Vie privée, protection des données, cybersécurité : ce n’est pas possible sans le logiciel libre !
Le samedi 3 août 2019, quatre élus du Parti libéral du Québec (PLQ), Marwah Rizqy, Gaétan Barrette, Lise Thériault et Marc Tanguay, faisaient paraître au nom de leur parti un plan d’action « pour assurer la cybersécurité et la confidentialité des données des Québécois ». Ce plan était diffusé dans Le Journal de Montréal et Le Journal de Québec la même journée. Jugeant important de réagir le plus rapidement possible, le 14 août, le conseil d’administration de FACiL envoyait aux grands médias (Le Journal de Montréal, Le Journal de Québec, La Presse, Le Devoir et Métro) une réponse d’environ 700 mots intitulée « Ce n’est pas possible sans le logiciel libre ». Aucun de ces médias n’ayant jugé bon de diffuser notre texte d’opinion, nous avons dû nous contenter de le publier sur notre propre site et de le relayer dans les médias sociaux.
Ce texte annonçait la publication ultérieure d’une « réponse plus détaillée, point par point » qui serait diffusée en septembre dans le cadre de la Semaine québécoise de l’informatique libre (SQiL) 2019. C’est cette réponse que nous publions, tel que promis, en cette Journée internationale du logiciel libre (JiLL) du 21 septembre 2019 qui inaugure la SQiL.
Le plan d’action du PLQ s’ouvre sur une inquiétude exprimée par ses auteurs quant à la bonne protection par l’État des renseignements personnels des Québécois à la lumière de quelques-uns des plus récents scandales de fuites de données chez Équifax, Desjardins, Capital One, etc., et dans le contexte du débat qui a suivi l’annonce du 4 février 2019 du ministre délégué à la transformation numérique gouvernemental, Éric Caire, relativement au « recours prioritaire » à l’infonuagique publique des grands fournisseurs privés. Rappelons que le ministre Caire avait alors annoncé que des fournisseurs externes, dont les principaux (Amazon, Microsoft, Google, IBM) sont des multinationales américaines, hébergeraient éventuellement jusqu’à 80 % des données des 457 centres de traitement informatique (CTI) du Québec, qui sont de propriété publique[1]. Les CTI sont en outre appelés à être progressivement regroupés en seulement deux grands centres. Le texte du PLQ se termine sur « 5 pistes de solutions concrètes pour un État au service des Québécois, libre de toute ingérence de la part des entreprises étrangères », que les analystes politiques ne manqueront pas de voir comme une avancée libérale sur le terrain du nationalisme dont se réclame le gouvernement caquiste de François Legault.
Dans le présent texte, nous répondons dans l’ordre aux cinq pistes proposées dans le plan d’action du PLQ. Nous exposons également ce qui constitue selon nous le principal angle mort de l’analyse de ce parti politique et plus généralement de la classe politique québécoise : l’absence de critique de la collecte massive, de la centralisation d’Internet et de la surveillance généralisée des internautes par les Google, Apple, Facebook, Amazon et Microsoft (GAFAM).
Maintenir notre souveraineté sur les données collectées par l’État
Cette proposition est pleine de bon sens, malgré le très mauvais choisir du verbe « maintenir » par lequel elle commence. En réalité, il y a peu à maintenir : presque tout est à conquérir.
Les géants américains du numérique exercent déjà depuis de nombreuses années une réelle emprise sur nos vies numériques, fait qui nous expose à des problèmes qui vont bien au-delà de la simple « gestion des données des Québécois » par des entreprises étrangères. Que ce soit par les bases de données d’Oracle, le système d’exploitation Windows et la suite bureautique Office de Microsoft ou les mainframes d’IBM, les géants de la Silicon Valley s’imposent par la propriété qu’ils détiennent sur les logiciels installés dans pratiquement tous les organismes rattachés à l’État québécois. Déjà privé de libertés essentielles au niveau des logiciels qui traitent nos données, le gouvernement de François Legault propose maintenant aux Québécois de renoncer petit à petit à la propriété des équipements où s’effectuent les traitements. L’essentiel du stockage et une large part du traitement se fera dorénavant dans les centres de données des GAFAM : adieu à l’expertise permettant le contrôle sur les logiciels, les équipements et les données ! Pour la souveraineté numérique, on repassera !
Mais au fait, comment doit se traduire concrètement la « souveraineté » (c’est-à-dire l’autorité suprême, le pouvoir ultime) du peuple ou de l’État sur le « numérique » ? Vaste question. Voici ce que nous répondions à ce sujet dans un mémoire déposé à Québec en août 2015 dans le cadre de la consultation générale et des auditions publiques sur le document intitulé Orientations gouvernementales pour un gouvernement plus transparent, dans le respect du droit à la vie privée et la protection des renseignements personnels :
« Si l’on pense principalement à la protection des renseignements personnels des citoyens et citoyennes, l’État devrait au minimum :
- s’assurer de détenir la propriété des appareils qui opèrent le traitement de l’information (contrôle physique)
- conserver à l’interne l’expertise de la gestion, de l’administration, du développement et de l’opération de tous ses systèmes (contrôle logique et administratif)
- exiger que ses centres de données et autres serveurs soient majoritairement situés en sol québécois (contrôle législatif)
- collecter et conserver le moins de renseignements personnels possible (pas de pistage et de profilage des internautes) »
Ces mesures étaient naturellement loin d’épuiser le sujet de la souveraineté numérique ou celui de la sécurité de l’information ou encore celui de la surveillance de masse des internautes.
FACiL a traité plus en profondeur de quelques-uns de ces sujets dans un long article intitulé « La tête dans les nuages. Le secteur public face aux offres commerciales d’infonuagique publique », paru dans la revue L’Action nationale, vol. CIX, no 5, mai 2019, p. 54-103. Ce long article se termine sur l’esquisse d’une politique québécoise sur l’utilisation de l’infonuagique par le secteur public.
Tenir une vraie réflexion nationale
Une vraie réflexion nationale est certainement essentielle, mais une commission d’enquête au mandat aussi limité que celui qu’on nous propose n’y aidera pas beaucoup. Le mandat de l’enquête doit être bien plus vaste pour produire un éclairage vraiment utile aux nombreuses réformes qui doivent être entreprises.
Depuis février 2015, un regroupement de plus de quinze organismes dont FACiL fait partie demande la mise sur pied d’une enquête publique qui sera responsable d’analyser « l’ensemble des problèmes » liés à l’informatique au sein de l’État québécois. Le texte de la déclaration commune initiale diffusée par le regroupement mentionnait en outre la nécessité d’un véritable débat national sur les défis et les enjeux du numérique qui nous rattrapent aujourd’hui sous la forme de nouveaux scandales.
Cette demande recevait l’appui de tous les partis de l’opposition (PQ, QS, CAQ) juste avant les élections générales québécoises du 1er octobre 2018. Parvenue au pouvoir, la CAQ renonçait à la tenue d’une enquête, le nouveau ministre Éric Caire annonçant aussi rapidement qu’en décembre 2018 qu’elle n’était plus nécessaire[2]. C’est une erreur.
La protection des données, la cybersécurité et la souveraineté numérique ont tout à voir avec la vision, les stratégies, les politiques, les lois et les plans d’action que nous nous donnons collectivement pour faire face aux enjeux et aux défis du numérique !
Pour avoir une idée de ce que sont ces défis et ces enjeux du point de vue de FACiL, nous référons nos lecteurs et nos lectrices à la liste des questions que nous avons posé aux partis politiques dans le cadre des élections générales québécoises du 1er octobre 2018. Avec nos ami.e.s du Café des savoirs libres, nous reposons plusieurs de ces mêmes questions aux candidats et aux candidates des élections fédérales canadiennes d'octobre 2019.
Assurer que l’État et les entreprises soient imputables envers les citoyens
En plus d’exiger l’imputabilité des gouvernements et des entreprises qui collectent des données, les auteurs proposent quatre actions concrètes sous cette rubrique : la création d’une identité numérique, des mesures de prévention inspirées des meilleures pratiques, la création d’une équipe mixte d’enquête et un programme québécois de littératie numérique. Nous commenterons ici sur deux d’entre elles.
Identité numérique – Un système d’identité numérique, contrôlé par un organisme central, pourrait fatalement s’avérer une fausse bonne idée. Il faut plutôt redistribuer le contrôle des données d’identification à la collectivité. Des solutions fortement décentralisées reposant sur la cryptographie asymétrique (pairs de clés privées et publiques) et la transparence du logiciel libre sont déjà en opération à grande échelle partout à travers le monde. La confiance du public dans les systèmes qui traitent ses données implique nécessairement que le code source des logiciels puisse être librement utilisé, étudié, amélioré, partagé, redistribué et audité de manière indépendante. La cybersécurité déborde bien sûr la simple sécurité du code source, mais il est certain qu’elle ne peut pas faire sans !
Littératie numérique – FACiL est hautement favorable à l’instauration de programmes de littératie numérique. Mais de quelle littératie numérique parle-t-on ? Il y en a plusieurs. Pour nous, dans le présent contexte, cela veut dire répondre au phénomène de la surveillance de masse des États et des géants du numérique par une éducation de masse aux enjeux de la surveillance, de la centralisation, etc. Concrètement, il nous faut apporter un soutien aux campagnes et autres projets de la société civile visant la démystification et l’adoption par le plus grand nombre des solutions reposant sur les logiciels libres, les réseaux décentralisés et la cryptographie forte (en particulier le chiffrement de bout en bout).
Développer une expertise interne québécoise
Le recours prioritaire à l’infonuagique publique prôné par Éric Caire ne comblera pas les besoins de compétence en cybersécurité dans le secteur public. Il grandira même, car s’ajouteront aux risques habituels tous ceux propres à Internet, qui reliera les appareils numériques des fonctionnaires et des citoyens aux centres de traitement des GAFAM. Dans tous les scénarios envisagés jusqu’à maintenant, les données des Québécois sont centralisées : vulnérables et attrayantes pour les malfaiteurs.
Comme nous l’avons soutenu dans notre article de mai 2019 dans L’Action nationale, professionnaliser la cybersécurité dans tous les milieux de la société est plus intelligent que déménager tous en masse dans les installations centralisées les plus attaquées du monde sous prétexte que leurs fortifications sont les plus hautes, que leurs experts sont les meilleurs.
La question peut-être la plus utile à se poser lorsqu’on étudie l’industrie de l’infonuagique est la suivante : comment l’entreprise de commerce en ligne Amazon a-t-elle bien pu doubler de vitesse Google, Microsoft, Apple ou IBM à compter de 2006 avec ses Amazon Web Services (AWS) ? Réponse : en internalisant une forte expertise en logiciels libres ! Amazon s’est emparée de la virtualisation, de la conteneurisation, du calcul et du stockage distribués sur Internet, c’est-à-dire pour l’essentiel des technologies libres et des modes d’organisation typiques de la culture du logiciel libre.
Notre intérêt collectif n’est pas de devenir client d’Amazon, mais d’imiter Amazon en investissant massivement là où ça compte pour opérer la montée en compétence du secteur public et, par le biais des contrats publics, de la petite et moyenne entreprise. La participation massive des Québécois aux communautés de logiciels libres facilitera grandement le développement de notre expertise en cybersécurité, infrastructures, plateformes et applications pour Internet. L’État québécois peut montrer l’exemple et tirer la collectivité dans la bonne direction.
Légiférer
Le PLQ veut des lois qui ont «plus de mordant» pour punir les voleurs et des exigences rehaussées pour les responsables de la protection des renseignements. Il est absolument certain qu’il nous faut réviser substantiellement nos lois en matière de vie privée. Il nous faut instaurer un cadre législatif plus rigoureux qui contraindra les entreprises à adopter les meilleures pratiques de l’industrie en matière de sécurité et de vie privée. C’est le citoyen qui doit décider explicitement si oui ou non il consent à l’utilisation de ses données par des tiers.
Par exemple, le Règlement général sur la protection des données (RGPD) de l’Union européenne, promulgué en 2016 et applicable depuis mai 2018, rend responsables les acteurs qui traitent les données des personnes, qui de leur côté jouissent d’un droit à la portabilité de leurs données. L’objectif visé par ce droit est double : 1) aider les citoyens et les citoyennes à reprendre le contrôle sur leurs données et 2) stimuler la concurrence entre les responsables de traitement de données. Notons que le 28 juin 2018, les élus de la Californie votaient unanimement une série de règles comparables au RGPD. La législation devrait entrer en vigueur dans cet État américain le 1er janvier 2020[3].
Les sanctions infligées aux fautifs par le RGPD sont proportionnelles au chiffre d’affaires et n’épargnent donc pas les oligopoles. Car nous ne devons pas mettre tout le poids de la protection des données sur la petite et moyenne entreprise. Avec des moyens financiers limités dédiés à l’informatique, les offres faussement rassurantes des géants du numérique seront à nouveau sur la table. Et nos données se retrouveront encore entre leurs mains…
La loi québecoise pourrait également rehausser les exigences des entreprises qui calculent des scores de crédit et des primes d’assurances. Pour véritablement rétablir la confiance, la voie qui nous apparaît la plus prometteuse serait d’augmenter considérablement le niveau de transparence sur les algorithmes qui manipulent nos données. Nous devrions être capables, moyennant certains efforts, d’accéder aux données et de reproduire le calcul par nous-mêmes. On peut facilement penser à d’autres exemples d’algorithmes qui sont d’intérêt public et qui devraient être compris et protégés comme des communs numériques.
L’angle mort de l’analyse libérale : rien sur la collecte massive, la centralisation et la surveillance de masse
Le plan d’action du PLQ est proposé dans un contexte particulier qui amène ce parti à réagir rapidement à des événements récents : les scandales de fuites de données chez Équifax, Desjardins, Capital One, etc., et le débat qui a suivi l’annonce par le ministre Caire, le 4 février 2019, que Québec aurait recours de manière « prioritaire » à l’infonuagique publique. Il ne faut donc pas s’étonner que les enjeux auxquels il propose de s’attaquer soient ceux des vols de données et d’identités, de la cybersécurité et de la souveraineté numérique. Il nous faut néanmoins souligner à quel point une telle réponse hâtive laisse dans l’angle mort les problèmes de fond : la collecte massive opérée par les GAFAM, la centralisation qui l’explique, et la surveillance de masse qui en résulte et qui est très néfaste pour nos droits fondamentaux comme pour la redistribution du pouvoir, de la connaissance et de la richesse en ce 21e siècle numérique.
Il nous faut de nouvelles politiques et une action publique forte non seulement pour protéger nos données contre les tiers malveillants qui accèdent illégalement aux données que nous avons confiées aux géants du numérique, mais aussi contre les usages de nos données qui sont peut-être légaux, mais pas forcément légitimes et respectueux de notre vie privée, et auxquels se livrent très certainement toutes les grandes entreprises installées au cœur de l’économie marchande de la donnée.
Collecte massive – Nos politiques doivent tendre vers une réduction de la collecte massive de données qui servent à pister, profiler et analyser les comportements des internautes. Ne perdons pas de vue que les données personnelles les plus « sécuritaires » sont naturellement celles qui ne sont jamais ni produites, ni collectées, ni stockées. Viennent ensuite celles qu’on doit produire, mais qu’on n’est pas obligé de stocker ou de faire circuler sur le réseau. Finalement, en bout de ligne, il y a les autres données personnelles forcément stockées quelque part et qu’on peut être tenu de communiquer à des tiers à certaines occasions. Celles-là, nous gagnons tous et toutes en ne les confiant qu’à des tiers qui n’ont ni la capacité technique ni non plus intérêt à effectuer de la collecte massive. Comme si ce n’était pas suffisant pour nous convaincre, tout porte à croire que la réduction de cette collecte néfaste pour la démocratie serait aussi positive pour l’environnement : moins de stockage en ligne, moins de calcul intensif, moins de consommation d'énergie !
Centralisation – La collecte massive est grandement facilitée par la terrifiante centralisation des usages d’Internet que les GAFAM ont réussi à opérer sur les fondations pourtant techniquement décentralisées d’Internet et du Web. Parmi les éléments de réponse utiles bien qu’insuffisants à ce problème complexe, nous pouvons citer l’introduction d’un droit à la portabilité des données et l’imposition par la loi de l’interopérabilité des plateformes en ligne, comme nous le demandions le 21 mai dernier, en commun avec La Quadrature du Net (France) et plus de 70 autres organisations[4].
