Données personnelles et usagers : quel rôle pour les bibliothécaires ?
Journée ABF Ile-de-France – 14/12/2015
Le 14 décembre, l’ABF groupe Ile-de-France a organisé une demi-journée d’étude sur les données personnelles en bibliothèque. Une mise en contexte a été assurée par Thomas Fourmeux (trésorier du groupe ABF Ile-de-France et assistant multimédia à Aulnay-sous-Bois), puis, grâce à la présentation de Benjamin Guichard (directeur scientifique de la BULAC) et Thomas Jacquot (correspondant informatique et liberté de la BULAC), nous avons pu découvrir le cas pratique d’une bibliothèque qui parvient à protéger les données personnelles de ses usagers. Enfin, nous avons eu une présentation de l’association Framasoft par Genma (bénévole de Framasoft, participant au projet « degooglisons internet »).
Le 6 juin 2013, Edward Snowden faisait des révélations fracassantes sur Prism et la NSA, et cela dépassait largement le cadre des USA. Le Patriot Act, né après le 11 septembre pour lutter contre le terrorisme, a permis la mise en place d’une logistique de surveillance. Cela a pris une telle importance qu’en 2013 le budget de la NSA était d’environ 10 milliards de dollars. Partout dans le monde, les FAI (fournisseurs d’accès internet) collaborent et favorisent la surveillance. En France, une loi récente sur le renseignement permettra, si elle est totalement adoptée, de pouvoir surveiller un suspect sans le garde-fou d’un juge. Cette loi sur le renseignement rendra aussi possible l'utilisation par l’Etat des données enregistrées par les bibliothèques. Or, c’est en contradiction avec la protection de la vie privée telle qu’elle est définie par l’article 12 de la Déclaration Universelle des Droits de l’Homme de 1948.
Aujourd’hui, les réseaux sociaux et l’ensemble d’internet sont des services dont on ne peut plus se passer, mais qui n’ont rien d’innocent. Avec l’affaire Snowden, le chiffrement par Apple des communications qui sont normalement indéchiffrables par la NSA fait doublement polémique... Face à ces problèmes de protection de la vie privée, que peuvent faire les bibliothèques pour protéger les données personnelles des usagers ? Lorsque l’on réalise que 58% de la population a un smartphone (dont 6% le regardent plus de 200 fois dans la journée) et que 30 millions de personnes ont un compte Facebook, il est important de permettre aux utilisateurs de prendre conscience des risques qu’ils prennent en termes d'intrusion dans leur vie privée. La littératie numérique est l’habileté et la capacité d'utiliser les médias numériques et sur ce thème, les bibliothèques peuvent agir en formant les usagers à la maîtrise des outils numériques tout en leur permettant de prendre conscience des enjeux.
Pour le prêt de livres numériques en bibliothèque, il existe une polémique importante. PNB (acronyme de prêt numérique en bibliothèque) propose aux usagers l’accès à des livres numériques, mais ceux-ci sont équipés de DRM (digital rights management), ces petits verrous mis en place pour éviter les copies, il faut donc pour les lire un logiciel d'Adobe. Or, celui-ci espionne non seulement les lectures des usagers mais aussi tout le reste du contenu des ordinateurs ! Utiliser des logiciels propriétaires permet des services efficaces mais qui ne sont pas sans conséquence. Les bibliothécaires ont pourtant le devoir de veiller à protéger la confidentialité des données des usagers. Lors du dernier congrès de l’IFLA, il a été rappelé que les bibliothèques ne sont pas des FAI (fournisseur d’accès internet), et n’ont donc pas les mêmes devoirs vis-à-vis de la loi, mais elles sont tout de même tenues de protéger leurs usagers. Le point 6 de la charte BibLib proposée par l’ABF indique que la bibliothèque doit proposer un accès à internet libre, sans filtrage mais ni les captations de données ni la loi sur le renseignement ne vont dans ce sens.
L’exemple de la BULAC
La BULAC (bibliothèque universitaire des langues et civilisations) propose des postes internet en accès libre, sans indentification nécessaire. Il n’y a pas de wifi, seulement d’excellents accès filaires de 100 mégabit, ce qui permet de considérer qu’il ne s’agit pas d’une connexion publique et cela rend la gestion des données bien plus simple. En effet, lorsqu’en utilisant un opérateur interne de télécommunication et son propre service informatique, la bibliothèque propose une connexion exclusivement filaire et sans demande d’informations personnelles, la loi n’oblige à rien. De plus, l’obligation de blocage des sites ne les concerne pas non plus car les bibliothèques ne sont que des opérateurs internes et non des fournisseurs d’accès. SIGB libre utilisé à la BULAC, KOHA est un logiciel couteau-suisse sous Linux, donc libre. Il n’oblige pas à avoir un annuaire des lecteurs. Or logiquement, sans collecte d’informations par la bibliothèque, il n’y a plus obligation de conserver quoi que ce soit. Toutefois, il faut toujours veiller à ne pas laisser les adresses des usagers en accès libre et les informer de ce que l’on va faire des données qu'ils fournissent au SIGB. L’université de Paris 8 a développé un prototype « Prévu » qui permet d’exploiter les données d’usages et de prêts en bibliothèque sous KOHA. En matière de gestion de données personnelles, c’est le code des communications qui donne la clé de lecture des droits et devoirs. Pour les bibliothèques, il s’agit de la norme simplifiée n°9 de la CNIL (commission nationale de l’informatique et des libertés) qui indique qu’il faut conserver un an les données selon la loi. Avoir un correspondant informatique et liberté permet de s’affranchir des démarches à faire auprès de la CNIL car c’est le correspondant qui gère le dossier.
Mais sans collecte de données personnelles ni conservation, il suffit simplement d’être en mesure de fournir l’adresse IP et les heures de connexion. Cependant, si on collecte des informations, la loi informatique et liberté rend leur communication en open data obligatoire. Il faut rappeler qu’en bibliothèque, les données de prêts passent par les fiches lecteurs et que celles-ci doivent être régulièrement supprimées. Pour l’exploitation des données, les informations sont extraites mais en utilisant une anonymisation très efficace. Enfin, tout ne peut pas être conservé : pas d'URL par exemple et pour compliquer encore les choses, la bibliothèque se doit non seulement de conserver les données, mais aussi de rendre le lieu de conservation inviolable.
L’avantage de proposer des ordinateurs en accès libre sous Linux est que la simple fermeture d’une session permet d’effacer toutes les informations qui y étaient enregistrées. L’utilisation de Google Apps version entreprise est une option assez intéressante car normalement, il n’y a pas d'utilisation détournée des données captées. Avec l’avantage de ne pas avoir à subir de publicité. Mais cela n’est vrai que pour la version entreprise, pas pour Google standard !
Le plus simple pour préserver la vie privée des usagers est donc d’utiliser un logiciel libre et de demander le minimum d’informations, de façon à devoir en conserver le moins possible. Ce contexte n’est pas spécifique à la BULAC : les articles 33 et 34 sur les FAI et la note de la CNIL sur les web-cafés confirment que cela est généralisable à toutes les autres bibliothèques.
Le projet Framasoft
Framasoft, association française d’intérêt général (« Frama » est l’acronyme de français mathématiques) promeut les logiciels libres, la culture libre, les creatives commons auprès du grand public. Un logiciel libre offre la liberté d’utiliser le logiciel, celle d’accéder au code source, le droit de faire des copies et de les distribuer ainsi que le droit de vendre le logiciel. Les gafam (acronyme de Google, Amazon, Facebook, Apple, Microsoft) présentent, au contraire, des contraintes fortes tant dans l’économie numérique qu’ils dominent qu’auprès des utilisateurs qui ne contrôlent alors plus leur vie numérique. Pour y répondre, Framasoft promeut les services libres, le projet est de dégoogliser internet en proposant les mêmes services sans la captation de données personnelles. Framasoft développe ses projets par rapport aux différents logiciels de Google. Il existe un cloud, des documents partagés, un équivalent d’Excel, une sorte de Doodle, un logiciel pour créer rapidement des images vectorielles, un logiciel de cartes heuristiques et Framasphere, un logiciel comme Facebook mais qui ne collecte pas les données. Il y a aussi Framabee, un moteur de recherche libre (qui marche aussi avec l’adresse tontonroger.org).
Enfin, pour les plus motivés, il existe un moyen de protéger sa vie privée numérique en s’exonérant de notre dépendance aux fournisseurs d’accès internet (FAI). Il suffit d’utiliser des réseaux privés virtuels désignés par leur acronyme anglais VPN (Virtual Private Network), comme par exemple Franciliens.net, qui anonymisent les informations avant de les faire circuler dans les autres FAI habituels.