Le Monde annonçait, il y a quelques jours, un accord entre le ministère de l’Education Nationale encourageant l’usage de Google et autres GAFA. Les réactions vives à cet accord mettaient en avant, à juste titre, le risque de fuite des données personnelles des élèves et prônaient l’usage de solutions libres.
De fait le problème n’est pas nouveau et ne nous est pas particulier. Je l’avais déjà évoqué dans un vieux billet où j’expliquais que les universités françaises auraient un intérêt certain à confier la messagerie étudiante (je précise bien uniquement la messagerie étudiante) à ces mêmes GAFA, Google, Microsoft… Ma justification était que ces messageries ne contenaient pas grand chose de bien confidentiel et que ce serait autant de travail que les services informatiques pourraient consacrer à des activités plus innovantes.
J’ai donné, par le passé, toutes les preuves de mon attachement au logiciel libre. Pourtant je m’étais attiré un monceau de protestation, certainement le billet qui a entrainé le plus de réactions. Il est temps d’y revenir.
L’année dernière, à l’occasion du congrès Educause à Los Angeles, nous sommes retournés, mes camarades et moi, à l’UCLA que nous avions visitée deux ans plus tôt. Entre temps les scandales de la NSA avaient été mis en plein jour et nos collègues américains, qui faisaient auparavant assez confiance aux entreprises privées qui leur procurent des outils logiciels à bon compte, étaient devenus beaucoup plus méfiants. S’ils avaient, pour la plupart, toujours pris soin de laisser les données de recherche dans un cloud privé, ils étaient souvent assez laxistes en ce qui concerne les étudiants. Fin 2016 la vision avait changé mais ce n’était pas simple pour autant.
Recourir systématiquement à des outils libres n’était pas envisagé pour plusieurs raisons, la première étant qu’il n’existe pas toujours de solutions aussi satisfaisantes que celles proposées par les industriels. En particulier la disposition d’interfaces amicales pour l’usager n’est pas forcément le point fort du logiciel libre ni son intégration dans les plateformes Windows et MacOS qui représentent l’écrasante majorité des machines individuelles. On peut le regretter mais c’est un fait qui n’est pas niable. La deuxième raison est que libre ne veut pas dire gratuit et que la mise en place et la maintenance de ces solutions demandent des ressources humaines importantes. Ce peut être un choix en France où, hélas, l’argent est rare. C’est beaucoup moins vrai dans des pays comme les Etats Unis où l’ingénieur est rare, surtout dans la Bay area ! Berkeley a ainsi renoncé à une plateforme d’enseignement qu’ils appréciaient beaucoup car ils ne trouvaient pas de support externe satisfaisant et ne voulaient pas y consacrer le personnel nécessaire. UCLA a donc choisi un mixte en négociant l’achat de services privés et en veillant à la propriété des données et des métadonnées. Mais là aussi une difficulté est apparue et la recherche d’une solution de travail coopératif est un bon exemple des difficultés d’aujourd’hui.
UCLA avait donc fait le choix d’une solution après discussion et construction collective d’un cahier des charges avec ses usagers. Ils avaient retenu un fournisseur pour la qualité de sa solution, son ergonomie et ses possibilités d’intégration dans leur système d’information. Jusque là tout allait bien mais la discussion a bloqué sur la propriété des métadonnées, c’est à dire des profils des usagers. Et c’est là que les responsables de l’université ont été coincés. Les discussions trainaient et ils se sont faits doubler par leurs usagers. Ce constructeur mettait son service à disposition gratuitement pour un usage personnel, comme cela se fait beaucoup aujourd’hui, avec une limitation quant aux facilités et espace disponibles. L’UCLA se trouva donc dans la position intenable de négocier la confidentialité des données avec ce fournisseur alors que de nombreuses personnes de l’université, enseignants, administratifs et étudiants, avaient déjà recours à cette solution ! Que faire alors ? Impossible de bloquer l’accès à ce service, cela aurait déclenché des protestations extrêmement vives et aurait même encouragé la recherche de méthodes de contournement et amplifié la fuite de données. Je ne sais pas quelle a été la décision finale mais nos collègues américains étaient clairement conscients qu’ils ne pourraient pas tenir leur position initiale.
