You are currently viewing Des services et des logiciels maîtrisés

Des services et des logiciels maîtrisés

Aujourd’hui, il est possible de trouver pour à peu près toutes les tâches scolaires et administratives un service gratuit sur Internet. Suites bureautiques (Office 365, Google Suite), courrier électronique (Gmail, Outlook, Yahoo,…), réalisation de sites (Google Sites, WebInx,…) ou de formulaires (Google Forms, Microsoft Forms,…), création de séquences pédagogiques (PadLet, Genially, …), visioconférence (Zoom, Google Meet, Microsoft Teams, Skype…), stockage de fichiers (Google Drive, Microsoft OneDrive, DropBox, …). Un enseignant ou un directeur n’a que l’embarras du choix ! Mais ces solutions, aussi efficaces soient-elles, posent un certain nombre de questions et de problèmes.

La nécessité d’être continuellement en ligne

Tous les services en ligne nécessitent d’être… en ligne continuellement ! Cela paraît évident. Cependant, certains d’entre eux pourraient parfaitement se passer de cette nécessité:

  • une suite bureautique peut parfaitement s’exécuter sur un ordinateur local et enregistrer ses données sur un disque dur local, sans jamais devoir se connecter à Internet
  • des séquences pédagogiques peuvent être réalisées sur un ordinateur local, hors ligne. Ce n’est qu’une fois au point qu’elles sont mises en ligne. 
  • le courrier électronique peut être téléchargé en local afin d’être consultable hors ligne
  • le stockage de fichiers peut évidemment se faire en local. On crée alors une copie en ligne quand c’est nécessaire

Moins de données échangées sur Internet, c’est plus de confidentialité, moins d’électricité dépensée par les relais entre vous et votre prestataire de services et l’abaissement des besoins en vitesse de téléchargement, permettant le choix d’un abonnement à Internet moins coûteux. De plus, cela peut vous affranchir de la nécessité de trouver de quoi vous connecter à Internet à chaque déplacement.

Le comportement du prestataire

Un prestataire de service en ligne doit offrir un certain nombre de garanties concernant l’utilisation qui est faite des données qui lui sont confiées. Or, nombre de prestataires font plus que stocker ou gérer les données de leurs utilisateurs. Il est aujourd’hui établi que ces prestataires analysent les données qui leur sont confiées à d’autres fins, parfois peu éthiques (ceci est expliqué dans l’article « Vous avez dit gratuit ? »). Ceci pose évidemment un problème déontologique: il arrive bien souvent que des données confidentielles soient échangées. Entre autres, on peut citer dans le milieu scolaire:

  • les résultats scolaires et les dossiers disciplinaires des élèves
  • les dossiers médicaux des élèves
  • les conversations entre enseignants qui peuvent contenir des informations sensibles sur les élèves
  • des éléments d’une délibération ou d’un conseil de classe
  • les discussions entre membres de syndicats
  • les données concernant la rémunération du personnel non enseignant
  • des notes de services comprenant des références à des élèves

La liste est longue… Il convient donc de choisir un prestataire reconnu pour son respect de la confidentialité. En Europe, les prestataires de services traitant des données sont soumis au RGPD.

Le Règlement Général de Protection des Données est un cadre législatif européen pour le traitement des données, auquel sont donc soumis l’ensemble des pays membres de l’Union Européenne. Il n’est pas parfait, mais il s’agit néanmoins d’une avancée majeure. Il est à ce jour le texte qui va le plus loin dans la protection des données. De plus, il est contraignant, les contrevenants s’exposent à des poursuites. Il est à noter que cela exclut, par exemple, la Grande Bretagne, la Suisse ou les États-Unis. Jusqu’en juillet 2020, il existait entre l’UE et les USA un traité nommé « Privacy Shield » qui prévoyait que les données exportées vers les États-Unis devaient être traitées avec les mêmes contraintes qu’en Europe. De nombreux grands prestataires américains adhéraient à ce traité. Mais la justice européenne a recalé le texte en juillet 2020 après examen attentif de la législation américaine, qui ne permet pas d’appliquer le Privacy Shield de manière sûre. Il faut donc considérer les prestataires américains comme non sûrs. Au moment d’écrire ces lignes, d’ailleurs, l’utilisation d’un prestataire qui exporte des données vers les États-Unis est considérée comme illégale. La Commission Européenne édicte régulièrement ses recommandations et publie la liste des pays considérés comme sûrs lorsque des données leur sont transférées. A ce jour (15 avril 2021), les États-Unis n’en font pas partie. Cela précipite donc Google, Microsoft, ou Zoom parmi les prestataires au mieux non sûrs, voire illégaux.

Si on ajoute le fait que plusieurs grands acteurs ont déjà été condamnés à travers le monde parce qu’ils ne traitaient pas les données qui leur avaient été confiées légalement ou loyalement, on peut se poser la question: quelle confiance accorder finalement à ces prestataires ? C’est là le nœud de la réflexion: il faut sans cesse s’interroger sur la confiance à accorder à un prestataire. Dans les faits, il est bien souvent possible de gérer soi-même les services que l’on souhaite utiliser. Ceci nécessite une certaine expertise, mais qui peut être acquise au prix de quelques efforts.

Le comportement des logiciels

Ensuite vient l’épineuse question des logiciels acceptables. Tout d’abord, il convient d’expliquer en quelques mots comment un logiciel est conçu.
Un logiciel informatique est une suite d’opérations que l’on demande à l’ordinateur d’effectuer. Mais un ordinateur n’est, en fin de compte, pas capable d’effectuer beaucoup d’opérations différentes: amener une donnée en mémoire, réaliser une opération arithmétique, comparer deux données, envoyer la donnée vers une mémoire externe… constituent l’essentiel des opérations qu’un ordinateur peut effectuer. C’est en combinant intelligemment beaucoup de ces opérations extrêmement simples qu’il est possible d’effectuer des opérations très complexes. C’est le travail de l’analyste de « penser » la manière de séquencer ces instructions simples, puis du programmeur de les expliquer à l’ordinateur. Très souvent, analyste et programmeur sont la même personne. Une séquence d’instructions élémentaires ayant pour but la réalisation d’un objectif déterminé est appelée algorithme. Un programme est donc une collection de plusieurs algorithmes articulés pour réaliser des tâches complexes.

Les programmes sont écrits dans des langages de programmation. Ce sont des ensembles de mots et de règles (un peu comme une langue, mais en très simplifié) qui permettent de décrire les suites d’opérations. Un programme écrit dans un langage de programmation est appelé code source. Malheureusement, si ces langages sont facilement compréhensibles par un être humain (cela nécessite une certaine expertise, tout de même), l’ordinateur, par contre, n’en comprend pas un mot ! En effet, ce dernier s’attend à ce qu’on s’adresse à lui sous forme de séquences d’instructions simples, balisées, et exprimées en binaire. C’est parce que ces séquences binaires sont très difficiles et longues à écrire qu’ont été inventés les langages de programmation. Il est donc nécessaire de traduire les codes sources en séquences binaires compréhensibles par l’ordinateur. Ces séquences binaires sont appelées codes objets. La traduction est réalisée par des programmes spécifiques nommés compilateurs ou interpréteurs (cela dépend du langage). Et c’est bien là que se situe le problème: parfois, un seul mot du code source est traduit par des dizaines, voire des centaines d’instructions binaires. La traduction inverse est quasiment impossible. À partir du code objet, il est presque impossible de générer le code source qui l’a produit, pas même un équivalent. Or, beaucoup des programmes qu’il est possible d’acquérir, moyennant paiement ou gratuitement, sont disponibles uniquement sous forme de code objet. C’est tout à fait suffisant pour exécuter le programme sur un ordinateur, mais cela pose malgré tout un petit souci: il est impossible de savoir ce que ces programmes font réellement car on ne peut prendre connaissance de leur code source, compréhensible par un être humain. Bien sûr, et avec un certain bon sens, les sociétés éditrices de ces logiciels se retranchent derrière le secret de fabrication. Mais il est donc possible que ces logiciels effectuent des actions qui vont au-delà de leur finalité initiale, sans qu’il soit souvent possible de le détecter ni, a fortiori, de l’empêcher.

Ainsi, par exemple, le système d’exploitation Microsoft Windows a normalement pour tâche de gérer l’infrastructure d’un ordinateur et l’interface avec l’utilisateur. Mais depuis quelques années, principalement depuis la sortie des versions 8 et 10, il collecte aussi des données qui sont envoyées régulièrement à Microsoft et l’utilisateur ne peut l’en empêcher totalement, ce n’est tout simplement pas possible. Cette collecte de données ne fait pas partie des fonctions attendues initialement d’un système d’exploitation, qui devrait se borner à faire fonctionner l’ordinateur et articuler les programmes qui s’y exécutent. Des données transmises obligatoirement à l’éditeur comme la liste des programmes installés peuvent renseigner beaucoup sur la vie privée de l’utilisateur (utilise-t-il un coach sportif numérique ? un programme lié à un groupe religieux ? un programme lié à une activité professionnelle particulière ?). Microsoft tente d’être transparent sur ce point, mais une question demeure: que faire si l’on souhaite utiliser Windows sans transmettre ses données à Microsoft ? Dans l’état actuel des choses, Microsoft demande simplement à ses utilisateurs non désireux d’exposer leurs données de renoncer à utiliser Windows ! Et si on lit la plupart des contrats d’utilisation des logiciels et services en ligne, des contraintes similaires sont bel et bien présentes. Sans oublier que la plupart des logiciels activent par défaut une collecte importante de données, que l’utilisateur ne peut éventuellement désactiver que s’il en est conscient. Ce n’est souvent pas le cas.

Dans le cadre scolaire, on ne peut que s’inquiéter du fait que les ordinateurs et appareils numériques puissent se transformer en espions et livrer tant d’informations à l’insu de leurs utilisateurs. C’est un élément à prendre en forte considération, surtout lorsqu’il s’agit de traiter les données sensibles des élèves. Et s’il s’agit de doter chaque élève d’un appareil numérique, on ne peut attendre de lui qu’il se comporte totalement raisonnablement avec ce dernier: l’enfance et l’adolescence sont les périodes où l’être humain expérimente le plus, autant pour son bien que pour son malheur. Qui sait quelles données l’enfant donnera en toute bonne foi ou plus vraisemblablement à son insu et qui pourront faire l’objet d’une analyse et d’un stockage qu’il n’a pas souhaités ? Il est de la responsabilité de l’école que cela n’arrive pas, au moins dans le cadre scolaire. Quant au personnel, peut-on réellement le forcer à utiliser des outils qui collectent des informations qui sont exploitées, non par leur employeur, mais par une entité tierce pour une finalité non liée à son travail ?

Bien sûr, si le code source des programmes utilisés était disponible, il serait possible pour un informaticien d’en étudier le fonctionnement et d’en extraire éventuellement les parties qui posent problème. Après tout, il est normal de pouvoir choisir ce que l’on souhaite faire avec un ordinateur ou un smartphone. Tous les autres comportements devraient être optionnels et devraient pouvoir être désactivés. Dans les programmes fournis par les grands éditeurs, ce n’est pas le cas, loin de là.

Que faire ?

La réponse est finalement assez simple: choisir des prestataires et des programmes qui respectent la confidentialité des données. Cela n’est pas aussi simple que cela peut paraître et les deux impératifs sont liés. En ce qui concerne le prestataire, quelques éléments sont à prendre en considération:

  • il doit être contraint légalement et uniquement par le RGPD. Cela implique donc qu’il soit situé dans l’Union Européenne et que ses conditions d’utilisation soient conformes au RGPD.
  • il doit utiliser des logiciels qu’il maîtrise et qui n’exfiltrent pas des données à son insu. En effet, même si le prestataire dispose d’une déontologie solide, elle ne sert à rien si les logiciels qu’il utilise pour délivrer ses services la contournent
  • au fond, on peut considérer qu’être son propre prestataire est une solution sûre et pérenne. Elle implique bien entendu quelques investissements, tant financiers qu’humains, mais le jeu en vaut largement la chandelle.

Vient ensuite la question des logiciels. Il faut trouver des logiciels qui offrent des garanties quant à leur adéquation au but recherché et à la préservation des données qui leur sont confiées. A ce titre, il existe une catégorie de logiciels qui remplissent ces garanties: les logiciels libres. Un logiciel libre est un logiciel comme un autre, dont le but est de répondre à un besoin. Ce qui le différencie des autres est la licence d’utilisation qui l’accompagne. Un logiciel, pour être considéré comme libre, doit être soumis à une licence qui répond à quatre libertés fondamentales:

  • il peut être utilisé pour tous les usages. On ne peut interdire à quiconque de l’utiliser pour un but particulier.
  • il peut être étudié et adapté à des besoins. Cela implique automatiquement l’accès au code source. La licence permet aussi de modifier ce code sans entrave (il existe des logiciels dont le code est disponible mais qu’on ne peut légalement pas modifier)
  • il peut être distribué sans contrainte. Cela signifie que le logiciel peut être copié à loisir ou être vendu. Ces deux libertés ne s’excluent d’ailleurs pas.
  • si on apporte des modification au logiciel (grâce à l’accès au code source), ces modifications peuvent être distribuées sans contraintes. Ceci est intéressant, car cela met en avant la filiation des logiciels libres avec la notion de Communs.

D’une manière générale, les logiciels libres offrent des garanties bien plus importantes que les logiciels fermés (dont seul le code objet est disponible) en ce qui concerne la protection des données et l’absence de fonctionnalités cachées, car leur code source ouvert et accessible permet à l’ensemble de la communauté des utilisateurs de les étudier et d’en déceler rapidement tout élément suspect. La possibilité légale de les modifier permet également d’en retirer tout comportement néfaste. Leur qualité n’est plus à démontrer et de nombreux logiciels utilisés couramment ou dans des contextes critiques sont des logiciels libres:

  • le système Android qui équipe une majorité de smartphones et tablettes. Il est cependant à noter que si le système de base est bien un logiciel libre, la plupart des outils qui sont fournis en sus par les fabricants d’appareils et par Google ne le sont pas. On ne peut donc considérer un système Android tel que présent sur les tablettes et smartphones comme un système libre au sens strict
  • le navigateur Chrome distribué par Google est basé sur le logiciel Chromium, qui est un logiciel libre. Chrome, quant à lui, ne l’est plus dans la mesure où il s’agit d’une version modifiée par Google d’une manière qui oriente fortement les utilisateurs de Chrome vers les services Google. Ces modifications ne sont pas libres et posent question quant à la confiance à accorder à Chrome pour préserver la confidentialité des données qu’il traite.
  • d’une manière générale, la majorité d’Internet se base sur des logiciels libres. La majorité des sites web, par exemple, utilise nginx et Apache, deux logiciels libres, pour délivrer ses contenus, selon Netcraft (mars 2021)

Il existe dans le monde du logiciel libre des alternatives puissantes et faciles à quasiment tous les logiciels fermés. Une école peut trouver des logiciels libres pour toutes les utilisations qu’elle a de ses données et services et pour équiper ses élèves de solutions efficaces et respectueuses de la confidentialité. Il y a un petit investissement à consentir pour apprendre à utiliser ces logiciels, mais ils disposent pour la plupart d’interfaces très proches de leurs équivalents fermés et l’apprentissage n’est finalement pas très long ni difficile. Cela vaut sans aucun doute la peine de s’y consacrer, pour augmenter considérablement la confiance et la tranquillité d’esprit. Et puis, il a bien fallu apprendre à utiliser les logiciels fermés, c’est donc un déjà-vu qui peut même devenir très motivant lorsque la liberté qu’offrent les logiciels libres devient évidente.

En résumé

Une école doit utiliser au maximum des logiciels libres. Lorsque ce n’est pas possible, il faut s’assurer que les logiciels n’exfiltrent pas de données non désirées.Pour les services en ligne, l’idéal est de gérer soi-même ses services. Lorsque ce n’est pas possible, le prestataire doit obligatoirement être situé en union européenne, ne pas utiliser de sous-traitant hors union européenne, il doit bénéficier d’une bonne réputation quant à la confidentialité qu’il accorde aux données qui lui sont confiées et il doit utiliser des logiciels libres.

Jacques Theys

Professeur d'informatique à l'Athénée Royal de Gembloux depuis 1999. Très concerné par la protection de la vie privée, de la confiance à accorder à l'informatique et de l'éthique générale dans le domaine de l'éducation.

Cet article a 4 commentaires

Laisser un commentaire