Surveillance de masse – La société numérique a produit la surveillance de masse perpétrée par les États et les géants du numérique à l’encontre des droits fondamentaux des êtres humains de la planète. Les pires dérives de cette surveillance incompatible avec la démocratie nous ont été révélées notamment par les affaires Manning et Snowden aux États-Unis, Lagacé chez nous au Québec et plus récemment Facebook-Cambridge-Analytica. Les droits étant par nature interdépendants, les attaques contre la vie privée sur Internet affectent négativement les libertés de conscience, d'opinion, d'expression et de réunion et inversement.
Quels principes doivent guider les États dans les importantes réformes de nos lois et de nos institutions qui s’imposent en raison des atteintes colossales à nos droits les plus chers ?
En 2013, FACiL signait les Principes internationaux sur l’application des droits de l’homme à la surveillance des communications, un document important qui fournit un cadre pour évaluer si les lois et les pratiques des États sont cohérentes avec les droits de la personne humaine. Les deux idées maîtresses de la déclaration de principes sont «nécessité» et «proportionnalité». Pour respecter leurs engagements internationaux en matière de protection du droit à la vie privée, les États doivent entre autres prouver que la surveillance «constitue l’unique moyen d’atteindre un but légitime donné» et démontrer à une autorité judiciaire indépendante, impartiale et compétente, que les informations recueillies «se limiteront à ce qui est raisonnablement pertinent» et seront «consultées uniquement par l’autorité spécifiée et utilisées exclusivement aux fins pour lesquelles l’autorisation a été accordée». Nous attirons également l’attention du public sur la Déclaration d’Ottawa sur la surveillance de masse au Canada de 2014, qui, en s’inspirant des principes internationaux mentionnés plus haut, précise quelques-unes de leurs conséquences pour le Canada et propose des gestes concrets de réforme. FACiL a signé cette autre déclaration en plus d’en assurer la traduction française.
Concernant la surveillance de masse des géants du numérique, nous avons aussi des choix politiques à faire, mais peut-être encore plus, nous avons des choix à faire à titre de consommateurs de produits et de services numériques. Ou nous continuons à être insouciants et irresponsables en consommant sans poser de questions tous les nouveaux gadgets et services numériques des GAFAM, ou alors nous décidons de nous donner les moyens de savoir ce que font vraiment nos appareils numériques en soutenant massivement le développement des nouvelles industries du numérique qui montreront patte blanche en prenant parti pour les logiciels libres, la protection de la vie privée dès la conception, la décentralisation d’Internet, le chiffrement de bout en bout et des modèles d'affaires ne reposant plus sur la banalisation de la collecte, du pistage, du profilage et de l’analyse comportementale des internautes.
Conclusion
Depuis plus de 30 ans, la philosophie du logiciel libre nous enseigne que le domaine de liberté protégé par les licences des logiciels libres n’est pas seulement utile et bénéfique aux utilisateurs et aux utilisatrices d’appareils numériques, il est devenu essentiel à la préservation des libertés qui sont au fondement de la société démocratique. Il n’y a que dans le mouvement du logiciel libre qu’existe véritablement le souci de protéger les utilisateurs et les utilisatrices d’appareils numériques contre les filous qui cherchent à exploiter les failles de sécurité des systèmes numériques et aussi contre les abus et les erreurs des personnes et des entreprises qui conçoivent les logiciels qui traitent nos données.
La vie privée, la protection des données et la cybersécurité : ce n’est pas possible sans le logiciel libre ! À nous de nous en emparer individuellement et collectivement pour le bien général de l’humanité et de la planète !
Notes
- ↑ https://ici.radio-canada.ca/nouvelle/1150932/centres-donnees-informatiques-cti-ibm-amazon-caire
- ↑ https://www.journaldequebec.com/2018/12/17/pas-de-patience-pour-les-fonctionnaires-incompetents
- ↑ https://www.lemonde.fr/pixels/article/2018/06/29/la-californie-vote-une-loi-sur-la-protection-des-donnees_5322856_4408996.html
- ↑ https://www.laquadrature.net/2019/05/21/pour-linteroperabilite-des-geants-du-web-lettre-commune-de-45-organisations/