owned this note
owned this note
Published
Linked with GitHub
# Stratégie nationale des Données: des choix déterminant à prendre pour la prochaine génération
## Les incidents de sécurité devraient être rares. Ce n'est plus le cas aujourd'hui
[La fuites de données survenue cette semaine au guichet unique des garderies du Québec](https://ici.radio-canada.ca/nouvelle/1792086/parents-vol-donnees-famille-garderies-lacombe-place-0-5) est une autre mauvaise surprise qui perturbe l'économie numérique du Québec. Cette fois-ci, l'incident est d'autant plus troublant puisque nous apprenons que [les informations ultra-sensibles de 500 000 enfants d'âge préscolaire](https://ici.radio-canada.ca/nouvelle/1792386/garderies-entreprises-web-acces-donnees-enfants) seraient à risque dans cet histoire.
Autant dire que toute la prochaine génération du Québec pourrait être piratée avant même son arrivée à la maternelle.
## Un sujet qui nous dépasse tous
Dans ce contexte, on voit bien qu'il est impossible pour un individu de se protéger et de protéger ses proches contre les risques liées à l'utilisation de ses données. La circulation et l'échange électronique de nos informations est un phénomène qui s'accélère et qui devrait être encore facilité grâce à plusieurs projets de lois en court d'examen.
Dans ce contexte, qu'auraient pu faire les parents pour éviter que l'identité numérique de leur enfant soit compromise?
Ne pas inscrire leur enfants à *La Place 0-5 ans*? Peut-être, mais cette inscription est obligatoire pour avoir à une place en garderie publique. Est-il nécessaire de se priver des services publiques pour ne pas se faire voler nos données?
S'assurer que le service est géré par un opérateur digne de confiance? Comment le savoir puisqu'aucune information (autre qu'anecdotique) n'existe à ce sujet. Et d'ailleurs, devraient-on douter de la dangerosité des services numériques quasi-gouvernementaux?
Exiger la protection d'une entente de confidentialité? De telles mesures existent déjà. Lorsqu'on fournit nos données, nous devrions toujours nous faire demander notre consentement, ce qui est généralement fait sans que nous prenions le temps d'examiner le détail des clauses. Aussi, les organisation est les employés ont des obligations légales quand à la confidentialité des renseignements personnels en leur possession. Mais on voit bien que, dans les faits, ce type de mécanisme n'est pas suffisant.
Devrait-on demander à voir comment sont utilisées, conservées et transigées nos données? Certainement! Mais ce n'est pas vraiment possible. On peut bien le demander, mais l'opacité qui entoure les opérations des infrastructures informatiques est actuellement la règle. Même les organismes règlmentaires n'y ont pas accès.
## Passer de la confiance à la collaboration
Nous savons très bien que les fuites de données vont se reproduire. Mais nous ne pouvons rien faire... voilà une situation embarassante pour quiconque se préoccupe de ses données personnelles et de la protection de son identité numérique.
Jusqu'à maintenant, nous avons basé notre stratégie de gestion sur la confiance. Nous payons des experts, nous achetons des produits qui nous offre la meilleur protection, nous faisons affaire avec les meilleurs de l'industrie, nous avons de bonnes lois et règlements. À chaque fois, le message qui est communiqué est "faites-nous confiance, nous avons le contrôle, tout va bien!" Que ce soit les fournisseurs ou le gouvernement. Et on investi souvent plus en communication et en campagne de relations publiques qu'en sécurité informatique.
Il serait peut-être temps de changer d'approche.
La sécurité informatique est un sujet difficile, à plus forte raison en matière d'infrastructure et d'échange de données. Pourquoi ne pas mettre en commun nos ressources et arrêter de refaire les mêmes erreurs chacun dans notre coin?
Le logiciel libre et les projets ouverts sont d'excellents moyens de soumettre notre travail à l'examen de la communauté des développeurs. Se regrouper en consortium pour développer des technologies libres est non seulement un moyen de réduire les coûts et de partager le risque financier, c'est aussi un moyen d'augmenter la qualité et le design des produits numériques.
Cette approche est loin d'être marginale dans le lucratif secteur des produits et services numériques. Ce n'est pas une garantie absolue contre les vols de données et, sans doute, faudra-t-il encore plus loin et étendre cette façon de faire à l'exploitation des infrastructures informatiques. Mais déjà, la collaboration sur le code et sur les projets permettrait d'assainir les pratiques et de mettre en lumière les comportements dangereux. Il s'agirait d'une auto-régulation du secteur avec une transparence exploitable par les utilisateurs et par les organismes de régulation.