Ce n’est pas possible sans le logiciel libre

There is no cloudFACiL fait paraître ici une première réponse au plan d’action du PLQ « pour assurer la cybersécurité et la confidentialité des données des Québécois » publié le 3 août dernier. Une réponse plus détaillée, point par point, est en préparation et sera diffusée en septembre dans le cadre de la Semaine québécoise de l’informatique libre (SQiL). Notons également qu’en mai dernier notre organisme faisait paraître une esquisse de politique québécoise sur l’utilisation de l’infonuagique dans le secteur public (L’Action nationale, vol. CIX, n° 5, mai 2019, p. 54-103.)

Le PLQ nous propose de « maintenir » notre souveraineté sur les données collectées par l’État. En réalité, il y a peu à maintenir : presque tout est à conquérir. Les géants de l’informatique américains exercent déjà depuis de nombreuses années une réelle emprise logicielle sur les données du peuple québécois. Que ce soit par les bases de données d’Oracle, Windows et Office de Microsoft ou les mainframes d’IBM, ils s’imposent au sein de pratiquement tous les organismes rattachés à l’État québécois. Le gouvernement actuel nous propose maintenant de renoncer à l’emprise physique sur nos données : ce sont les serveurs de ces mêmes entreprises qui les hébergeront. Pour la souveraineté numérique, on repassera !

L’infonuagique publique ne comblera pas le besoin de compétence en cybersécurité. Il grandira même, car s’ajouteront les risques d’Internet, qui reliera les appareils numériques des fonctionnaires et des citoyens aux centres de traitement des GAFAM. Dans tous les scénarios envisagés jusqu’à maintenant, les données sont centralisées : vulnérables et attrayantes pour les malfaiteurs.

Un système d’identité numérique, contrôlé par un organisme central, pourrait être une fausse bonne idée, pour les mêmes raisons. Il faut plutôt redistribuer le contrôle des données d’identification à la collectivité. Des solutions fortement décentralisées reposant sur la cryptographie asymétrique (pairs de clés privées et publiques) et la transparence du logiciel libre sont déjà en opération à grande échelle partout à travers le monde. La confiance du public dans les systèmes qui traitent ses données implique nécessairement que le code source des logiciels puisse être librement utilisé, étudié, amélioré, partagé, redistribué et audité de manière indépendante. La cybersécurité déborde bien sûr la simple sécurité du code source, mais il est certain qu’elle ne peut pas faire sans !

La loi pourrait même exiger un tel niveau de transparence non seulement pour le secteur public, mais également pour les entreprises qui calculent des scores de crédit et des primes d’assurances. On peut penser à d’autres exemples de données d’intérêt public dans pratiquement tous les secteurs du privé. Nous devrions être capables, moyennant certains efforts certes, d’accéder aux données et de reproduire le calcul par nous-mêmes. De quoi véritablement rétablir la confiance !

Peu importe les solutions qui seront retenues au final, il nous faut instaurer un cadre législatif plus rigoureux qui contraindra les entreprises à adopter les meilleures pratiques de l’industrie en matière de sécurité et de vie privée. C’est le citoyen qui doit décider explicitement si oui ou non il consent à l’utilisation de ses données par des tiers. Par exemple, le Règlement général sur la protection des données (RGPD) de l’Union européenne, promulgué en 2016 et applicable depuis mai 2018, rend responsables les acteurs qui traitent les données des personnes, qui de leur côté jouissent d’un droit à la portabilité de leurs données. Les sanctions infligées aux fautifs sont proportionnelles au chiffre d’affaires et n’épargnent donc pas les oligopoles. Car nous ne devons pas mettre tout le poids de la protection des données sur la petite et moyenne entreprise. Avec des moyens financiers limités dédiés à l’informatique, les offres faussement « rassurantes » des géants du numérique seront à nouveau sur la table. Et nos données se retrouveront encore entre leurs mains...

La participation massive des Québécois aux communautés de logiciels libres facilitera grandement le développement de notre expertise en cybersécurité, infrastructures, plateformes et applications pour Internet. Après tout, c’est en internalisant une forte expertise en logiciels libres qu’un libraire en ligne est devenu le numéro un de l’infonuagique publique. Amazon pourra vous le confirmer, ce n’est pas possible sans le logiciel libre !

Le CA de FACiL

 


Note : Ce texte d'opinion a été envoyé aux médias suivants le 14 août : Journal de Montréal/Journal de Québec, La Presse, Le Devoir et Métro. Aucun n'a cependant jugé bon de le reprendre.