Quand le préposé zurichois à la protection des données devient agent double 🕵️

La préposée à la protection des données du canton de Zurich a publié en 2021 un guide « Microsoft 365 pour le domaine de l’éducation ».

Ce document de 9 pages décrit les fonctionnalités de Microsoft 365 – abonnement aux applications et services cloud tels que Office, OneDrive et Teams – et indique le concept d’utilisation et procédures de gestion des données. J’explique dans cet article pourquoi ce document manifeste une approche dangereuse pour la souveraineté suisse,  le droit de l’enfant et les missions de l’École.

Extrait de « La vie des autres » (2006)

Problématique et risques

La professeure Solange Ghernaouti expose clairement les multiples problèmes qui ressortent de la numérisation des activités et communications des mineurs. Plus tôt cette année la chercheuse Hye Jung Han découvre dans sa recherche très bien documentée que 89% des 164 solutions d’éducation (applications, suites logicielles et sites internet) exposent les enfants à un risque et une violation de leurs droits.

L’économie numérique basée sur le profilage publicitaire des utilisateurices est la logique qui sous-tend au déploiement de ces solutions éducatives (Han, p.16) :

A handful of the world’s most valuable internet companies own entire AdTech supply chains. Alibaba, Amazon, Facebook (Meta), Google, Microsoft, Tencent, and Yandex offer digital services that serve as the primary channels that most of the world relies on to engage with the internet. In turn, they collect extensive data about the billions of people who use or interact with these platforms. They analyze this data to infer and create new information about people, then commercialize those insights for advertising—often on their own real-time bidding platforms.

En l’occurrence chez Microsoft

En ce qui concerne les produits développés par Microsoft, Han expose ces faits : Microsoft Teams acquiert les détails et photos de contact (accès total à l’annuaire personnel) de l’enfant et peut les partager avec Google Firebase
Analytics, Microsoft Visual Studio App Center Analytics et Microsoft Visual Studio App Crashes.

Finalement l’application Microsoft Teams accède à:

  • Localisation précise (GPS, heure de la localisation actuelle, dernière localisation connue, SSID Wi-Fi),
  • localisation approximative,
  • informations sur les contacts (contacts, photo des contacts),
  • journal des appels,
  • appareil photo,
  • microphone.

Quant à Minecraft: Education Edition, l’application collecte des identifiants uniques tels que l’adresse MAC ou le International Mobile Equipment Identity (IMEI).

Le cas zurichois

Le service de protection des données zurichois propose de nombreuses ressources afin d’assurer la protection de la vie privée, notamment celle des administré·es d’une collectivité et pouvoir public. Ainsi la page sécurité de l’information des organisations publiques liste 51 documents de checklists, guides, mesures et modèles (dont la moitié en format propriétaire, mais c’est un autre sujet). Le guide « Microsoft 365 pour le domaine de l’éducation » en fait partie.

Là-dedans sont rassemblés des bonnes pratiques et configurations à mener afin d’assurer la sécurité des données et informations relatives aux enfants qui useront du service. La taxinomie des données et de leur sensibilité et calquée sur celle du service, sans aucun regard critique ni mise en rapport avec la loi fédéral sur la protection des données (LPD):

données factuelles Informations non liées à des personnes Exemple : Fiches de travail
données à caractère personnel Informations relatives à des personnes identifiées ou identifiables
Exemple : Nom, prénom, adresse
données personnelles spéciales Informations qui, en raison de leur importance, de la nature de leur traitement ou de la possibilité qu’elles soient liées à d’autres informations, présentent un risque particulier de violation de la personnalité
Exemple : Résultat de l’examen du médecin de l’école ou de l’examen de clarification psychologique à l’école

Pour les deux premiers types de données, aucune mesure de sécurité n’est proposée. Rappelons que ce tableau ne prend pas en compte les métadonnées, ces données autour des données qui sont déjà sources d’information précieuses (Mamta et al., 2020). De plus  » le transport ainsi que le stockage des données sont déjà cryptés avec Microsoft 365, dont Microsoft a la clé. » (p.4) Au vu des résultats de (Chan, 2021), toutes ces données sont valorisées par Microsoft pour les revendre à des régies publicitaires. Les parents, enfants et la collectivité sont-ils informés de leur participation à l’économie de l’entreprise étasunienne via le partage de leurs données personnelles?

Votre précieux

Alors que des informations déjà sensibles en elles-même sont récupérées pour les activités de tracking de Microsoft, quel destin est réservé aux « données personnelles spéciales »?

Il faut payer puis « activer le processus Customer Lockbox« .  Ainsi Microsoft qui stocke les données et leur clé de chiffrement « ne peut y accéder ». Le lectorat est ici choqué d’une telle naïveté et manque de professionnalisme de la part d’un service public de protection de la donnée. Il en vient, dans le monde analogique, à mettre quelque chose de précieux chez quelqu’un d’autre, et ce qui est encore plus précieux, le mettre dans un coffre-fort chez cet individu qui vous lâche ces mots en vous donnant la clef: « Ne vous inquiétez pas, je n’ai pas de double de la clef ni d’accès spécial au coffre-fort. »

Techniquement c’est possible

Il n’y a que des responsables de biens publics pour mettre en avant un tel système de cybersécurité. Aucune entreprise aux intérêts privés ne prendrait un tel risque.

De multiples mesures pratiques et techniques peuvent être conseillées par le préposé cantonal. On peut par exemple archiver les données sensibles dans un fichier *.zip ou *.rar protégé par mot de passe. Ainsi les brouteurs Microsoft n’accèdent pas aux données.

La technique a bon dos. En attendant ce sont les comportements de vie et d’apprentissage des élèves zurichois qui servent la récolte d’informations profitable à une entreprise étrangère, le tout servi sur un plateau par l’organisation chargée de les protéger.

 

Références

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *