5 décembre 2018

Sécurité

Cet article s’adresse particulièrement aux enseignants.

La sécurité des données semble être un sujet encore plus important depuis l’application le 25 mai 2018 du règlement européen sur la protection des données personnelles et la libre circulation de celles-ci. Mais la sécurité est un mot polysémique, et les différents sens qu’il peut prendre sont parfois incompatibles.

Le vol de l’appareil

La sécurité des données, c’est ne pas se les faire voler. Ainsi si vous vous faites voler votre téléphone portable, le voleur récupère votre carnet d’adresse et vos photos. Pour vous sécuriser de cela, vous bloquez votre appareil avec un code, une empreinte digitale, une reconnaissance faciale. Heureusement, les appareils Apple sont parmi les plus sécurisés au niveau du bloquage des terminaux.

La perte

Que vous vous fassiez voler votre appareil, qu’il soit cassé ou perdu, le résultat est le même, vous n’avez plus vos données. Mais vos données sont parfois plus importantes que l’appareil lui-même. Pour se protéger de la perte de données il n’y a qu’une solution, la sauvegarde. Il faut dupliquer les données sur un autre appareil ou un autre support. Apple vous propose des sauvegardes de tout votre appareil sur votre ordinateur ou dans le « cloud », et en plus mes applications vous permettent de faire des sauvegardes de vos données sur n’importe quel support.

Le pompage des données

Beaucoup d’entreprises ou d’administrations aiment savoir le maximum de choses sur vous. Une entreprise peut se servir de ces données pour vous proposer des publicités ciblées. L’administration fiscale peut se servir de vos données pour vérifier votre niveau de vie. Les services secrets (de votre pays ou d’un autre) peuvent vouloir vos données pour surveiller une population qu’ils considèrent à risque. Il est évident que toutes ces possibilités ne peuvent exister que grâce aux réseaux. La seule façon de se protéger du risque de récupération des données est d’utiliser des applications qui n’utilisent pas Internet et surtout dont les données ne sont pas sur un serveur distant. Cela tombe bien c’est le cas de toutes mes applications.

La modification à distance

On y pense rarement, mais aujourd’hui il est parfois possible d’agir sur votre appareil à distance. Par exemple Amazon a supprimé des passages antisémites d’un eBook de la bible à distance (sur toutes les tablettes de ses utilisateurs) car une association avait gagné un procès. Récemment, des écoles ont vu leur application JeValide supprimée des appareils fournis par la mairie parce que les appareils étaient gérés de façon centralisée. En clair, si votre appareil n’est pas géré par vous, vous pouvez avoir des surprises… N’oubliez pas de faire des sauvegardes régulières, car une modification de votre appareil peut vous faire perdre des données. Le mieux est de gérer vous même votre appareil.

L’effet domino

On ne le sait pas, mais la plupart des services web dépendent d’une cascade d’entreprises. Ainsi tous les sites web sont sur des systèmes d’exploitation qui sont mis à jour régulièrement et chaque mise à jour du système peut entrainer une coupure de service. Le service se sert d’un logiciel serveur WEB qui lui aussi peut-être modifié, ainsi que d’outils de développement. Le service est hébergé dans une ferme de serveurs, les serveurs sont mis à jour par d’autres modèles tous les cinq ans. Tous les ans il y a des plantages de pans entiers d’Internet. Pour s’en prémunir ? Travailler en local.

La disponibilité

Lorsque vous arrivez le matin dans votre classe et que vous souhaitez faire l’appel. Imaginez que vous vous serviez d’un service web… Et qu’il n’y ait plus de WIFI.

Une des sécurités importantes à laquelle il faut penser est la disponibilité du service, le fait que le service soit disponible lorsque vous en avez besoin. Un service en ligne peut être coupé si le courant coupe, si la connexion Internet coupe, si le WIFI coupe, si la société dépose le bilan. Heureusement mes applications fonctionnent sans WIFI, sans Internet, sur iPad (donc même avec une coupure de courant).

L’interopérabilité

Une autre sécurité à laquelle on ne pense pas est la possibilité de récupérer ses données d’un système à un autre. Le fait de pouvoir prendre des données de l’application A et de les mettre dans l’application B. Ce n’est en général pas très important sauf si l’entreprise fait faillite, et que vous êtes obligé de migrer les données.

Il n’est pas simple avec mes applications de récupérer des données venant d’autres entreprises. J’utilise cependant des formats ouverts pour stocker les données et elles sont donc utilisables par un autre dévelopeur. Presque toutes mes applications stockent les données aux formats JSON, SQLITE3, ZIP, TXT, PNG, JPG, CSV, PDF. Par exemple si vous souhaitez récupérer les informations des items de JeValide, le format d’export de la base des items est un fichier ZIP contenant un fichier JSON avec toute la structure des sections et des items et des fichiers JPG pour les illustrations.

L’économique

Lorsque vous prenez un abonnement à un service web, vous connaissez le prix les premières années, mais il se peut que ce prix augmente avec le temps. Un contrat vous garantira le prix pour la durée du contrat, mais vous n’êtes pas à l’abri de surprises.

Chez Apple, une application est achetée une fois pour toutes. Les mises à jour sont gratuites.

Comme il n’y a pas de serveur avec mes applications, il n’y a pas d’abonnement et pas de surprise. Une fois une application achetée, il n’y a pas de limite à son utilisation. Ne pas avoir de facture imprévue est aussi une sécurité.

Les problèmes législatifs

Lorsque l’on utilise des données personnelles qui ne sont pas à soi (professionnellement), on peut tomber sous le coup de la loi. La RGPD du 25 mai 2018 fait extrêmement peur à beaucoup d’entreprises, car celles-ci sont désormais responsables des données qu’elles traitent. Heureusement pour moi, je ne traite pas de données personnelles, je n’ai pas accès à vos données, mais ce n’est pas le cas pour la plupart des autres entreprises. Donc dès que l’on est un professionnel et que l’on traite de données personnelles on peut se voir mis en cause par le propriétaire des données. Contre se risque, des entreprises vous vendent des solutions, des audits, des experts. Mais il n’y a pas encore de jurisprudence vis à vis de RGPD, et donc personne ne sait vraiment. Tout le monde essaie de trouver sa réponse, ou de trouver un moyen de déléguer la responsabilité de ces traitements de données. La réalité de RGPD est que ce règlement va dans tous les sens. En tant que responsable de traitement, vous devez mettre en place la sécurité des données contre le vol, la perte, la modification, et permettre l’échange facile de données entre entreprises.

DI-017

Avant RGPD il y avait une directive européenne que suivait la CNIL. Mais la CNIL avait bien conscience qu’il n’était pas possible de travailler correctement avec toutes ces obligations. Il y avait donc une dispense DI-017 pour les enseignants. Aujourd’hui cette dispense n’est plus valable, mais la CNIL indique à mots couverts qu’il faut faire comme si elle était encore là car des textes de remplacement vont arriver.

www.cnil.fr/fr/liste-des-normes-et-des-dispenses

Le fondement légal des traitements des données de vos élèves est votre mission de service public. On ne peut pas vous demander de ne traiter les données des enfants qu’avec l’approbation des parents, parce qu’alors si un parent vous déniait le droit de traiter les données de son enfant, vous ne pourriez plus faire d’évaluation, plus de bilan, plus de rapport, rien. Cela entrerait en contradiction avec votre mission.

Conclusion

Vous ne pouvez pas sauvegarder votre iPad dans le cloud et être sûr que la CIA n’a pas accès à vos données. Vous ne pouvez pas utiliser Gmail et exiger que Google ne lise pas vos données pour vous proposer des pubs. Vous ne pouvez pas vouloir vous protéger du vol mais ne pas vouloir de code, etc. La sécurité universelle n’existe pas. Si vous souhaitez de la sécurité, vous devez définir ce dont vous voulez vous protéger et agir en conséquence. Si vous ne souhaitez pas perdre vos données il faut des sauvegardes. Si vous ne voulez pas que des entreprises regardent vos données n’utilisez pas de services en ligne. Etc…

Celui qui vous parle de sécurité ou de protection sans vous dire de quel danger il vous protège, vous arnaque ! Ne l’oubliez pas.

Emmanuel CROMBEZ