[Kitetoa, les pizzaïolos du Ouèb

Quand le ministre se laisse aller a de doux délires

Olivier Berger, Secrétaire de l'association APRIL notait il y a quelques jours que le ministre de la Fonction publique avait des idées sur le concept de coffre-fort électronique. Il donnait pour preuve un extrait d'un discours :

"2.2. Deuxième exigence : réinventer la protection des données personnelles

La généralisation des téléservices n'est possible que dans le plus strict respect de la vie privée. La France est, depuis plus de 20 ans, pionnière dans la protection des informations personnelles. Elle doit aujourd'hui renouveler la manière dont les règles en la matière sont appliquées, afin de tenir compte d'un environnement technologique renouvelé.

Nous nous satisfaisons aujourd'hui d'un modèle " global " de la protection des données personnelles : on interdit quelques rapprochements de données, d'une manière qui reste opaque pour le citoyen. Parce que le développement technique l'autorise, nous voulons le compléter par un modèle " individuel ". Demain, chaque citoyen disposera d'un " coffre-fort " électronique accessible seulement par lui, et en toute confidentialité. Il y gérera l'ensemble de ses échanges avec les administrations. Il l'utilisera pour connaître en temps réel et, le cas échéant, autoriser au cas par cas, les accès effectués par les administrations aux données le concernant. Ce chantier sera conduit en étroite liaison avec la CNIL."

Putain de merdasse... Voilà-t-y pas qu'on va nous refiler un coffre fort électronique. Et même, qu'il sera inviolable. Rien de moins. Wouaaahhh. Génial. J'en veux un. Pour mettre en déco sur ma cheminée à côté de mes bidules sur Atos, Veridian, Bull, Doubleclick et les autres... Michel, si tu veux nous offrir un coffre fort électronique, tu peux adresser le tout à webmaster@kitetoa.com Promis, on te le fait tester hardcore avant que tu ne te laisses aller à lancer le machin pour de vrai et que tu te ridiculises. Le tout, gratuitement. Bien entendu.

Sans rire. Et qui donc va nous développer ledit coffre-fort? Microsoft? Vivendi? HP? Les mêmes zozos désintéressés que pour le cartable électronique des tit' n'enfants français?

Au secours...

Il faut dire que dans la phrase du ministre, il y a pas mal de choses qui me font marrer. Comme l'idée selon laquelle la CNIL sera utilisée pour protéger les pauvres cyber-citoyens contre les vilaines utilisations qui seront faites (immanquablement) de leurs données persos. Sans rire... Si c'était le cas, la CNIL se serait saisie (ou faite saisir) des dizaines de cas évoqués dans les papiers publiés par Kitetoa.com. Non?

Mais ce que je préfère quand même c'est le côté inviolable -forcément inviolable- dudit coffre fort. "Accessible seulement par lui et en toute confientialité;". T'as raison Michel. Et si jamais un jour les données s'enfuient sur le Net parce qu'elles en ont marre d'être enfermées au fond d'un serveur tout noir et sec, la belle SSII qui aura développé le truc lancera la gadgetophrase avec la formule magique qui tue la presse:

go go gadgetophrase!!!

"ce serveur était un serveur de test totalement déconnecté des bases de données de production. A aucun moment les données de nos clients n'ont été mises en péril"

Bien entendu, il existe des variantes de cette gadgetophrase permettant à tout prestataire technique de s'exonérer de toute critique. Par exemple:

go go gadgetophasesurmesure_ modèle _coffre-fort : "ce serveur était un serveur de test totalement déconnecté des bases de données de production. A aucun moment les données contenues dans les coffres forts des citoyens [entrez ici le nom du pays] n'ont été mises en péril"

Elle est pas belle la vie avec des coffres-forts électroniques partout?

Encore un ministre qui s'est fait enfler le machin par des conseillers eux-mêmes enflés par des con sultants, eux-mêmes enflés par des boites commerciales a vocation totalement désintéressée (bien entendu)...

Les coffres-forts en plus, quand c'est électronique, même lorsqu'il s'agit d'un éléctronico-ministre sur son digitalo-serveur, ça marche pas trop bien. Michel, pense à ça...

Tu vois, là, c'est sans doute quelqu'un dans ton ministère qui s'est dit qu'en mettant un projet d'intranet sur un serveur en ligne (de production) avec des droits de lecture pour tout le monde, c'était aussi cool que s'il était dans un coffre-fort.

Des coffres-forts électroniques qu'il disait...


Mise à jour du 11 novembre 2001

J'ai tardé, mais voici enfin la publication du droit de réponse qui nous a été envoyé par le ministère:

DROIT DE REPONSE DU CABINET DU MINISTRE DE LA FONCTION PUBLIQUE ET DE LA REFORME DE L'ETAT (13/09/01)

Ayant découvert le 12 septembre 2001 l'article de Kitetoa, je voudrais apporter les réponses et précisions suivantes :

- le projet de "coffre fort" ou de "compte citoyen" (selon le nom qui lui était donné par le rapport CARCENAC) n'est pas un projet de court terme, mais un axe de réflexion que nous engageons aujourd'hui. Il n'y a donc pas de site à tester qui préfigurerait le projet... mais l'idée sera intéressante (surtout si c'est gratuit :-) quand nous en arriverons là.

- la question de la sécurité des données (notamment personnelles) placées sur un site accessible via internet est évidemment au coeur de nos préoccupations. A titre personnel, j'adhère à la notion de sécurité par la transparence et, à ce titre, il serait intéressant de procéder à des tests publics dans le cadre de notre projet. L'utilisation de standards ouverts pour ce dispositif (et peut-être de logiciels libres) facilitera sa sécurisation, si l'on en crois de nombreux experts en sécurité. Ceci dit, rien ne remplace une supervision efficace.

Kitetoa: les logiciels libres ne sont pas beaucoup plus à l'abri des failles que les logiciels commerciaux. Je vous engage à vous aboner à la mailing list Bugtraq. Vous verrez qu'une majorité des bugs concerne des logiciels libres...

- cette réalisation n'interviendra en tout état de cause qu'après une phase de débat, de présentation des enjeux, de discussion sur les niveaux ad hoc de sécurité et, in fine, sur le choix de technologies permettant de l'assurer. Pour nous, cela doit être un débat public et politique, parce que les questions techniques ne sont pas les seules en cause. La CNIL doit naturellement être associée au débat, ce qui ne veut pas dire que c'est à elle d'assurer la sécurité des sites web publics. Vous nous attribuez "l'idée selon laquelle la CNIL sera utilisée pour protéger les pauvres cyber-citoyens contre les vilaines utilisations qui seront faites (immanquablement) de leurs données persos". Cette phrase n'est pas exacte : nous voulons travailler avec la CNIL pour définir les modalités de protection des données personnelles à appliquer. Ensuite, c'est à chaque administration de protéger les données qu'elle détient dans le cadre juridique défini chaque fois avec la CNIL.

Absolument. Et d'ailleurs, c'est bien connu, l'administration, comme le secteur privé dépensent une énergie et des sommes folles pour protéger les données personnelles des citoyens. J'en veux pour preuve le merveilleux recensement français dont les résultats sont vendus aux boites comme consodata. (pour plus de précisions je vous engage à retrouver dans la page des archives des news le papier de Kitetoa.com sur le recensement).

- vous accusez ce projet d'être un "machin" tombé du ciel. Je ne vois pas les choses de cette manière : cela fait plusieurs années que nous développons les systèmes d'information publics en nous efforçant de les rendre de plus en plus sûrs et de plus en plus faciles à utiliser pour les usagers. Evidemment (et vous êtes bien placés pour le savoir), il nous reste du chemin à faire. Mais nous avançons ! Ceci se fait au bénéfice des usagers, et non du gouvernement : 17% des demandes de casier judiciaire passent aujourd'hui par internet, et personne ne songe à s'en plaindre ; 20% des feuilles de soin électroniques utilisent également le réseau santé social, ce qui permet des remboursements plus rapides et plus efficaces. Les administrations détiennent déjà aujourd'hui les données dont nous parlons (elles traitent les dossiers de démarches administratives, c'est leur métier) : les rendre accessibles aux citoyens profite à ces derniers, non aux administrations.

- la réalisation du compte se fera dans le cadre normal du code des marchés publics, et je ne vois pas pourquoi il devrait être entièrement sous-traité à une SSII ou un éditeur. Le gouvernement anglais a récemment développé (sur base Microsoft) une Government Gateway dont il est largement propriétaire (il la revend même à qui veut l'acheter), tout comme le gouvernement suédois (sur base open source, si j'ai bien compris). Selon le rapport CARCENAC, il est essentiel que les administrations conservent la maîtrise technologique de ce type de projets, justement pour éviter des problèmes en matière de protection des données personnelles.

Le gouvernement maîtrise très bien ces technologies. Nous l'avons démontré plusieurs fois sur ce site.

- enfin, la photo d'écran qui illustre votre article n'est pas celle de l'intranet du ministère de la fonction publique et de la réforme de l'Etat, mais celle d'une maquette graphique qui date de septembre 2000, qui n'a guère de rapport avec l'intranet existant, et qui était placée sur le site web du ministère pour permettre sa discussion avec de nombreux acteurs, dont certains n'étaient pas encore reliés à l'intranet. Au passage, nous avons supprimé cette page le 12 septembre 2001. Et je ne vois pas pourquoi il faudrait mettre les projets d'intranet au fond d'un coffre-fort... En quoi cela gène-t-il ? En quoi cela vous permet-il de supposer que nous appliquerions les mêmes procédures d'exploitation sur le "coffre-fort" ? D'après mes souvenirs des méthodes de SSI, il faut d'abord qualifier la menace et le risque, puis choisir la sécurité adaptée. Clairement, le profil de risque de cette maquette n'était pas élevé, ce qui ne serait pas le cas du compte.

Je suis heureux de lire sous votre plume qu'il n'y avait rien à cacher véritablement sur ce site. Je remet donc à disposition des internautes ce fichier qui se trouvait sur cette "page" comme vous dites.

Je regrette que vous n'ayez pas pris contact, ou que vous l'ayez fait sans vraiment chercher à aboutir, avec le cabinet du ministre ou avec notre webmestre pour que nous puissions vous apporter ces précisions avant la publication de votre article, et cela bien que toutes les informations nécessaires aient été en ligne sur le site lui-même.

Bien cordialement,

Godefroy Beauvallet
Conseiller technique
Cabinet du ministre
Ministère de la fonction publique et de la réforme de l'Etat
Mel. g.beauvallet@cab.fpre.gouv.fr

Kitetoa

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney