette innovation majeure qui nous a donné le Web. Je reconnais aussi que c’est surtout l’Amérique qui a contribué à son expansion internationale. Nous nous devons donc d’être reconnaissants envers vous tous.
Je suis aussi une rêveuse et je sais que quelquefois, les rêves deviennent réalité si un nombre suffisant de gens partage ce même rêve. Afin de pallier au manque de régulation du web, de l’inefficacité des législations nationales du Web qui sont confrontés aux limites géographiques de leurs territoires et afin d’être capable de protéger la neutralité du Net, j’aimerais vous partager mon utopie. Comme vous le savez, le web n’a pas de frontières, il est partagé à la grandeur de la planète et est le réceptacle de ce que nous pourrions appeler la conscience et l’inconscience collective mondiale des nombreux individus qui forment un cerveau collectif que tous partagent. Le web est donc devenu une sorte de cerveau virtuel et de mémoire virtuelle que nous devrions protéger et rendre accessible à tous. Dans le monde physique, nous avons aussi un espace collectif commun. Je parle des océans, de l’antarctique, des corps célestes et de la lune. Toutes ces entités territoriales patrimoniales ont été assujetties è des traités transnationaux qui régulent le comportement des nations et des individus auxquels ils doivent se soumettre, dans l’esprit que nous devrions les partager au bénéfice de tous, avec certaines limites. Mon utopie est donc celle-ci. Pourquoi ne déclarons-nous pas le Web comme étant un territoire transnational devant être régulé par un traité international sous l’égide d’une entité de l’ONU? C’est certainement un acte de foi, mais souvent, c’est ce à quoi servent les rêves et les utopies…
Les bases juridiques et argumentaires de cette utopie sont développés ici, dans l’adaptation d’un texte de 2001 rédigé par moi-même et Nicolas Burger pour un cours de droit des Technologies de l’information lors de notre M.Sc. commerce électronique. Il m’apparaît plus pertinent que jamais, même s’il s’agit d’une utopie. Notez aussi que lorsqu’il est écrit « commerce électronique » ou « consommateurs », cela s’adapte tout à fait aux notions plus larges du Web et des internautes, dans leurs entièreté.
Nous vous proposons de découvrir la nécessité d’avoir des lois internationales en commerce électronique via une argumentation reposant sur des analyses politiques, économiques, sur des arguments de droits et de structure. Nous terminerons notre exposé en vous proposant une brève perspective historique et une tentative d’approche nouvelle pour analyser et recadrer ces enjeux.
Nous pouvons nous apercevoir que certaines caractéristiques particulières du commerce électronique, comme la facilité et la rapidité avec lesquelles les entreprises et les consommateurs peuvent communiquer sur les produits et services et engager des transactions transfrontières, peuvent créer des situations commerciales nouvelles peu connues des consommateurs et qui peuvent menacer leurs intérêts et qu’il est donc de plus en plus important que les consommateurs et les entreprises soient informés et conscients de leurs droits et obligations relatives au marché électronique :
En effet, les règles en matière de droit applicable et de compétence juridictionnelle dans le contexte de la protection du consommateur pourraient avoir des incidences sur un large éventail de questions relatives au commerce électronique, tout comme les règles en matière de droit applicable et de compétence juridictionnelle dans d’autres contextes pourraient avoir des incidences sur la protection du consommateur.
Malgré cela, la confiance des consommateurs dans le commerce électronique est renforcée par le développement constant de mécanismes efficaces et transparents de protection des consommateurs, qui limitent la présence en ligne de comportements commerciaux frauduleux, trompeurs ou déloyaux .
«Considérant que les réseaux mondiaux devraient être ouverts et accessibles à tous les consommateurs;Considérant que les gouvernements, les entreprises, les consommateurs et leurs représentants devraient consacrer une attention particulière à la mise en place de systèmes de recours transfrontières efficaces. »
Sans portée juridique obligatoire, les recommandations du Conseil de l’OCDE ont pour objectif d’inciter les États membres de l’Organisation de Coopération et de Développement Économique à adopter des législations pour instaurer la confiance des consommateurs dans le commerce électronique. L’homogénéité des législations permettra d’assurer le développement des transactions commerciales électroniques, raison pour laquelle le Conseil de l’OCDE recommande dans ce document un certain nombre de lignes directrices en matière de commerce électronique entre entreprises et consommateurs.
Ces lignes directrices ont pour objectifs d’établir une protection transparente et efficace du consommateur ainsi que la loyauté des pratiques en matière de commerce, de publicité et de marketing, de préciser le contenu des informations en ligne, de garantir la sécurité des paiements et la protection de la vie privée, de prévoir le règlement des litiges et de contribuer à l’éducation et à la sensibilisation des consommateurs en matière de commerce électronique.
– niveau de protection équivalent pour les consommateurs qui effectuent des transactions électroniques à celui d’une vente à distance traditionnelle ;
– information claire des consommateurs, dans une langue qu’ils comprennent, sur l’identité de l’entreprise menant des activités de commerce électronique et sur les biens et services offerts ;
– information complète concernant l’offre ;
– consentement clair et transparent du consommateur ;
– délai de réflexion appropriée offert aux consommateurs;
– information sur le droit applicable au contrat et le tribunal compétent ;
– mise en place de mécanismes d’authentification ;
– mise en place de mécanismes de réclamation et d’autodiscipline ;
– sensibilisation des consommateurs ;
– développement de la coopération internationale.
À la lumière de ces recommandations, il est impératif que la communauté internationale prenne conscience du fait, que ce nouveau médium puisse encore créer des opportunités d’affaires qui nécessitent un cadre juridique stable et dirigé vers le consommateur. Comme nous pouvons l’observer dans la thèse contraire, ces règles sont pour l’instant dirigées vers le B2B et les entreprises. Nous pensons que ce n’est pas suffisant, et que la base d’un système économique repose sur le consommateur. Car les entreprises peuvent continuer à produire, mais si personne n’achète leurs services ou leurs biens, virtuels ou réels, nous tombons dans une impasse. (ex. : surproduction actuelle aux États-Unis, par exemple dans la vente d’ordinateurs. )
C’est pourquoi nous pensons que des lois internationales serviraient à rassurer et protéger le consommateur, afin de l’inciter à consommer en plus grande liberté sur le NET. Dans un contexte de globalisation des échanges actuel, il ne faut pas oublier que l’individu ne doit pas disparaître au profit de multinationales qui tentent d’uniformiser un système de plus en plus complexe et divers. Lessig prévient contre l’absence des juristes dans le débat et écrit-il,le code constitue la Constitution d’Internet et celle-ci, laissée aux intérêts de l’argent et du gouvernement américain, a déjà amorcé un glissement dangereux menant à un espace d’identification, de surveillance et de contrôle sans précédent dans l’Histoire.
C’est pourquoi nous pensons que dans le cas du commerce électronique, des lois internationales doivent réguler un marché virtuel afin de le rendre plus accessible dans son architecture actuelle.
Comme nous en avons discuté précédemment l’OCDE dans ces recommandations termine en insistant sur la nécessité de la coopération internationale et insiste sur le besoin pour la communauté de développer un consensus sur la compétence juridictionnelle et de trouver des mécanismes facilitant les recours des consommateurs. Notre conclusion quant à ces lignes directrices est qu’ils sont un pas dans la bonne direction, mais qu’il représente pour l’instant les vœux pieux de l’OCDE vers l’établissement ultérieur d’un cadre légal international, aboutissement ultime du dialogue international valorisé.
Pour démontrer notre point de vue, nous utiliserons les arguments présentés par Me Gautrais lors d’une conférence du Barreau du Québec sur les relations juridiques dans le ¨ cyberespace ¨ .
Me Gautrais nous fait valoir la prépondérance du contrat papier sur le contrat cyberspatial en ce qui a trait à la preuve. Ces arguments reposent sur la nature intemporelle, immatérielle et internationale voire anationale des contrats cyberspatiaux. En effet, le contrat cyberspatial a une nature intemporelle. Prenons l’exemple d’un grossiste en alimentation de Montréal qui s’approvisionne directement chez un distributeur de pamplemousse du Maroc et qu’ils utilisent l’EDI pour leurs transactions courantes. Lors des commandes et livraisons subséquentes, le processus s’actualise sans intervention humaine. Plusieurs mois plus tard si un retard dans la livraison ou si un pépin quelconque arrive il sera bien difficile de déterminer le moment précis où ce sous-contrat a pris forme. La nature immatérielle du contrat se présente dans l’exemple que nous venons de faire lorsque le sous-contrat est activé par l’EDI. Il n’y a pas de contact entre les intervenants vivants, ce sous-contrat n’est pas matérialisé sur papier et avec une signature et pour illustrer plus encore ce phénomène, prenons l’exemple de l’auteur :
Voici un exemple encore plus incontestable d’immatérialité.
