Protection de la vie privée par les bibliothécaires français

[marion.chovet]

Bonjour, 

dans le cadre de mon mémoire Enssib, j'ai réalisé une enquête au sujet de la protection de la vie privée par les bibliothécaires.

D'avance, je vous remercie de votre participation.

http://enquetes.enssib.fr/index.php/322929?lang=fr

 

Marion CHOVET

Elève conservateur - DCB27

[Epsy]

Bonjour,

 

Bêtement, je me suis arrêtée à cette question : "Votre établissement communique-t-il auprès de ses usagers sur sa politique en matière de protection des données à caractère personnel ?" => on ne peut pas cocher "non" ! Alors, oui, je sais, dans l'idéal, on devrait communiquer sur cet élément-là, mais n'ayant pas de newsletter à destination des usagers, nous n'avons pas communiqué outre mesure (à part à l'oral, quand leur compte est supprimé au bout d'un an d'inactivité et qu'ils sont surpris ;-) Mais ça compte ?)

 

Je suis étonnée que le questionnaire tourne autour de la RGPD directement mais peut-être que dans la suite on avait d'autres questions, plus large. En tous cas, je vous invite à consulter le sujet "Voulons-nous des bibliothèques sous surveillance en France ?", largement commenté, où la protection de la vie privée, et de facto la protection des données à caractère personnel, a une très bonne place.

 

Epsy.

[Ferris]

supprimé

 

Modifié le 3 août 2019 par Ferris

[Epsy]

@Ferris Moui ben bof : après recherche dans notre règlement intérieur, on indique seulement que les données restent confidentielles, et que l'on conserve les données de connexion un an (alors que dans les faits, c'est davantage : c'est toutes les données usager qui sont concernées). Pas d'affichage particulier (hors règlement). Donc indiquer un grand oui à la question de Marion me parait ouvrir grand la porte à des biais importants...

 

Epsy.

[marion.chovet]

Bonjour, 

je vous remercie pour vos commentaires et d'avoir répondu à mon enquête. Celle-ci est un élément du mémoire, et me permet notamment de voir comment la question est appréhendée par les collègues et les établissements.

Le sujet du mémoire a été défini bien avant les débats qui ont eu lieu sur ce même forum au sujet de la surveillance. C'est un élément que je prends en compte bien évidemment.

Le RGPD est un élément important de la réflexion, mais pas uniquement. J

Pour la réponse "Non" sur la communication, je vous invite à le mentionner dans la rubrique "Autre". 

Si vous souhaitez me contacter n'hésitez pas : marion.chovet@enssib.fr

Bonne journée

Marion

[Ferris]

supprimé

 

Modifié le 3 août 2019 par Ferris

[B. Majour]

Il y a 19 heures, Ferris a dit :

mais sont en fait récupérables sur le disque dur en cas d'intervention des services de police. C'est en tous cas ce qu'on m'a expliqué. Ils peuvent même faire de la perquisition numérique, donc à distance en temps réel. De toutes façons un fichier n'est définitivement effacé que lorsque la partie physique du disque dur le concernant a été réaffectée à l'enregistrement d'autres données. Donc en réalité nous conservons à notre insu des données bien plus longtemps qu'un an.

 

Pas faux.

 

Petite correction, quand même sur le "définitivement" effacé après un seul passage.

 

"Dans une étude toujours d’actualité, le spécialiste Peter Gutmann démontre qu’il est nécessaire de réaliser trente cinq passes de réécriture pour effacer définitivement des données. Un conseil en partie appliqué par le gouvernement américain qui préconise à ses fonctionnaires du FBI ou de la CIA au moins sept passes pour effacer les documents confidentiels."

http://investigation.blog.lemonde.fr/2007/10/09/formate-casse-ou-brule-un-disque-dur-garde-toujours-une-trace-de-vos-fichiers/

 

35 fois pour être presque sûr.

13 pour les applications militaires.

7 fois pour les documents confidentiels.

 

En réalité, le seul moyen réel d'être sûr : c'est la destruction physique du disque à coups de marteau. On peut aussi coller un bon gros aimant de haut-parleur sur le disque et attendre un peu, le temps que tous les plateaux soient aimantés de manière désordonnée.

Le chalumeau, c'est pas mal aussi. Quand le disque fond, on est tranquille.  (utile pour les clefs USB)

 

 

Sinon, exact, Marion aurait dû mettre "Non" à plusieurs reprises, parce que ce manque oriente obligatoirement les réponses.

Autre, ce n'est pas non.

 

Est-ce que le RGPD est appliqué ?

La réponse est non.

 

Perso, j'attends toujours les directives de ma collectivité.

Et c'est une question que Marion aurait dû poser plus directement : avez-vous eu des directives de votre tutelle ?

Et là aussi, le Non devrait être en première position.

 

En attendant, pour être conforme à la loi, j'ai indiqué sur ma fiche d'inscription à quoi était destiné le traitement des données et j'ai mis une petite case à cocher.

Première inscrite avec ce type de document, première réponse :

- Non, je ne coche pas, je ne sais pas ce qu'est le RGPD.

 

Et là, évidemment, mort de rire.

Il va falloir que je fasse un petit panneau expliquant ce qu'est le RGPD à la bibliothèque.

 

Le problème, c'est que si les gens veulent un accès de rectification de leurs données, ça reste possible. Mais s'ils veulent le côté transportabilité ou récupération de leur historique, mon logiciel ne le permet pas... à part des impressions écrans, ce qui laisse songeur sur la transportabilité des données.

 

Et vous, c'est mieux ?

 

 

 

 

[Ferris]

supprimé

 

Modifié le 3 août 2019 par Ferris

[Epsy]

Le 23/07/2018 à 16:03, Ferris a dit :

Bon d'abord tu parles de l’accès informatique public

 

Au départ, dans le premier post, non, je parlais de tout (données SIGB comprises) : dans mon second message, j'ai juste cité ce qui était présent dans notre règlement, ce qui est effectivement très restrictif et ne donne en rien toutes les infos de ce que nous faisons avec les données des usagers. Désolée si je n'ai pas été claire (mais j'avais pourtant la sensation de l'être)

 

Epsy.

[Ferris]

supprimé

 

Modifié le 3 août 2019 par Ferris

[Epsy]

Il y a 16 heures, Ferris a dit :

T'es une fille à sensation. Sensationnelle :

 

Ça doit être ça !

[B. Majour]

Le 24/07/2018 à 13:21, Ferris a dit :

Ce qui est un peu inquiétant c'est ça :

http://www.myprivacyspace.net/perquisition-numerique/

 

Après lecture, il s'agit d'une banale perquisition informatique.

 

Est-ce que tu as peur de ça ?

Autrement dit, les enquêteurs pourront voir et enregistrer en temps réel, à distance, les données informatiques telles qu’elles s’affichent sur un ordinateur, même lorsque les données ne sont pas stockées sur le disque dur (lecture d’un CD-Rom, saisie de texte en live sur Internet…).

Les logiciels « d’écoute » peuvent également être installés à distance ou physiquement, là où se trouve l’ordinateur. Il s’agit des mouchards l’opération est semblable système actuel d’interceptions de communications téléphoniques.

 

Tu sais que "à distance", ça peut aussi vouloir dire chez le provider. Ou en te branchant directement sur les concentrateurs téléphoniques (méthode à l'ancienne), ou en demandant à ton DSI si tout le réseau passe par lui.

 

Pour le reste, regarde ceci

https://www.zdnet.fr/actualites/des-claviers-filaires-pirates-par-des-chercheurs-suisses-39384356.htm

 

Tu peux espionner des claviers.

Mais les écrans aussi émettent des ondes, donc.

 

Regarde encore

https://www.presse-citron.net/pirater-un-pc-grace-aux-ondes-du-processeur-cest-possible/

 

Pour des gens capables de faire ça, hacker une transmission Wi-Fi, bluetooth ou un appel téléphonique, c'est de la rigolade.

En plus, ils ont tout le matériel pour le faire (et la légalité itou). Oui, quand tu téléphones ou que tu utilises ta tablette, tu n'émets pas juste pour ton correspondant... tu émets pour tout ceux qui sont à l'écoute.

Tu sais encore qu'on peut cloner (contrôler) un téléphone portable en s'approchant assez près. La réalité dépasse la fiction.

Petit exemple : http://www.bluetooth-hack.fr/

 

Ce sera encore pire avec les objets connectés, qui émettront à ton insu tout un tas d'informations... souvent en clair !

 

Une vraie bibliothèque personnelle à ciel ouvert.

[Ferris]

supprimé

 

 

Modifié le 3 août 2019 par Ferris

[B. Majour]

Il y a 13 heures, Ferris a dit :

A mon avis le DSI est forcement complice.

 

Si chaque copie vient chez lui, c'est qu'il a demandé cette fonctionnalité.

 

Zut ! Tu ne pourras plus imprimer ton cul sur le photocopieur.

Sauf si tu débranches le réseau derrière l'appareil ou le combiné téléphonique. Pour le débrancher, il suffit de regarder le mode d'emploi du photocopieur ou de chercher le modèle sur Internet. Pas de réseau, pas d'espionnage possible... (sauf par WI-FI, ou alors par un combiné téléphonique intégré à vérifier suivant les modèles.)

 

Le mouchard, oui c'est plutôt inquiétant. Surtout si tu n'as pas été averti. Parce que là, c'est contraire à la loi et tu peux te retourner contre ta tutelle et demander des explications.

Si ça vient bien de ta DSI. Ce serait encore pire si ça venait d'ailleurs. Car on peut ainsi récupérer tous tes identifiants... et se faire passer pour toi !

=> D'où des demandes d'explications immédiates à la tutelle pour savoir si ça vient bien de la DSI. Rien que pour l'aspect sécurité, ça me semble obligatoire.

 

https://www.juritravail.com/Actualite/consultation-comite-entreprise-conditions-emploi/Id/91081

Troisième conséquence, l’employeur n’a pas à surveiller son salarié lorsque ce dernier exerce, tant dans l’entreprise qu’en dehors de celle-ci, un mandat syndical ou des fonctions représentatives.

 

Quelque part, ce qui m'étonne un peu, c'est ce mouchard, surtout si tu es sur un réseau qui passe par un serveur contrôlé par la DSI. Parce que là, ils savent déjà tout de tes connexions.

C'est une obligation de la loi. Ce qui s'applique à l'usager, s'applique aussi aux employés. Donc idem pour le secret de la correspondance.

 

Les écoutes téléphoniques, je ne sais pas, Ferris.

Il y faudrait certaines raisons. Tu détiens des secrets particuliers, tu as énervé beaucoup de monde ?

 

Pour le côté photocopieurs, tu savais pour qu'on peut aussi récupérer tout ce qui a été imprimé par le tambour d'une photocopieuse mis à la poubelle.

Sinon, en tant que syndicaliste ou même bibliothécaire, tu as bien des raisons de demander l'arrêt de l'espionnage des photocopies.

Ou, si tu veux vraiment enquiquiner ton monde, tu demandes un code particulier pour faire des copies privées et invisibles pour tes activités syndicales.

 

Hum, à la réflexion est-ce que tu dois le demander à ta DSI ou au fournisseur des photocopieurs ? Je pencherai plutôt pour la deuxième possibilités, tiens.

Parce que "complicité" dans une activité d'espionnage d'un syndicaliste, ça peut les entraîner loin. Et ils ne vont pas du tout aimer si tu portes plaintes contre eux.

Et il se pourrait fort bien que dès le lendemain tu aies un technicien qui vienne paramétrer ton photocopieur de la "bonne" façon, pour qu'il ne transmettre plus rien.

 

Pour être vraiment salaud, Ferris, tu peux (avant toute intervention) ajouter sur tes photocopieurs à destination du public.

Attention, ce photocopieur envoie des copies numériques à notre département informatique... donc si vous désirez des copies numériques de vos documents, faite valoir la portabilité du RGPD auprès du service informatique pour les obtenir. Merci à vous !

Le mail du service informatique est le suivant : XXXX

 

Et si la DSI se manifeste _{en te disant que ce n'est pas un service}, tu pourras leur dire que la copie privée est à destination exclusive du copiste. Et qu'elle est privée !

 

Le RGPD est une mine de petits amusements si on a envie de jouer avec.

 

 

Pareil pour le Mouchard, tu aurais pu t'amuser un max et jouer à l'affolé.

Envoie à tous tes correspondants, + chefs de service, +DSI, +DGS, +tutelle : "on vient de me débusquer le logiciel untel... qui a sans doute été installé par un virus, merci de vérifier chez vous qu'il n'y a pas ce genre de logiciel dans la barre des tâches. Je demande également au service informatique de passer en urgence pour contrôler tous les postes de la bibliothèque pour évaluer les fuites et les risques potentiels."

 

Enfin, à l'affolé... avec de justes raisons. Un mouchard, ce n'est pas anodin.

Et tu n'es peut-être pas tout seul dans ce cas.

 

Il faut être prudent en réseau.

On est vite tous concernés.

 

[Ferris]

supprimé

 

Modifié le 3 août 2019 par Ferris

[B. Majour]

Il y a 16 heures, Ferris a dit :

Quant à prévenir le public qu'il est surveillé, d'abord il faudrait en être certain, mais là tu peux faire tes valises illico.

 

C'est pour ça que je me renseignerai auprès du fournisseur de photocopieur Ferris. Je n'en resterai pas aux simples bruits de couloir.

Surtout si je deviens syndicaliste... un jour.

 

Il y a 16 heures, Ferris a dit :

M'est avis que si pour toi "Le RGPD est une mine de petits amusements si on a envie de jouer avec.", pour la plupart des gens ce sera surtout une source d'emmerdements.

 

Pour les administrations tu veux dire.

En particulier pour les DSI. Surtout si elles récupèrent vraiment les scans des photocopieurs (pour quels usages exactement ?).

 

Après tout, si je connais le type de photocopieur et ses possibilités, je peux me poser des questions sur l'usage de mes données personnelles, non ?

Une copie privée, c'est une donnée personnelle, encore plus si elle peut être relié à moi. Donc.

 

Ce sera encore plus criant si mes usagers sont concernés.

Et je ferai un retour à la tutelle rien que pour me couvrir.

 

Comme pour le RGPD, il va bien falloir que je mette les pieds dedans pour savoir si j'ai raison de faire cocher une case sur ma fiche d'inscription.

Ou rien que pour ma feuille d'explications à destination du public. Le DPO, je ne peux pas l'inventer, et normalement il doit être indiqué.

 

Enfin, pour ceux qui s'en préoccupent vraiment. Autrement dit, pas grand monde.

[Ferris]

supprimé

 

Modifié le 3 août 2019 par Ferris

[Louve]

Il y a 4 heures, Ferris a dit :

L'autorité territoriale peut se prévaloir de la diffusion de "données sensibles" (imaginons que j'aie connaissance d'un marché public légèrement trafiqué par exemple et que je le communique par scan à la DGCCRF, dont l'adresse mail est mémorisée dans le copieur), données qu'il peut définir à son libre choix (compte-rendus de débats internes etc....).

 

Si vraiment un fonctionnaire veut alerter sur des possibles manquements, je lui conseillerai le recours aux bonnes vieilles méthodes, soit photographier les documents douteux avec un appareil perso et de les faire parvenir en déposant dans la boîte aux lettres de la DGCCRF, ou d'un journal...

Utiliser une boîte mail cela signifie qu'il faut être prudent et sur ce coup là m'est avis que passer par sa propre boîte mail, son propre accès internet n'est pas la meilleure protection. Et bien évidemment, hors de question d'utiliser l'accès internet pro pour ce type de dénonciation.

 

[Ferris]

supprimé

Modifié le 3 août 2019 par Ferris

[Louve]

il y a 1 minute, Ferris a dit :

Et je signe ma lettre comment ? Un ami qui vous veut du bien ? 

 

Bin non, tu signes Gorge Profonde voyons!

Blague à part, si vraiment tu veux te lancer dans ce genre d'alerte tu as intérêt à assurer tes arrières et à border le tout.

Les messageries cryptées ça existe. Et utiliser un accès sécurisé c'est possible. Mais bien évidemment, quand il s'agit de sujet sensibles, on n'utilise pas les outils pro, c'est tout.

 

[B. Majour]

Il y a 17 heures, Ferris a dit :

par scan à la DGCCRF, dont l'adresse mail est mémorisée dans le copieur

 

Waow, tu as de drôle de mail dans ton copieur.  

 

Bon alors, je te précise quand même que tout ce qui passe par mail passe obligatoirement par le serveur de mails  (logiciel qui sert de centre de tri).

Le copieur envoie le scan à ce serveur de mails qui va l'envoyer ensuite à son destinataire. (toi ou quelqu'un d'autre)

 

Où se trouve le serveur de mail dans une entreprise/collectivité ?

Sur le serveur du (ou géré par le) service informatique. (sauf si tu as une ligne directe vers un provider)

 

Donc, inutile de se prévaloir de la diffusion de "données sensibles". Tous tes mails sont stockés (scan compris) sur ce serveur par nécessité de fonctionnement.

Si tu envoies du bureau, alors tout est stocké ET consultable légalement par ton employeur. (sauf si l'intitulé est marqué privé, ce qui n'empêche pas de lire, mais ça ne peut plus servir devant la justice.) Et c'est en clair, sauf si tu cryptes ton message.

 

Le tout est de savoir combien de temps les messages sont conservés.

Et si le DSI a le temps de lire en continu ces messages. Ou l'intérêt de le faire.

Plus la taille disque pour stocker les messages. En général, comme pour la poubelle de ton ordinateur, le serveur mail utilise une place disque limitée, et les anciens messages sont effacés pour permettre le stockage des nouveaux. Si tu envoies régulièrement du lourd, le logiciel va écraser les anciens. Tu peux te servir de ce biais pour envoyer un mail à la DGCCRF et ensuite tu t'envoies plusieurs Mo de photos ou d'autres choses. Place limitée = message effacé. Maintenant si la DSI a taillé large, du genre 2-300 Go, parfois plus, il va t'en falloir des messages et des messages. En plus ça risque de saturer le serveur mail et la DSI va se poser des questions sur ce que tu es en train de fabriquer. (Là, ça t'explique un peu pourquoi certaines administrations ont des limitations dans la taille des mails à l'expédition et la réception)

 

Perso, je ne pense pas que ta DSI s'amuse à stocker les photocopies. D'abord pour des raisons de débit du réseau, ensuite l'intérêt.

Rappelle-toi que tu n'es pas tout seul à faire des photocopies et que, sauf utilisation d'une carte ou d'un code nominatif, il devient difficile de trier/déterminer qui a photocopié quoi.

C'est la stratégie du "bruit".

 

Si tu ouvres un onglet, on sait ce que tu consultes.

Si tu en ouvres 50, on ne peut plus savoir avec précision ce que tu regardes vraiment.

 

Par contre, on peut tout à fait utiliser les heures d'envoi ou de consultation, hein. Le mec qui travaille après 18h00 à la bibliothèque, c'est pas l'employé de base. C'est le cadre.

Si jamais tu dois envoyer un mail anonyme, par un serveur anonyme (exemple https://tobal.fr/20-sites-pour-envoyer-et-recevoir-vos-emails-en-restant-anonyme/) évite de le faire aux heures où il n'y a plus personne. En particulier du bureau.

 

Sinon, pour lancer des alertes. On emploie ce qui a fait ses preuves depuis des lustres.

La bonne vieille lettre papier anonyme. Avec des gants, ou un emballage surgelé pour ne pas laisser d'empreintes. On ne lèche pas le timbre, on poste ailleurs.

En faisant gaffe que la photocopieuse n'inscrive pas une sorte de filigrane papier "invisible" malgré tout.

 

Sur un scan ou une photo numérique, cette information est quasi certaine. Les images sont très bavardes avec leurs tags, comme les mails avec leur en-têtes codés. (Oui, l'anonymat sur Internet, c'est celui d'un éléphant qui vient de passer dans une mare de boue et qui entre dans un magasin de porcelaine immaculé)

 

Tu signes Gorge Profonde ou Pointe Ardente, Fée et Risette à ton choix.

Mais une vraie lettre anonyme n'a pas de signature. 

 

 

Tu remarqueras ici que tous les mails étant stockés sur le serveur mail, ceux de la tutelle le sont aussi.

Ceux du CCAS idem, et certains sont vraiment confidentiels. Comme ceux des syndicalistes d'ailleurs.

Un mec un peu tatillon pourrait s'enquérir - auprès de sa DSI - de la durée du stockage sur le serveur mail et demander si conserver de telles données est bien légal et même sécuritaire.

 

Avec le RGPD, c'est encore plus clair. La finalité étant d'envoyer le mail, sa conservation devient sans objet.

Comme je te l'ai dit : on peut s'amuser énormément avec le RGPD... à poser des questions chiantes. (et à remettre en cause certaines pratiques de surveillance)

 

 

Il y a 18 heures, Ferris a dit :

Syndicalement ils ne sont pas défendables.

 

C'est vrai, Ferris, syndicalement les gars du service technique qui utilisent le matériel pro à la maison ne sont pas vraiment défendables… sauf si on considère ces usages comme un entraînement propre à enrichir leurs compétences professionnels.

Ce n'est pas blanc ou noir, il y a beaucoup de gris si on le cherche vraiment. 

 

 

[marion.chovet]

Bonjour,
Mon enquête sur la protection de la vie privée par les bibliothécaires français a été lancée en juillet dernier, je remercie donc les collègues qui ont déjà répondu.
Mais si vous étiez en congés, vous pouvez y répondre jusqu'au 21 octobre.
Je vous remercie par avance du temps que vous pourrez consacrer à cette
enquête.
http://enquetes.enssib.fr/index.php/322929?lang=fr
Bien cordialement
Marion Chovet
DCB27

[marion.chovet]

Bonjour, 
je me permets de vous signaler la mise en ligne de mon mémoire de conservateur des bibliothèques, sous la direction de Damien Belvèze, et portant sur la protection de la vie privée des lecteurs par les bibliothécaires français.
https://www.enssib.fr/bibliotheque-numerique/notices/68902-la-protection-de-la-vie-privee-des-lecteurs-par-les-bibliothecaires-francais
Je remercie encore les membres d'Agorabib pour avoir partagé leurs informations, leurs questionnements, et sans doute avoir répondu à l'enquête.
Marion Chovet