Attention, mouchards!

Photo: Tiffet
La découverte cette semaine de mouchards numériques capables de puiser des données personnelles sur les sites Web de plusieurs hôpitaux du Québec n’a pas seulement levé le voile sur la menace que font peser ces outils insidieux de pistage des comportements sur le respect de la vie privée. Elle pose aussi la question de la responsabilité des programmeurs et développeurs de sites Internet, au gouvernement comme ailleurs, devant ce profilage et ses conséquences politiques et sociales.
 

Troublé, à l’autre bout du monde. Mardi matin, en lisant « son » Devoir à Rabat, au Maroc, où il participait à une conférence internationale sur le « big data » (nom attribué par les Anglos à la masse de données numériques produites sur Internet), le professeur de communication à l’UQAM André Mondoux n’a pas été vraiment surpris d’y apprendre la présence de « mouchards » sur les sites Web de plusieurs hôpitaux du Québec. L’homme, un spécialiste de la surveillance en ligne, étant bien au fait de l’utilisation de ces outils dans l’analyse du trafic en ligne, mais également du profilage d’internautes principalement à des fins commerciales.

« Ce qui m’a le plus étonné, a-t-il avoué cette semaine au Devoir, par l’entremise de Skype, c’est de voir que les dirigeants des hôpitaux, les gestionnaires des sites Web, n’étaient même pas au courant de la présence de ces lignes de codes dans leurs pages. Depuis l’affaire Snowden [Edward de son prénom, et ex-analyste de la NSA de son état] et ses révélations sur la surveillance en ligne, sur les intrusions numériques dans la vie privée, on aurait pu s’attendre à une sensibilité accrue sur ces questions. Mais, visiblement, ce n’est pas le cas. »

Mardi, Le Devoir, au terme d’une analyse fine du code de programmation réalisée avec l’aide d’une poignée d’informaticiens indépendants, a attiré les regards sur l’existence de mouchards sur les pages Web du Centre hospitalier de l’Université de Montréal (CHUM), du Centre universitaire de santé McGill (CUSM), du Centre hospitalier universitaire de Québec (CHUQ), de l’Hôpital de Montréal pour enfants et du Centre hospitalier universitaire Sainte-Justine. Ces outils sont généralement utilisés pour collecter de manière anonyme des informations sur les visites, et ce, afin d’analyser la « performance » d’un site Internet.

Le profilage

Sauf que plusieurs mouchards repérés à ces endroits visent également le profilage comportemental des internautes à des fins commerciales et publicitaires en récoltant des données un peu plus sensibles, comme l’historique de leurs recherches en ligne, le numéro unique de leur ordinateur, leur numéro de téléphone ou des informations personnelles permettant de les identifier. Les données captées sont transmises à des entreprises privées spécialisées dans le marketing en ligne et la surveillance des internautes. Elles se retrouvent sur des serveurs aux États-Unis, parfois à Singapour, a révélé l’analyse. Cette collecte invisible, à l’insu de l’internaute, pose forcément un risque d’intrusion dans la vie privée, particulièrement lorsqu’elle se joue dans des environnements numériques dédiés à la santé.

Plusieurs mouchards trop curieux ont été rencontrés sur des pages liées à l’obstétrique, à l’oncologie, à l’encadrement des personnes victimes d’agressions sexuelles, à des maladies urinaires, aux suivis post-natalité. Pour ne citer qu’eux.

Un grand ménage

Dans la nuit de mardi à mercredi, la direction du CUSM a réagi prestement en faisant le grand ménage de ses sites Internet afin de se débarrasser des mouchards qui auraient pu permettre de révéler une condition de santé ou une préoccupation en matière de santé d’un internaute/visiteur. Mais leur absence, désormais évidente, ne fait pas disparaître pour autant cette question : comment ces mouchards capables de profilage à des fins commerciales peuvent-ils se retrouver sur des sites gouvernementaux en santé ? Et ce, dans l’indolence générale des programmeurs et gestionnaires des hôpitaux, tant et aussi longtemps qu’ils ne sont pas montrés du doigt ?

« Ce n’est pas par mauvaise intention, lance André Mondoux, mais par absence totale de réflexion sur l’impact social des gestes posés par les programmeurs et le développeur de site Web. Là où l’on voit un effet pervers, eux ne voient finalement que du code. »

Pour la prospectiviste française Valérie Peugeot, la posture intellectuelle n’est pas nouvelle dans le monde des technologies de l’information, qui depuis des lunes carbure à la pensée positiviste, y compris chez les « geeks » de gauche, expliquait-elle récemment dans les pages de Libération. « On ne voit dans la technologie qu’une source de progrès, et non pas un pharmacon, c’est-à-dire autant un poison qu’un contrepoison. »« Dans ce monde, le code est perçu comme quelque chose de neutre, ajoute M. Mondoux, même si cette neutralité n’est désormais qu’un leurre. »

Ceci explique sans doute cela, mais également le fait que des mouchards versés dans le profilage comportemental ont été recensés l’an dernier dans pas moins de 87 % des sites Internet offrant de l’information en matière de santé au Canada, selon une étude réalisée pour le Commissariat à la protection de la vie privée du Canada par une équipe de chercheurs de l’Université de Western Ontario. Jacqueline Burkell et Alexandre Fortier, de la Faculté de l’information et de l’étude des médias, signent l’analyse qui souligne la menace que font peser ces mouchards sur la vie privée et les possibles cas de discrimination qu’ils pourraient induire, particulièrement par des compagnies d’assurances qui pourraient chercher à en tirer profit.

Très répandus

Le document précise également que ces mouchards sont présents dans 83,3 % des sites francophones étudiés. En janvier dernier, ils ont également fait la manchette après avoir été découverts sur le site Web de l’Obamacare, site gouvernemental du nouveau programme d’assurance maladie aux États-Unis.

La facilité explique certainement la prolifération. C’est que ces capteurs de données se retrouvent bien souvent enchâssés dans des modules qui permettent l’affichage d’information sur un site Web, comme l’outil permettant de partager une page par l’entremise d’un courriel, d’un compte Facebook ou Pinterest. « Ces modules sont gratuits, indique le professeur d’informatique à l’UQAM Éric Beaudry, mais en contrepartie, ils s’approprient certaines données sur l’internaute » pour les revendre à des publicitaires ou toute autre entreprise ayant un intérêt commercial dans la compréhension des mouvements individuels en ligne et dans les secrets que les internautes pourraient y dévoiler, malgré eux.

Vers un ordre professionnel ?

« Il est temps de voir apparaître une certaine sensibilisation au sein de la communauté [des programmeurs] sur ces questions de vie privée, indique Jacques Berger, programmeur et chargé de cours au Département d’informatique de l’UQAM. Pour le moment, c’est l’internaute qui a la responsabilité de se protéger contre Internet, sans avoir les compétences pour pouvoir le faire adéquatement. »

Selon lui, un ordre professionnel « ou tout autre organisme » pourrait être bénéfique afin d’injecter dans ce milieu une autre forme de code : un code d’éthique où le principe de la protection du public aurait alors une place importante. « Les développeurs sont laissés à la merci des désirs des employeurs, dit M. Berger. Ils entrent des outils d’analyse ou d’affichage de contenus sans se questionner sur les codes qu’ils contiennent, sur le type d’infos qu’ils transmettent à une tierce partie », ajoute M. Mondoux. « Ces mouchards ne vont pas forcément disparaître, reprend-il. Car ils peuvent être utiles pour la compréhension des déplacements sur un site. Mais les organisations qui effectuent le développement doivent favoriser une culture propice au respect de la vie privée. »

Et ce, avec désormais de plus en plus une obligation de résultat. « Quand il y a un service gratuit, dit M. Mondoux, la monnaie d’échange, finalement, c’est vous et vos données. Nous sommes entrés dans un monde où tout est “marché”, où tout devient du marketing. Le profilage est le point de rencontre de la sécurité, du commerce et désormais de la vie elle-même. » Un monde aussi où heureusement les érodeurs de libertés civiles se font, eux aussi, de plus en plus surveiller…

De code et de conséquence

Pas facile de repérer le mouchard qui se dissimule dans de petites lignes de codes finement dissimulées dans la déferlante de codes qui organise la présentation de l’information sur une page Web. Une ligne suffit pour envoyer sur un serveur une information sur le type d’ordinateur utilisé par l’internaute, la localisation de son fournisseur d’accès, le type de fureteur qu’il utilise.

Le mouchard collecte ce genre d’informations dites anonymes. Mais il peut aussi, avec une simple ligne de codes, aller plus loin en s’appropriant des informations dites pseudo-anonymes (l’adresse IP de l’internaute, l’historique de ses recherches, le numéro unique de son appareil) et enfin des informations personnelles (numéro de téléphone, données d’identification personnelle que l’internaute pourrait fournir en remplissant un formulaire en ligne). Ces données sont conservées de trois mois à trois ans. Elles peuvent être à des tiers, indiquent plusieurs créateurs et propriétaires de ces mouchards.
2 commentaires
  • Sylvain Dionne - Inscrit 9 mai 2015 10 h 04

    Imputabilité des entreprises ou organisations fautives

    M. Deglise,

    Je suis d'accord avec M. Berger que vous citez dans votre chronique: "Les développeurs sont laissés à la merci des désirs des employeurs". Par contre, créer un ordre professionnel ne fera que focaliser le blâme vers les informaticiens. Ils devront mettre les bouchées doubles (sinon triples) pour combler les exigences irréalistes de leurs employeurs alors que ces derniers seront exonérés bien qu'ils soient souvent les premiers responsables (sans compter que ce sont les professionnels qui devront payer les frais d'adhésion).

    De plus, détourner l'attention sur quelques individus ne réglera pas le problème sur le fond. Présentement par exemple, ce sont les travailleuses sociales/travailleurs sociaux et les infirmières/infirmiers qui font les frais de toutes les coupures dans le réseau de la santé alors qu'elles/ils doivent remplir les exigences de leur ordre professionnel de façon disproportionnée par rapport à la responsabilité de leur employeur.

    Forcer plutôt les entreprises à assumer la responsabilité les incitera à créer des comités d'éthique et autres mécanismes de protection beaucoup plus efficaces car elles voudront éviter de la publicité négative ou des poursuites (peut-être un genre de norme "ISO"?). Cela permettrait d'imputer la responsabilité à tous ceux qui sont impliqués (on se doute bien qu'elles ne laisseront pas les employés s'en tirer à bon compte de toute façon).

  • Marc Davignon - Abonné 9 mai 2015 17 h 38

    Tout à fait.

    Depuis des années la question fut soulevée. Cependant, dans les années 90, les ingénieurs ont désiré «couvrir» entièrement ce domaine sans considération pour les gens qui y travaillaient déjà. Or, la demande avait été rejetée pour cette raison.

    N'avons nous pas suffisamment observer les «catastrophes» de plusieurs projets informatiques? Est-ce qu'un ordre professionnel va régler cela? Il en réduira les conséquences.

    Il faut y avoir travaillé depuis plus de 30 ans pour constater qu'il faut un informaticien pour faire de l'informatique, comme ça prend un médecin pour faire de la médecine ou encore, un mécanicien pour faire .... de la mécanique.

    Aujourd'hui, les projets informatiques sont gérés par des gestionnaires, pas des informaticiens. Il faut de rappeler le cas de la nomination d'un psychologue comme directeur de l'informatique pour le gouvernement. Si cela n'avait pas été de la question du conflit d'internet, l'informatique du Québec aurait été gérer par une personne qui a consacré toutes ces études à la compréhension de l'esprit humain.

    Il est plus que temps d'avoir un ordre professionnel pour les informaticiens et bien sûr, il devra avoir une période de transitions pour permettre de préparer les examens d'entrée et ne pas oublier les gens qui y travaillent déjà depuis plusieurs années (ils devront être acceptés d'emblée). Il ne faut pas oublier que l'informatique n'est pas seulement une question de programmation (réécouter les capsules sur les génies logiciels, c'est très instructif, il y a aussi le SWEBOK pour vous éduquer davantage, cas échéant)