Avec la vente et le contrat de service (accès, publicité), on retrouve typiquement sur l’Internet, le contrat de licence. Conclu en cyberespace, ce dernier contrat est entièrement dématérialisé. Les prestations respectives de la livraison de l’objet de la licence et du paiement s’effectuent sans contact physique des cocontractants ni échange concret ou matériel.
Finalement Me Gautrais nous parle d’internationalité voire d’anationalité. Il nous mentionne que 80% des contrats cyberspatiaux ne renferment pas de clause compromissoire qui ancrerait ce contrat dans une réalité géographique, voire territoriale, ce qui a pour effet de rendre ces contrats anationaux. Nous vous soulignons enfin le caractère obligatoirement international d’un contrat entre deux contractants de juridiction différente et attirons votre attention sur le formalisme contractuel qui est préconisé par Me Gautrais afin d’encadrer les relations juridiques.
La conclusion logique de ce qui précède plaide amplement en faveur de l’utilité de lois internationales pour baliser le commerce électronique. Si le contrat papier a préséance sur le contrat cybernétique comment pouvons-nous envisager avec confiance le développement du commerce électronique? La pratique courante nous indique qu’en commerce Business to business le contrat papier et les contrats-cadres d’échange EDI sont utiliser et ne font pas obstacle au développement du commerce électronique. Nous croyons cependant que pour le Business to consumer si le contrat cybernétique n’est pas efficace et efficient cela ralentira le sain développement du commerce électronique. Une autre particularité qui découle des arguments légaux de Me Gautrais et l’aspect territorial du commerce électronique. En effet, si le contrat cybernétique est immatériel, intemporel et international, voire anational où se situe son territoire, son temps et sa nationalité ?
David R. Johnson et David Post nous aide à cerner cette question. Le droit s’exerce sur un territoire, sur une juridiction. La juridiction s’exerce à l’intérieur d’une frontière. Or, dans le cyberespace il n’y a plus de frontière et nous devrions même faire l’exercice de se demander s’il y avait une frontière dans le cyberespace où serait-elle? Serait-elle à la frontière d’un état lorsque les bits traversent un conducteur fibre optique, serait-elle dans le modem de réception, dans le CPU, sur l’écran? Les auteurs nous proposent une solution : (traduction libre)
Il faudrait traiter le cyber-espace comme un « espace » distinct dans lequel le droit devrait s’appliquer de manière naturelle puisque l’entrée dans ce monde de communications numériques archivées se fait habituellement via un écran et une frontière de mots de passe. Il y a donc un lieu associé au cyberespace puisque l’accès aux messages est de nature persistante et accessible à plusieurs personnes. Vous savez quand vous êtes dans le cyberespace. Personne ne traverse ses frontières accidentellement. Pour être encore plus précis, le cybespace n’est pas un lieu homogène; les groupes, les activités et les plate-formes ont tous leur propre règle d’accès, leurs caractéristiques et distinctions qui leur sont propres. Mais la ligne qui différencie une transaction numérique et celle du monde non virtuel est aussi distincte et peut-être même plus importante que celles qui défférenties les frontières entre les différents gouvernements territoriaux. Traverser la frontière du cyberespace est un acte signifiant qui permettrait l’application d’un « droit du cyberespace » effectif pour ceux qui traversent les frontières du non numérique au numérique.
Si nous optons pour la frontière du mot de passe, déjà nous avons territoire pour lequel légiférer. Cependant ce territoire ne fait pas partie du monde physique et la tentative de légiférer ce territoire non physique ou même de tenter de contrôler le flux d’information entre ce territoire non physique et le territoire physique peut s’avérer vaine et illusoire.
Puisque l’ingénierie du web est basée sur un lieu de logique binaire, et non sur la géographie, toute tentative d’associer le lieu d’un message à un lieu physique est aussi futile que d’associer un atome à un bit. Qui plus est, les assertions de quelques autorités territoriales que ce soit qu’une activité numérique se passe sur son territoire géographique pourraient être contestées par toute autre autorité territoriale.
Et:
Puisque le contrôle du flot des électrons au travers des frontières étatiques est si difficile, un état qui chercherait à restreindre l’accès de ses citoyens à certains contenus, devra se couper complètement l’accès au web, se déconnectant lui-même du marché mondial, ou encore tenter d’imposer sa volonté sur le numérique mondial. Ce serait l’équivalent de tenter d’arrêter la route de la soie à sa frontière (au détriment de ses consommateurs et marchants locaux) ou tenter de légiférer sur l’entièreté du monde connu (à l’époque de la route de la soie).
Nous devons donc considérer le Net comme un territoire à part entière défini à partir de règles spéciales hors du contexte physique dans lequel nous nous trouvons et d’où nos lois s’appliquent. Si nous recadrons le cyberespace dans un nouveau contexte légal (international) nous pourrons plus facilement contrôler et définir les paramètres d’analyse des particularités de frontières, de temps et de matière qui influeront sur les aspects de nature intemporelle, immatérielle et internationale voire anationale des contrats cyberspatiaux dont nous parlait Me Gautrais.
Mais quel pourrait bien être ce nouveau cadre pour le cyberespace et historiquement qu’avons-nous fait devant des problèmes semblables? Encore une fois Johnson et Post nous éclairent :
Peut-être que l’analogie valorisant le plus l’idée d’un cadre juridique spécifique au cyberespace est celle de « the Law merchant », un ensemble de règles développé lors de la croissance rapide des transactions transfrontalières du moyen-âge afin de résoudre les conflits entre marchants qui ne pouvaient se régler auprès de leurs noblesses locales étant donné que les règles féodales ne s’appliquaient que sur leurs propres territoires. Les seigneurs locaux n’arrivaient pas à réguler ces sphères d’activités qu’ils comprenaient à peine et qui s’exécutaient hors de leurs frontières. La résultante de ces confusions fut l’émergence d’un nouveau système légal le Lex-Mercatoria. Les personnes qui comprenaient le plus les enjeux du commerce furent ceux qui en firent la promotion, ce qui ne remplaça pas ou ne fit pas disparaître les autres lois déjà existantes. Nous pourrions donc prétendre que c’est le même genre de phénomène qui se développe présentement dans le cyberespace.
Un autre exemple de coopération international résultant de la nature conflictuelle des intérêts nationaux pour l’exploitation d’un territoire anational est le système de traités de l’Antarctique .
L’esprit du traité est de valoriser l’utilisation pacifique de l’Antartique et d’assurer la conservation de sa faune et de sa flore et de son environnement naturel pour le plus grand bien de l’humanité.
L’intérêt de l’humanité (sous-entendons l’intérêt scientifique) est ici le leitmotiv qui a poussé les pays membres de l’ONU à définir un nouveau cadre légal qui régirait les intérêts nationaux différents sur ce territoire anational qu’est l’Antarctique. Finalement, un autre traité international a aussi tenté d’encadrer légalement un territoire anational et d’en définir les paramètres de l’utilisation commerciale. Il s’agit de : Agreement Governing the Activities of States on the Moon and Other Celestial Bodies.
Selon Ward and Partners les principes de droit spatial se résume à :
1. L’espace, incluant les corps célestes, est une province de l’humanité et sera développé au bénéfice de l’humanité;
2. L’espace, incluant les corps célestes, est libre d’être exploré, utilisé et exploité par tous;
3. Les corps célestes ne peuvent appartenir à aucune nation
4. Les corps célestes ne devront être utilisés qu’ »à des fins pacifiques; et
5. Le droit international s’étend à l’espace et aux corps célestes.
Et le traité de la lune:
1. L’étendue du droit international couvre la lune et les autres corps célestes
2. La lune et les autres corps célestes ne sont pas sujets à l’appropriation nationale au à sa souveraineté
3. Les corps célestes doivent être utilisés exclusivement à des fins pacifiques
4. Il y a une liberté d’accès à la lune à des fins scientifiques; et
5. les activités perturbant l’environnement lunaire sont prohibées.
Nous pourrions remplacé dans ces énoncés de principe les mots espace, lune et corps céleste par cyberespace et nous obtiendrions ce qui nous apparaît être un nouveau cadre légal international pouvant s’harmoniser dans le contexte du commerce électronique.
Dans ce plaidoyer en faveur de l’utilité des lois internationales pour l’encadrement du commerce électronique, nous avons insisté sur le besoin des consommateurs d’être rassurés par des mécanismes de protection internationaux. Nous avons aussi démontré la tangente procoopération internationale de l’OCDE pour le développement d’un nouveau cadre légal international. Nous avons aussi démontré par l’argumentaire de Me Gautrais, l’inefficacité du contrat cybernétique dans le contexte international. Nous avons prouvé grâce à Johnson et Post les limites structurelles de droit sur la nouvelle frontière de l’internet et nous avons illustré comment historiquement l’humanité a innové pour créer un nouveau cadre lorsque la territorialité d’un nouvel espace ne correspond pas au critère juridictionnel jusqu’alors existant.
Épilogue philosophique
Le cyberespace n’a pas de frontière, l’ONU non plus; le cyberespace est une création virtuelle, l’ONU aussi. Le cyberespace en lui-même et certains sites font désormais partie du patrimoine mondial comme d’ailleurs plusieurs sites écologiques, historiques ou même marins. L’héritage intellectuel, technologique et multimédia de même que divers bienfaits économiques, sociaux, culturels (et j’en passe) que le cyberespace apporte et apportera, appartient à tous et nous devons participer à l’élaboration des moyens de le protéger. Il ne faudrait pas que nos gouvernements capitulent devant la montagne de travail qu’il reste à faire ou pire, devant les pressions américaines. Je valorise la création spécifique d’une agence Onusienne à cette fin, car l’ampleur de la tâche à accomplir et les liens déjà douteux de certaines agences existantes avec des acteurs majeurs du monde internet et du gouvernement américain le justifient amplement. J’anticipe le plaisir de recevoir et d’envoyer des messages Gmail sans avoir à me soucier de l’interception de ceux-ci par un état sur lequel les politiciens qui me représentent n’ont aucun pouvoir d’intervention législatif, exécutif ou judiciaire.
Une utopie qui permettrait un cadre juridique international du cyberespace Lire la suite »
Comme j’ai été moi-même, à plusieurs reprises, victime de cyberharcèlement (j’ai fait condamner trois de mes harceleurs), j’ai développé une expertise pour les enquêtes numériques. En fait, il s’agit d’une série d’astuces, d’outils et de processus permettant de récolter des informations pouvant garnir un dossier de preuves pouvant servir un dossier de poursuite civile ou criminelle. Ces techniques sont tout à fait légales et se retrouvent sous l’appellation de « white hat » (chapeau blanc).
Un white hat (en français : « chapeau blanc ») est un hacker éthique ou un expert en sécurité informatique qui réalise des tests d’intrusion et d’autres méthodes de test afin d’assurer la sécurité des systèmes d’information d’une organisation. Par définition, les « white hats » avertissent les auteurs lors de la découverte de vulnérabilités. Ils s’opposent aux black hats, qui sont les hackers mal intentionnés.
L’une des bibles des techniques d’enquête Open source est le livre Open Source Intelligence Techniques de Michael Bazzell. Or, depuis cet été, Monsieur Bazzell et les enquêteurs virtuels ont beaucoup plus de difficulté à colliger des informations pertinentes sur la Plate Forme Facebook. C’est que depuis le mois de juillet, Facebook a pratiquement fermé tous les accès à son outil de Graph Search. Nous pouvons certes toujours colliger des informations sur Facebook, mais cela se fera manuellement au lieu de jouir de l’algorithme de recherche et de la capacité à faire des recherches spécifiques croisées. Une recherche croisée est par exemple d’être capable de voir en un coup d’œil tous les commentaires qu’un usager X aurait faits sur les statuts, photos et autres éléments d’un profil d’usagers Y. Comme Facebook est une machine très viral pour propager la haine et les cybercrimes, disons que c’est une mauvaise nouvelle pour ceux qui luttent éthiquement contre ceux- ci. Mais de toute évidence, les crimes ne se font pas que sur Facebook et les techniques d’investigation (tout comme les développeurs d’applications) se doivent de s’adapter aux très nombreux changements des accès, des algorithmes ou des politiques d’utilisation des principaux outils sociaux. C’est juste qu’après un tel changement, ce sera désormais beaucoup plus difficile d’exercer le même travail avec des résultats d’autant plus ardus.
Pour vous donner une idée de certaines des nombreuses techniques qui peuvent être utilisées par quelqu’un qui fait ce que l’on nomme OSINT Open source intelligence technique, voici une photo d’un processus permettant de valider une adresse de courriel ou pour trouver les informations de son propriétaire.
Open source est le livre open Source Intelligence Techniques, Sixth Edition, Maichael Bazzell, p. 445
Les enquêtes « open source » et la perte du Graph Search de Facebook Lire la suite »
Dans un média qui se veut sérieux comme Direction informatique, il est surprenant de lire une infopub pro Amazon Web Services, déguisée en article de fond. Surtout que cette semaine, c’est la commission parlementaire qui discute justement de la possibilité de migrer les données personnelles des entreprises et citoyens québécois, sur de telles plateformes.
Je parle de l’article Avons-nous raison d’être frileux envers le cloud? Cet article est rédigé par Mark Nunnikhoven, vice-président de la recherche sur le cloud chez Trend Micro qui dit-on, serait « héros de la communauté AWS ».
L’article débute par écarter les joueurs québécois d’infonuagique en prétendant qu’ils seraient trop petits pour soumissionner en infonuagique. Pourtant, je connais Sherweb et MicroLogic qui seraient tout à fait capables d’aider l’hébergement infonuagique québécois.
Par la suite, l’auteur y va de demi-vérité. Il affirme que :
Malgré ces avantages évidents, j’entends encore des organisations brandir la menace du CLOUD act, ou d’autres mesures législatives pour justifier qu’elles ne peuvent construire dans le nuage. Il est tout à fait normal d’être réfractaire au changement et de repousser les idées nouvelles, surtout celles qui remettent en question les croyances de longue date.
Heureusement, le Commissaire à la protection de la vie privée s’est exprimé sur le sujet en déclarant que cette crainte n’est pas fondée. Si vous stockez et traitez des données canadiennes à l’extérieur du pays, votre devoir est d’informer vos utilisateurs de cette pratique. Mais comme des régions canadiennes sont disponibles depuis 2016, déplacer ces données à l’extérieur du pays ne devrait même plus faire partie de vos pratiques.
Il oublie cependant d’ajouter qu’avec le Cloud Act, c’est au fournisseur américain de défendre l’accès des données en sol Canadien si une requête de sécurité des agences américaines demandaient l’accès aux données hébergée ici. Ainsi donc, le gouvernement du Québec devrait s’en remettre à la bonne volonté et à l’expertise d’une tierce partie, en l’occurrence, le fournisseur américain, pour protéger nos données. Si on se fit à l’historique de protection des données de ces entreprises, disons qu’il y a de quoi avoir le poil qui nous retrousse sur les bras.
Ensuite, l’auteur nous parle de cryptage comme solution à une « peur non-fondée ».
Peu importe la situation, le cryptage demeure votre meilleur allié. Si vous cryptez vos données, en transit et au repos, il est impossible d’y avoir accès sans la clé de déchiffrement. Aucun fournisseur infonuagique ne vous obligera à leur remettre votre clé de déchiffrement. Vous décidez qui y a accès, et qui contrôle ces accès.
Encore une fois, par méconnaissance ou carrément par propagande commerciale, il oublie ici de dire que les fameuses clés de cryptage, sont loin d’être hermétique au gouvernement américain. En fait, le cryptage étant considérée comme étant aussi sensible que « de l’armement », aucun cryptage n’existe sans que le gouvernement n’y ait de « back door ». C’est ce que l’on nomme la « guerre de la cryptographie » ou « crypto wars » en anglais. Ainsi, comme on le note dans Wikipédia :
En 2009, les exportations de cryptographie non militaire depuis les États-Unis sont régulées par le Bureau of Industry and Security du département du Commerce 9. Certaines restrictions demeurent, même pour les produits grand public, en particulier en ce qui concerne les prétendus État voyous et les organisations terroristes. Le matériel de chiffrement militarisé, l’électronique certifiée TEMPEST, les logiciels cryptographiques spécialisés, et même les services de conseil cryptographique sont toujours soumis à licence9 (p. 6–7). De plus, l’enregistrement auprès du BIS est exigée par l’exportation de « produits de chiffrement pour le marché public, les logiciels et les composantes dont le chiffrement dépasse 64 bits » 10. D’autres éléments demandent aussi un examen par le BIS, ou une information du BIS, avant l’export dans la plupart des pays9. Par exemple, le BIS doit être informé avant la mise à disposition du public de logiciels de cryptographie open source sur Internet, encore que l’examen ne soit pas exigé 11. Ainsi, les règles à l’export se sont assouplies depuis 1996, mais restent complexes9.
D’autres pays, en particulier les parties à l’arrangement de Wassenaar 12, ont des restrictions similaires 13.
Comme quoi c’est bien beau pousser pour sa business, mais il y a des limites à peindre la réalité en rose…
Vous pourriez relire la conclusion de mon billet Les médias découvrent que BlackBerry de RIM n’est pas impénétrable, Petit réveil matinal (wake-up call)
Il est donc d’un impératif de « sécurité nationale » que les systèmes de cryptages soient limpides aux autorités gouvernementales et donc, qu’elles y ai accès. Les gouvernements étrangers vont faire des pieds et des mains pour avoir accès à tous systèmes de cryptages qui sont utilisés sur leur territoire et dont ils n’ont pas les clés. Le montréalais Austin Hill, le fondateur du défunt Zero Knowledge System a déjà été traité d’ennemi d’état parce qu’il avait développé un système de cryptographie personnelle impénétrable par les services secrets. Officiellement, son entreprise s’est redéployée pour offrir des services de sécurités aux entreprises de télécommunications parce que les consommateurs n’étaient pas prêts à payer pour l’anonymat sur le Web
Others aren’t convinced. Austin Hill, one of the founders of Zero-Knowledge Systems and now CEO of Akoha.org, says most people remain unaware of what happens to their information online — and unwilling to make sacrifices to protect it.
“Ask people if they care about the environment they’ll say yes, but they’re not willing to give up their SUVs,” says Hill. “Ask if they care about privacy, they’ll say yes, absolutely, but I will not take down my MySpace page with my 400 friends on it because that’s how I socialize. They’re very unaware that these pages get indexed, archived, and become part of their public record.
“I hate to say this, because I am a big fan of privacy,” Hill adds. “But I think as a society we are redefining our understanding of what ‘privacy’ means, and unfortunately not for the better.”Mais des rumeurs persistantes soutiennent qu’il a plutôt été forcé à ce redéploiement par diverses pressions de natures étatiques…
Vous pourriez aussi aimé lire mes billets ou les articles
Le USA Cloud act et les problèmes d’intégrité et de confidentialité des données des Québécois
PL-14 sur la transformation numérique et les données personnelles, un pas en avant pour des km de retards
Cryptographie quantique…une réalité!
Les médias découvrent que BlackBerry de RIM n’est pas impénétrable, Petit réveil matinal (wake-up call)
Amazon déploie 20 lobbyiste au québec
Des cours gratuits d’Amazon aux fonctionnaires québécois
Amazon accusé de faire du «lobbyisme caché»
Surprise de lire une infopub infonuagique AWS chez Direction Informatique Lire la suite »
Le gouvernement pourrait privilégier les fournisseurs d’infonuagique à propriété québécoise, ce qui en garantirait la protection de la souveraineté numérique de nos données. Mais malheureusement, il semble préférer prendre le risque d’offrir nos données au gouvernement américain. Il s’agit de l’Appel d’intérêt numéro : AI-7784 : Mise en place d’offres infonuagiques – Solutions d’infrastructure-service, de plateforme-service et solutions de logiciel-service reliées et de ces annexes et addendas. Comme vous le verrez, le diable est dans les détails et ces détails quelquefois, concourent à favoriser celui-ci…
Explication
Vous le savez peut-être, le gouvernement du Québec a décidé de migrer les données du gouvernement vers l’infonuagique, communément appelé le nuage (ou le cloud). Le but de l’opération est d’économiser l’argent des contribuables et de centraliser les données afin d’augmenter l’efficacité des ministères. Ce qui est tout à fait louable et maintenant rendu nécessaire étant donné la multiplication des centres serveurs, et des technologies différentes et désuètes, qui requièrent des expertises de plus en plus diversifiées et difficiles à maintenir. Dans un reportage de TVA, nous apprenons que les données des Québécois sont à risque :
Les données de Québécois stockées dans les multiples centres de traitement sont vulnérables aux attaques informatiques, affirme le ministre délégué à la Transformation numérique, Éric Caire.
«La situation actuelle du Québec est à risque», a admis le ministre, lundi matin, en ouverture de la Semaine NumériQc, qui a lieu au Terminal de croisière, à Québec. «Il y a des brèches de sécurité».
Le Conseil du trésor a annoncé récemment son désir de placer au moins 80% des données des Québécois dans un système infonuagique appartenant à des entreprises privées comme IBM, Amazon et Microsoft. Les autres données, celles considérées comme les plus sensibles, seront protégées dans un nuage gouvernemental.
Ainsi, le gouvernement va éliminer les 457 centres de traitement informatique où sont hébergées nos données et n’en garder que deux principaux.
Pour enrayer ce problème de multiplicité des technologies et des centres de données, le gouvernement pourrait décider de développer son propre nuage, s’associer au Nuage Fédéral du Canada (comme certaines provinces le font) ou sous-contracter à l’entreprise privée l’hébergement dans le nuage de nos données. C’est cette dernière solution que le gouvernement a adoptée en faisant une demande d’appel d’intérêt en ce sens.
Le gouvernement pourrait privilégier l’offre des entreprises d’infonuagique québécoises, ou ouvrir son offre de service aux revendeurs d’infonuagique d’entreprises américaines ou à ces entreprises américaines elles-mêmes. Il semble qu’encore une fois, ce soit les entreprises américaines qui soient privilégiées.
Comment le gouvernement écarte-t-il les entreprises québécoises?
La rédaction d’appel d’intérêt est un outil permettant d’acquérir des services ou des technologies désirées par une organisation gouvernementale. Or, la rédaction d’un avis et les spécificités qui y sont exigées (à tort ou à raison) peuvent de facto, exclure des fournisseurs potentiels qui pourraient vendre ces produits et services. C’est exactement ce qui se passe avec l’appel d’intérêt d’infonuagique du gouvernement. On exige des spécifications techniques et de sécurité qui dépassent les capacités des entreprises québécoises à remplir et qui ne peuvent l’être dans les faits, que par des multinationales américaines à la Amazon, IBM ou Microsoft. On ne parle pas ici d’exigences minimales de sécurité, mais bien d’exigences maximales. Les fonctionnaires semblent s’être passé le mot pour tout faire en leur possible pour disqualifier notre offre locale avant même qu’elle puisse soumissionner… En voici quelques exemples tirés de l’addenda No6.
1. 1. Question L’exigence de 5000 serveurs virtuels et un minimum de 7 Péta octets (Po) de stockage nous apparaît comme une exigence ne pouvant être rencontrée que par 2 ou 3 fournisseurs. Afin de permettre à un plus grand nombre de fournisseurs de se qualifier et ainsi favoriser la compétition, est-ce que ces quantités de serveurs et de stockage peuvent être moindre ?
Réponse L’exigence est maintenue. Le Courtier veut qualifier des infrastructures dont l’envergure est au moins équivalente à celles de grands organismes publics. Comme mentionné à l’article AI-1.11.1 du document d’appel d’intérêt, à défaut de pouvoir qualifier des offres dans le présent appel d’intérêt, le fournisseur pourra fournir une nouvelle proposition lors de prochains appels d’intérêt.
4. Question À l’annexe 15, Exigences de sécurité, vous demandez ceci : Rapport d’audit de conformité basé sur le standard SSAE 16/SOC 2 Type II : Le fournisseur doit fournir au Courtier une copie du rapport d’audit SSAE 16/SOC 2 Type II datant d’au plus deux ans précédant la date de dépôt des réponses et attestant de la conformité à l’exigence. Nous possédons actuellement le standard SOC 2 Type I. Pour obtenir le standard Type II, nous devons avoir un historique de 12 mois à fournir en Type I. Nous sommes actuellement en cours de processus afin de l’obtenir. Accepteriez-vous que nous fournissions notre rapport actuel sous promesse de vous fournir le rapport Soc 2 Type II avant le 1er février 2020?
Réponse L’exigence est maintenue telle quelle. La présente démarche de qualification ne peut permettre aucun compromis en matière de sécurité. Un rapport d’audit de conformité basé sur le standard SSAE 16/SOC 2 Type I n’est pas conforme, que ce soit temporaire ou permanent, puisque ce rapport n’est pas jugé équivalent à la norme ISO 27001:2013. Comme mentionné à l’article AI-1.11.1 du document d’appel d’intérêt, à défaut de pouvoir qualifier des offres dans le présent appel d’intérêt, le fournisseur pourra fournir une nouvelle proposition lors de prochains appels d’intérêt.
Le marché de l’infonuagique québécois est assez récent. Il n’a pas la longévité du marché des multinationales américaines. Par contre, il se développe à une vitesse étonnante et pourra, si le gouvernement lui en donne la chance, rivaliser avec les plus grandes entreprises mondiales. Déjà, des institutions financières et des multinationales lui font confiance. Mais il semble que notre gouvernement préfère jouer les « clients difficiles » pour les disqualifier avant même que la course ne soit ouverte.
Pourquoi est-ce inquiétant?
Dans la question 1, les exigences sont telles qui si certains hébergeurs infonuagiques québécois décidaient de faire alliance et se partager le contrat, ils ne le pourraient pas. Déjà, de passer de 457 centres de traitement à cinq ou six afin de permettre à nos entreprises à soumissionner, ce serait un très grand avancement. Mais le gouvernement est intransigeant. Il n’en veut qu’un. Dans la question quatre, on comprend que certaines entreprises ont l’exigence de sécurité SSAE 16/SOC 2 Type II qui est très difficile et dispendieuse à obtenir, mais qu’ils doivent encore attendre quelques mois avant d’avoir la confirmation externe de l’accréditation. Encore une fois, le gouvernement ne veut rien savoir.
Le gouvernement aura de toute évidence le choix entre plusieurs fournisseurs ou revendeurs américains et aucune offre d’hébergeurs d’infonuagique québécois. À cause du Cloud Act, comme je l’expliquais dans mon billet Le USA Cloud act et les problèmes d’intégrité et de confidentialité des données des Québécois.
Il a été largement documenté que nos lois de protection des données personnelles ne nous protègent pas de l’intrusion possible et effective du gouvernement américain.
Par ailleurs, Cloud.ca prétend que :
The goal of the CLOUD act was designed to help American agencies solve the legal challenges of cross-border data collection and the application of US law in those foreign territories. The result is that this law now enables the US government to legally access data outside the US that is being managed by US companies. In effect, the data is considered under US custody & control. In addition, the same US agencies can enforce a communication ban for US companies to not disclose that the data has been collected.
Servercloudcanada.com est encore plus incisif et inquiétant quant à la prétention des pouvoirs qu’accorderait le Cloud Act
It has long been requested that the SCA become modernized. Under the CLOUD Act, American authorities can now issue a warrant or subpoena to compel U.S. based service providers to present requested data. This applies to service providers located in both the U.S. and in foreign countries such as Canada. The U.S. government has given itself the power to request data even when it breaches foreign law.
(…)
The CLOUD Act extends the reach of law enforcement, but no update has been made to the law requiring a warrant for content. Typically, officials are obliged to show a reason for investigating a suspected criminal or possible crime. But current law does not impose a standard of probable cause for electronic communications. This discrepancy has been recognized by America’s most high-ranking law enforcement officers and has been fixed in similar bills. However, the CLOUD Act remains untouched.(…)
Some larger cloud companies can appear to be trustworthy providers if they have data centres located in Canada. But location means nothing if these companies are American-owned.
Et pour finir, la CBC disait quant à elle, ceci:
The U.S. has served notice it wants an end to measures that restrict cross-border data flows, or require the use or installation of local computing facilities. It is among the American goals for ongoing NAFTA renegotiation, posing a possible headache for Canada’s cloud-computing plans.
Conclusion
Le gouvernement pourra avoir toutes les exigences et garanties de sécurité imaginables. Si le gouvernement américain décide de venir fouiller dans ses données, ce sera à son fournisseur de le défendre, selon son bon vouloir. Il n’aura même pas la possibilité de le faire lui-même. Par contre, il pourrait aussi décider de donner une chance sérieuse à notre industrie d’infonuagique locale, la surveiller de très près et l’aider à grandir et par le fait même à consolider une expertise et des emplois ici…
C’est la semaine dernière que Monsieur Éric Caire, ministre délégué à la transformation numérique gouvernementale, a déposé le projet de loi 14 (PL-14) Loi favorisant la transformation numérique de l’administration publique. Selon le communiqué de presse du gouvernement, ce projet de loi vise à :
(…) à faciliter la mise en place de services numériques plus conviviaux et mieux adaptés aux besoins des citoyens. Il rend possible le partage d’information entre les ministères et organismes, lorsque la situation le requiert, pour améliorer la fluidité des services et simplifier l’accès aux solutions numériques gouvernementales.
Le projet de loi garantit la protection des renseignements personnels à toutes les étapes de la réalisation des projets numériques. Seuls les organismes publics spécialement désignés par le gouvernement seront autorisés à partager des renseignements personnels entre eux. L’utilisation de ces données est strictement limitée à la réalisation d’un projet d’intérêt gouvernemental, et ce, pour une durée fixe que la loi vient préciser.
C’est une étape importante et essentielle pour le développement éventuel de services gouvernementaux numériques dignes de ce nom et pour une saine prestation de service interministérielle. J’applaudis le gouvernement d’avoir fait ce premier pas. Par contre, à la lecture des prochains paragraphes, vous conviendrez comme moi qu’il s’agit en fait du strict minimum. J’imagine et je souhaite sincèrement que ce ne soit QUE le premier pas et que d’autres projets de loi viendront combler ce qui m’apparaît comme des lacunes importantes.
Les manquements évidents du PL-14
Depuis quelques années déjà, les entreprises sont soumises à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui touchent les organisations et entreprises fédérales. En gros, ils doivent colliger les informations personnelles des consommateurs dans des banques de données spécifiques, nommer une personne responsable à la face du public, maintenir l’intégrité de ces mêmes données, offrir la possibilité aux consommateurs de vérifier l’exactitude de ces données et de les faire modifier si besoin et même de les effacer si tel est son choix. De plus, les entreprises seront scrutées à l’externe et s’exposeront à des amendes pouvant être très salées, s’ils ne se conforment pas correctement à cette loi fédérale. Voici d’ailleurs les 10 principes de cette loi.
Disons qu’à la lecture du PL-14, nous constatons que le gouvernement du Québec sera vraiment très loin de ces principes qui doivent assurer une certaine pérennité du consentement du citoyen, de la vérification de l’exactitude, de la limitation de la collecte, de la sécurité, de la transparence, de l’accès, de la permission et des mécanismes de plaintes et des conséquences éventuelles de ces plaintes.
Sur mon LinkedIn dans lequel je partageais cette loi, un abonné écrivit à propos de celle-ci
Suis allé lire le projet de loi. Que dire? Épeurant de vacuité par rapport à ce qui se fait ailleurs dans les pays occidentaux en matière de collecte et partage de renseignements personnels au sein des organismes publics. Rien sur le consentement éclairé des citoyens, rien sur les nouveaux renseignements personnels (biométrie et génétique). Où est le pendant pour protéger les citoyens des dérives de l’industrie privée. Seul point positif, le CT est responsable de l’application.
Par ailleurs, je comprends un peu le bourbier dans lequel se retrouve notre gouvernement. Afin d’être capable de satisfaire aux principes que notre gouvernement fédéral demande pourtant aux entreprises canadiennes, le gouvernement devrait à tout le moins avoir une gestion centralisée de ces données, ce qu’il n’a pas, et de gérer convenablement ces mêmes données, ce qu’il ne semble pas faire non plus. Dans le plan numérique du PQ que j’avais proposé, on parlait entre autre de l’architecture X-Road pour permettre de régler certains des problèmes de partage des données gouvernementales, tout en respectant la vie privée et le choix des citoyens de partager ce qu’ils veulent bien.
On parle ici de l’architecture X-Road. Créée en Estonie, l’architecture X-Road permet aux services publics du pays de s’interconnecter afin d’échanger leurs données pour faciliter la vie des citoyens. Ce modèle a permis une coopération plus poussée entre les organisations publiques et a réduit l’utilisation du papier de façon importante. En prime, les employés de l’État peuvent désormais se concentrer sur les tâches qui nécessitent des interactions humaines. Il s’agira, pour nous, d’observer ce qui se fait partout sur la planète et de retenir les solutions qui s’appliquent le mieux chez nous.
D’ailleurs, récemment le gouvernement suggérait de migrer ces données dans le « cloud » d’une des multinationales américaines avec un appel d’offres. En plus d’être un aveu d’échec cuisant de l’infrastructure des données actuelles, ça permettrait de « pimper nos données ». Lorsque j’écris ça, je ne me réfère pas à l’expression qui a le sens d’amélioration, mais plutôt à celui qu’on prostituerait nos données sensibles à un pimp qui par la suite nous ferait chèrement payer pour l’accès granulaire et intelligent de ces mêmes données. Ce qui est tout à fait scandaleux.
Données ouvertes
Dans ce document on ne dit strictement rien sur les données ouvertes ni sur la protection des données personnelles dans les contextes municipaux. On n’y parle pas non plus de l’intelligence artificielle, de la biométrie et de toutes les avancées aussi spectaculaires qu’inquiétantes que ces mêmes données permettent désormais.
Prédation des données sur le domaine public
Saviez-vous que présentement, certaines entreprises canadiennes et québécoises offrent aux municipalités canadiennes des mobiliers urbains intelligents? Ces mobiliers permettent entre autres d’enregistrer vidéo-voix-données, des usagers qui s’en servent et des passants qui circulent autour. Moi j’ai pogné un méchant buzz en apprenant ça. D’ailleurs, je sais que certains dirigeants TI de municipalités ont été outrés de tels avancés et de réaliser que ces informations étaient retransmises, sans filtres, aux fournisseurs qui proposaient ces mobiliers. Il en est de même pour les feux de circulation intelligents qui scannent les adresses MAC qui se trouvent dans un rayon de 200 mètres de ces feux, puis revendent ses informations au plus offrant, sans que personne ne s’en inquiète. Il me semble qu’il y a là une méchante matière à légiférer. L’un des exemples éloquents des dérives possibles de ce laisser-aller législatif au profit de « bienfaiteurs intelligents et de fournisseurs de gugus de données » est l’exemple récent de Sidewalk Toronto. Un projet de ville intelligente parrainée par la bienfaitrice Alphabet, maison mère de Google. Ce projet est une « expérience » de l’établissement d’un quartier intelligent en bordure du Lac Ontario à Toronto. Il permettra à Google de recueillir et de gérer les données faciales, télémétriques, de circulation et de toutes autres données qu’il jugera importantes, sans l’autorisation des citoyens qui seront ainsi fichés, de la ville de Toronto ou du gouvernement. Vous pouvez d’ailleurs lire Bianca Wilie sauter une coche très documentée dans ses articles de Medium
Sidewalk Toronto: A Hubristic, Insulting, Incoherent Civic Tragedy Part I, Part II,
Sidewalk Toronto: It’s Time for Waterfront Toronto 3.0?—?Onward and Upward
Sidewalk Toronto: Amnesia, Willful Ignorance, and the Beautiful Anti-Democratic Neighbourhood of the Future
L’innovation, la prévoyance et l’ignorance
Depuis des années, nos gouvernements se gargarisent du mot « innovation ». Depuis peu, à celui-ci s’ajoutent ceux de « intelligence artificielle », « villes intelligentes » et « données ». Je suis tout à fait enthousiaste à l’avancement de la science, à l’innovation, à l’invention et à l’adaptation aux réalités technologiques qui arrivent à grands pas. J’ai même donné de mon temps, depuis des années, à l’idée d’un plan numérique pour le Québec. J’y militais entre autres pour le principe de « prévoyance », d’adaptation de la force de travail, de réseaux adéquats, de centres de données, de bases de données ouvertes et de plusieurs autres concepts fondamentaux qui nous permettront d’entrer de plain-pied dans le XXIe siècle. J’aimerais « qu’on voit venir » avant de se mettre collectivement dans la marde. Il me semble que la légifération des données est l’une des étapes cruciales à la protection du citoyen face à des enjeux de plus en plus présents et potentiellement inquiétants. Malheureusement, j’observe qu’outre un cercle très restreint d’initiées, c’est l’ignorance de ces avantages, périls et enjeux qui nous guettent…
Presque tous les hommes, frappés par l’attrait d’un faux bien ou d’une vaine gloire, se laissent séduire, volontairement ou par ignorance, à l’éclat trompeur de ceux qui méritent le mépris plutôt que la louange.
Machiavel
Vous pourriez aussi aimer
The trouble with informed consent in smart cities
Eight smart cities that are restoring privacy and empowering citizens with data
CITIES FOR DIGITAL RIGHTS
X-Road Explainer from Tolm on Vimeo.
Cette semaine, dans l’article de La Presse, Les partis politiques mettent vos données personnelles à risque, selon le DGEQ, on pouvait lire :
Dans son rapport, rendu quelques mois plus tard, Me Reid évoque pour la première fois le risque que des pertes, des vols ou des accès non autorisés aux banques de données des partis exposent les données personnelles des millions de Québécois qui y sont fichés.
« Les partis politiques ne peuvent tenir pour acquis qu’ils sont à l’abri des cybermenaces contre le processus démocratique. Nous sommes préoccupés par cet enjeu et nous souhaitons agir d’une manière proactive afin de prévenir les conséquences sur la vie privée des électeurs. »
– Pierre Reid, directeur général des élections
Le DGEQ a certainement raison de s’inquiéter des risques d’intrusion et ou de vol des données personnelles des québécois que peuvent détenir les partis politiques. J’ajouterais à cette inquiétude, celle de l’obtention de la permission d’utilisation des données personnelles par les partis. Toutes les organisations se doivent d’obtenir, de documenter et de sécuriser de telles permissions sauf, les partis politiques. D’ailleurs, Vincent Marissal de Québec Solidaire souhaite un encadrement strict des partis politiques mais s’inquiète plutôt de pouvoir garder « la possibilité d’entrer en contact avec les gens ».
Le député de Québec solidaire Vincent Marissal a abondé dans le même sens. Il souhaite encadrer les partis « de la manière la plus solide possible ». Il a cependant souligné un autre passage du rapport du DGEQ, qui reconnaît leurs besoins particuliers.
« Il faut garder un équilibre pour assurer que nous soyons capables, comme parti politique, d’entrer en contact avec les gens, y compris pour faire de la sollicitation, y compris pour les inviter à des événements », a-t-il dit.
Je comprends monsieur Marissal de s’inquiéter de mettre en péril « le contact avec les gens de son parti ». Et pour cause, Québec Solidaire est champion du marketing électoral douteux. En effet, cette organisation politique, plutôt que de réellement proposer des législations et autres actions politiques qui ont réellement un impact sur la vie des citoyens durant les mandats de ses élus, privilégie les fameuses pétitions. Or, ces pétitions serviront d’outil de propagande électorale subséquente. Québec Solidaire profites de « trous dans la loi » sur la protection des renseignements personnels et les documents électroniques (LPRPDE) afin de spammer les électeurs en période électorale et ce, sans avoir eu la délicatesse d’obtenir leurs consentements préalables pour recevoir leurs publicité/propagande électorale car il s’avère que les associations et partis politiques sont exempts de la loi. Est-ce illégal ? Non ce n’est l’est pas. Est-ce éthique ? J’ai de gros doutes là-dessus.
Comme vous pouvez le voir dans cet exemple récent de PÉTITION POUR UNE ASSURANCE DENTAIRE PUBLIQUE, on demande aux gens leurs nom, prénom, courriel, téléphone, code postal et signature. On omet volontairement par contre de leur demander la permission d’utiliser ces données. Ça deviendra très utile en période électoral pour spammer les électeurs.
Étonnamment, lors de la dernière campagne électorale, plusieurs personnes de Mercier m’ont averti avoir reçu des messages SMS de Québec Solidaire durant les élections, sans pour autant avoir jamais signé l’une de leurs très nombreuses pétitions. Il faut savoir que de moins en moins de gens ont un téléphone filaire et qu’ils sont plutôt des usagers de mobiles. Or, pour avoir ces numéros de téléphones, il faut soit faire une pétition, soit acheter des listes de numéros de cellulaires par code postale. Or ces listes sont interdites au Canada, mais peuvent aisément être acheté aux États-Unis. Il est donc aisé de soupçonner que c’est ce qu’a fait Québec Solidaire pour être capable de rejoindre des électeurs qui n’ont jamais signé leurs pétitions. J’ai donc fait une autre plainte officielle au DGEQ. La réponse des porte-paroles de l’organisme est sans équivoque. Nous ne pouvons rien faire pour ce cas précis, allez voir ailleurs… Voici la réponse officielle du DGEQ.
Il est aussi bon de rappeler que Québec Solidaire a aussi profité des listes de données personnelles d’Option nationale (encore une fois sans l’autorisation des gens qui avaient fournis leurs informations à option nationale) de même que les listes de l’initiative Faut qu’on se parle.
Comme quoi, la réflexion du DGEQ sur les données personnelles que détiennent les partis politiques devrait sans doute inclure aussi une réflexion sur la nécessaire obtention de permission par les électeurs, d’utiliser ces mêmes données …
Déjà, avec le USA Patriot Act, plusieurs gestionnaires qui ont à cœur la confidentialité des données personnelles et encore plus stratégiquement, la protection des secrets industriels et d’affaires choisissaient d’héberger les serveurs des organisations et entreprises au Canada, afin de limiter les ponctions extérieures à ces mêmes données. Mais avec le Clarifying Lawful Overseas Use of Data Act, mieux connu sous le nom de USA Cloud Act, les questions deviennent plus troublantes. Il a été largement documenté que nos lois de protection des données personnelles ne nous protègent pas de l’intrusion possible et effective du gouvernement américain. C’était d’ailleurs l’un des points que j’avais mis de l’avant dans le Plan numérique du Parti Québécois, lors de la dernière élection. J’y parlais de souveraineté numérique.
Doter le Québec de ses propres « fermes » de serveurs gouvernementaux, afin d’assurer sa pleine souveraineté en matière de données publiques gouvernementales.
À l’heure actuelle, il est impossible pour le gouvernement du Québec de garantir que les données sensibles des Québécois (information fiscale, de santé et autres) sont hébergées en infonuagique sur des serveurs québécois, ou selon les standards des lois québécoises.
Quelle est la controverse du Cloud Act?
(Traduit librement de ServerCloudCanada) Les autorités américaines peuvent désormais, grâce au Cloud Act, obtenir un subpoena obligeant les entreprises d’infonuagique américaines, à dévoiler aux autorités les données qu’ils requièrent. Cela s’applique à tous fournisseurs d’infonuagique américain qu’ils soient en sol américain ou dans d’autres juridictions comme disons, le Canada. Ainsi, le gouvernement américain s’arroge le droit d’accaparer des données dans des juridictions étrangères même si ces requêtes peuvent contrevenir aux lois de ces autres juridictions.
On peut donc en comprendre que même si les serveurs d’infonuagiques sont en sol canadien, ça n’aura aucune importance sur la protection des données qui sont hébergées chez des fournisseurs d’origines américaines. Qui plus est, il est même possible que les gouvernements et les propriétaires des données qui seront saisies par le gouvernement américain ne soient pas informés de ladite saisie comme le laisse entendre un article de The Verge, citant de nombreuses organisations de protection de la vie privée américaines.
A number of nonprofit groups oppose the bill on privacy grounds, including the American Civil Liberties Union, Electronic Frontier Foundation, Amnesty International, and the Open Technology Institute. The harshest criticism focuses on the new powers granted to the attorney general, who can enter into agreements with foreign countries unilaterally. Those agreements could potentially circumvent the protections of US courts. The act also wouldn’t require users or local governments to be notified when a data request is made, making meaningful oversight significantly harder.
Nonobstant cette nouvelle loi américaine, j’avais déjà fait état de la coercition de certains services de sécurité américains envers des entreprises d’hébergement canadiens dans mon billet Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer. Nos données sont donc de plus en plus en danger d’être scrutées, sans notre accord et c’est pourquoi il m’apparait judicieux, que les gouvernements du Québec et du Canada se dotent de leurs propres serveurs de données afin de protéger les données sensibles des Québécois et des Canadiens. C’est d’ailleurs le récent article L’identité des acheteurs de pot à risque L’adresse IP des Québécois qui consultent le site web de la SQDC passe par la Californie qui m’a mis la puce à l’oreille.
Vous pourriez aussi aimer
Les données personnelles des Québécois sont-elles déjà scrutées par les Américains
Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer https://www.michelleblanc.com/2013/06/14/primeur-le-chantage-des-services-secrets-americains-pour-contraindre-les-entreprises-canadiennes-a-cooperer/
Je n’avais jamais entendu parler de ClassDojo avant de recevoir le téléphone d’un parent (qui s’adonne aussi à être développeur) qui voulait savoir ce que je pensais de cet outil et des questions de vie privée qui y sont associées. Je l’ai informé de mon ignorance à propos de cette application et l’ai invité à m’envoyer un courriel avec plus de détails (ce courriel est en fin de billet). Entretemps, j’ai partagé ce statut sur mes présences sociales.
Les réponses que j’ai reçues sont majoritairement favorables mais je demeure perplexe quant à l’outil et son utilisation. D’ailleurs, en discutant de ça avec mon amour, elle me dit que lors de sa dernière visite chez le dentiste, la technicienne lui en dit le plus grand bien et qu’elle était ravie d’avoir des nouvelles de sa fille de 7 ans aux heures, grâce à l’application. Déjà il y avait un certain malaise. Mais c’est en lisant certaines critiques que le malaise devient encore plus grand. Certains parents me disent être enchantés de pouvoir communiquer directement avec le professeur et ils n’y voient que du positif. Alors déjà je me demande pourquoi ne pouvaient-ils pas communiquer avec le professeur avant cette application ? Est-ce que le numérique viendrait suppléer à une communication déficiente ? Par ailleurs, cette application sert aussi à classer les comportements en positif et négatif. Est-ce que les professeurs ont désormais intégré le principe du Ratemyteacher ou du Ratemydoctor qui semblaient pourtant avoir été tant décrié? Ou sont-ils finalement capables d’apprécier le « classement » des comportements et appréciation des élèves tout en refusant le même type de système pour eux-mêmes (les paramètres notation publiques ou privées semblent être à la prérogative des professeurs)? Quant à moi, après une visite sur le site, mon inquiétude réside vraiment du côté des questions de la vie privée et de celles des enfants en bas âge de surcroit.
Vie Privée
L’application ClassDojo a bien une politique de vie privée, mais elle est strictement en anglais. On y dit que les professeurs doivent recevoir le consentement parental, qu’ils ont de nombreux sceaux certifiant la sécurité de l’application et qu’ils sont conformes à la RGPD européenne. Par contre, je n’ai pas trouvé comment ils s’assurent du consentement parental des parents eux-mêmes et je me questionne à savoir ce que peut bien penser le commissaire à la vie privée du Canada de ce genre d’application?
Modèle d’affaires
Le modèle d’affaires de CalssDojo en est un de freemium. C’est à dire que vous avez un éventail de fonctionnalités gratuitement en utilisant le site, mais si vous voulez élargir les fonctionnalités de l’application, cela devient payant. Un peu comme le fait Linkedin par exemple. Or, nous savons déjà depuis un bout, que si c’est gratuit, c’est que vous êtes le produit. D’ailleurs certains commentateurs dans mes médias sociaux sont rapides à rappeler que les parents partagent déjà les photos de leurs enfants dans Facebook, alors pourquoi en faire tout un plat avec Classdojo? D’abord peut-être parce que ce n’est pas tous les parents qui font cela et que s’ils le font, c’est leur propre décision. D’ailleurs moi-même j’ai partagé les photos de petit-fils sur mon Facebook, mais je l’ai fait avec l’accord de ses parents, personne ne connait son nom de famille ou la ville dans laquelle il a grandi et j’ai maintenant cessé de le faire puisqu’en grandissant, il devient reconnaissable et que je me dois maintenant de maintenir sa vie privée.
Les critiques
De nombreuses critiques de cette application sont maintenant disponible sur le Web. Sur Wikipedia on peut lire :
In 2017, The London School of Economics, Parenting for a Digital Future , published a series of ethical, legal and mental health concerns related to the rapid growth of ClassDojo’s use in the classroom. In the article, Faculty of Social Sciences at the University of Stirling, Ben Williamson and Alasdair Rutherford, write about the possible conflict that the ClassDojo Company could encounter as a private for-profit company collecting and storing sensitive student behavior data. They ask if parents are being fully informed about what the ClassDojo Company intends to do with the collected student data [38]. Likewise, Williamson and Rutherford warn of a scenario where the ClassDojo Company could be sold for the data it collects and stores[38].
Williamson and Rutherford also explore the possible negative impact ClassDojo could impose on the classroom environment where they claim ClassDojo essentially acts as a classroom social media application where students face constant competition for teacher awarded ClassDojo behavior points[38]. They question whether the classroom time teachers spend on data input could potentially reduce critical face-to-face interaction between teachers and students[38]. They also warn of the possible negative impact the application can have on children’s mental health potentially creating a distressed classroom climate where student behavior is individualized to dojo points discounting larger social and environmental influences on behavior[38].
Williamson and Rutherford write that they believe when considering the serious concerns of student data protection and mental health, it is time for teachers and parents to have a transparent conversation regarding use of ClassDojo in the classroom [38].
Et je vous suggère de lire aussi le billet 6 reasons to reject ClassDojo
Voici le courriel du parent qui m’a informé de cette application:
Bonsoir Mme Blanc!
Merci d’avoir prit quelques minutes de votre temps pour m’écouter! J’ai vu que vous aviez publié sur Facebook à ce sujet, et j’aimerais d’abord apporté quelques précisions. À l’école de mon fiston, aucune permission ne nous a été demandé pour inscrire mon fils sur ClassDojo. Également, nous avions refusé l’an dernier que notre fils soit prit en photo, et que celles-ci puissent être utilisé par l’école. Nous avons refusé également cette année cette permission. Ça ne semble pas arrêter le prof de mon fils à notre connaissance. D’ailleurs, lorsque questionné à ce sujet, il m’a dit que je devais lui prouver qu’il ne pouvait pas ce servir de cet outil. J’ai été insulté de me faire dire ça, puisque je sais qu’une administration publique doit pouvoir justifier ses actions, et non l’inverse.
Voici ce que j’ai trouvé qui peut aller contre l’utilisation de ClassDojo. D’abord, le ministère de l’Éducation a une politique sur la protection des renseignements personnels à l’école. Je considère que tout ce qui concerne mon fils est un renseignement personnel. L’utilisation de ClassDojo par le prof est selon ses dires pour des communications avec les parents, des points pour bonne conduite, et bien sûr des photos dans la classe. Cela contreviendrait aux points 2.2 (necessité) et 2.3 (usage justifié) à la page 10 du document SEC_protect-renseign-perso.pdf en pièce-jointe. Deuxièmement, avec l’aide d’un autre parent, j’ai trouvé l’article 70.1 dans la loi sur l’accès à l’information (en pièce-jointe). Brièvement, il ne permet pas à un organisme public de confier à un tier à l’extérieur du Québec des informations personnels si les dits renseignements ne bénéficieront pas de la même protection que celles prévue par la loi. Selon ce que j’en sais, la protection serait moindre sur ClassDojo, et donc ne passerait pas le test de cet article. Ce sont les 2 principaux arguments que je compte utilisé vis-à-vis du professeur et de l’école.
Je compte envoyer mon courriel d’ici la fin de la semaine au professeur et à la direction. Il est bien dans mon intention de mettre un terme à l’utilisation de cet outil. J’apprécie énormément de vouloir prendre un peu de votre temps pour regarder ce dossier.
En terminant, j’espère ne pas vous avoir paru trop maladroit au téléphone. Ce n’est pas tous les jours qu’on peut discuter directement avec une personne médiatique qu’on admire.
Je vous remercie, et bonne fin de soirée!
Classdojo, vie privée et dangers potentiels de cet outil Lire la suite »
Le problème des faux avis sur les sites qui ont des répertoires d’entreprise n’est pas nouveau. Ces avis affectent aussi plusieurs types de professionnels. Songeons aux www.ratemds.com par exemple. Qu’on songe à Tripadvisor, Yelp et autres répertoires, depuis des lustres, les clients insatisfaits ou les concurrents peu scrupuleux n’hésitent pas à faire baisser publiquement la cote d’une entreprise et à y joindre des commentaires négatifs.
Ces « classements » ont une importance considérable lorsque vient le temps, pour un consommateur, de faire le choix d’une entreprise avec qui faire affaire. Mais depuis l’instauration de GooglemyBusiness, cette réalité des avis négatifs voire des faux avis, prend une nouvelle dimension. C’est que GooglemyBusiness appartenant à Google, ce classement apparaît en haut de résultat du fameux moteur de recherche si on recherche le nom d’une entreprise ou la catégorie à laquelle elle appartient. Or un classement très négatif peut faire très mal. En outre, l’internaute « lambda » ne connait peut-être pas la myriade de sites web qui font des classements d’entreprises, mais le classement de GooglemyBusiness lui, sera directement dans sa face.
Je vous parle de ça parce que de plus en plus d’entreprises viennent me voir pour gérer des crises médias sociaux et que souvent, les internautes à partir de pages Facebook, incitent les autres internautes à aller sur la page GoogleMyBusiness d’une entreprise pour détruire sa réputation. C’est mesquin comme réaction, mais je vois ça malheureusement de plus en plus souvent. S’il s’agit réellement d’une campagne de dénigrement, vous aurez besoin de l’avis de votre avocat pour évaluer les recours possibles tant au niveau civil, que criminel.
Alors que faire pour lutter contre les faux avis sur GooglemyBusiness et les campagnes de dénigrement ?
Prendre de grandes respirations, une marche ou faite toute autre activité qui vous permettra de retrouver votre calme. Il ne faut en aucun cas réagir sous l’impulsion de l’émotivité.
Faire d’abord des copies d’écrans d’absolument tout et les conserver dans un fichier dans l’éventualité d’une poursuite possible.
Gérer la source du problème. Si les critiques sont fondées, admettez-le et corrigez vos erreurs. Si vous êtes victime d’une campagne de dénigrement venant d’ailleurs, identifier les protagonistes, faites des copies d’écrans, montez une cellule de gestion de crise avec les ressources nécessaires (avocats, relations publiques, experts médias sociaux, haute direction). Inspirez-vous du tableau qui est dans mon billet La US Air Force fournit des outils pour les blogueurs d’affaires. Inspirez-vous aussi des nombreux billets que j’ai écrits à propos de la gestion de crise médias sociaux.
Il est capital de signifier à GoogleMyBusiness chacun des faux avis, un par un, via votre compte GoogleMyBusiness en suivant la procédure « Signaler des avis inappropriés » expliquée par Google. Généralement Google est assez rapide de réaction et bien qu’ils n’effaceront pas nécessairement ces avis, ils ne seront plus comptés dans la moyenne. De plus, vous devriez signifier à Google pourquoi cet avis est hors contexte.
• Pourquoi cet avis est faux ou est une campagne de dénigrement avec des faits
• Comment cet avis contrevient aux politiques de Google
• Pourquoi cet avis devrait être retiré,
• Toute image, copie d’écrans, hyperlien ou informations qui appuient votre demande.
Vous devriez systématiquement inciter vos clients satisfaits à le dire sur GooglemyBusiness. Cet effort de communication deviendra ESSENTIEL et période de crise médias sociaux.
Vous devez répondre systématiquement aux critiques négatives, qu’elles soient modérées par Google ou pas. D’ailleurs sur la page d’aide de Google on peut lire :
Restez poli et professionnel. Ce n’est pas qu’une consigne, il s’agit également d’une bonne approche à adopter pour tout propriétaire d’entreprise. Il est difficile de sortir gagnant d’une discussion avec un client frustré, et vous ne souhaitez certainement pas couper les ponts. Rédigez des réponses utiles, lisibles et professionnelles. De plus, vos réponses doivent respecter notre politique relative au contenu local.
Soyez concis. Les utilisateurs souhaitent recevoir des réponses utiles et sincères, mais une réponse trop longue pourrait les intimider.
Remerciez les rédacteurs d’avis. Répondez aux rédacteurs d’avis satisfaits lorsque vous avez des informations inédites ou pertinentes à partager. Vous n’avez pas à répondre à chaque rédacteur d’avis publiquement puisque chaque réponse est diffusée à un grand nombre de clients.
Jouez le rôle d’un ami et non celui d’un vendeur. Vos rédacteurs d’avis sont déjà des clients. Vous n’avez donc pas à leur offrir des incitatifs ni à diffuser des publicités. Partagez de nouvelles informations avec les rédacteurs d’avis ou faites-leur part d’éléments qu’ils auraient pu ne pas remarquer lors de leur première visite.
Si rien de tout cela ne fonctionne, vous n’aurez d’autre choix que d’envisager sérieusement les avenues légales et/ou une plainte au criminel. Devriez-vous envoyer une mise en demeure à Google? À Facebook? Faire une plainte au criminel à votre poste de police ? Envoyer une mise en demeure à l’instigateur d,une campagne de dénigrement? Ces questions devront être soigneusement analysées avec votre équipe de gestion de crise.
Le problème des faux avis sur GooglemyBusiness et des campagnes de dénigrement Lire la suite »
Michelle Blanc