Et cela m’amène à la raison de ce billet. Imaginer que l’on peut écarter les propositions des GAFA du monde académique est une pure utopie et vouloir les ignorer officiellement de la pure hypocrisie. Ils doivent certes respecter la loi, et nous avec, et le contrôle de la CNIL est obligatoire mais on n’évitera pas une négociation sur l’appropriation de données personnelles par ces industriels tout simplement parce que si on l’interdit dans nos établissements, les usagers iront chercher ces services à l’extérieur à titre privé. Je souhaite bien du courage à ceux qui voudront interdire l’usage de FaceBook, des outils Google ou autres dans leur université ou autre établissement. Cela se fera alors sans eux et sans aucune possibilité de modérer ce qui se passe. Mieux vaut offrir des services de qualité au travers de nos ENT et autres systèmes d’information, négocier avec ces fournisseurs extérieurs quelles données ils récupèrent, sous quelle forme et où elles sont stockées et, en même temps, former nos étudiants et professeurs au bon usage d’outils de qualité appréciés par l’immense majorité.
Au fait, vous ai-je dit que la prestigieuse université de Berkeley, après une étude attentive, a conclu qu’ils étaient incapables de fournir une messagerie mieux sécurisée que celle de Google et a négocié avec eux le transfert de ce service. Vous ai-je dit aussi que leurs collègues de Stanford, de l’autre coté de la baie, sauvegardent, pour la même raison, toutes leurs données de calcul scientifique chez Google également ? Vous trouverez tous les détails dans le rapport de la délégation française à Educause 2016.
Le ministère n’est pas vendu. Il est simplement réaliste.
Bonjour Monsieur Epelboin,
Votre billet présente des arguments qui seraient tout à fait recevables, si le Ministère de l’Éducation Nationale était américain … mais il est français … et le contexte de guerre économique entre la France (en Europe) et les États-Unis ne peut pas être occulté aussi délibérément …
Que les services offerts par les GAFA soient pertinents, fiables, efficaces et concurrentiels, je n’en doute pas ! Mais qu’il soit possible, dans ce contexte, de négocier avec les GAFA des engagements sincères, respectés et contrôlables, c’est aussi de la pure utopie !
Le ministère n’est pas vendu, je veux bien le croire, mais notre jeunesse sera vendue … et c’est, dans le fond, beaucoup plus grave !
N’est ce pas le rôle du Ministère de l’Éducation Nationale d’expliquer à cette jeunesse les enjeux réels de l’usage d’outils non maîtrisés, du transfert de masse de toutes les données vers leurs concurrents de demain … et de leur faire découvrir des outils alternatifs, de les inciter à créer leurs outils de demain …
Non, vous n’avez pas le droit de capituler ainsi !!! Votre responsabilité, comme celle de tous les décideurs des administrations et établissements publics français, voire européens, est engagée et se mesurera par votre capacité de résistance dans le contexte de guerre économique actuel …
Je ne vois pas en quoi notre jeunesse sera vendue.
Il faut effectivement expliquer l’usage des outils, mes collègues s’y emploient depuis plusieurs années au travers du CII notamment, mais ce n’est pas en faisant semblant d’ignorer ces nouveaux outils, en constatant simplement qu’ils sont employés dans notre dos, que le problème sera résolu.
Un bon usage conscient, avec toutes ses limites, me parait la meilleure solution. Une bonne réflexion sur les données partagées et une éducation de nos usagers me semble la bonne direction.
Il n’y a aucune capitulation dans mon attitude mais au contraire une vision claire de la réalité.
J’échangeais il y a quelque temps avec un DSI d’université : il était tout fier car il avait mis en place, un peu plus d’un an auparavant, une solution interne libre alternative aux Dropbox, Google drive ou OneDrive. En creusant un peu, je me suis aperçu, qu’au final la taille totale de stockage occupée effectivement correspondait pour des milliers d’étudiants et personnels à moins d’un quart de ce que les acteurs évoqués précédemment prévoient pour UNE SEULE personne.
Alors on peut dire que ce service interne n’était pas utilisé. Et effectivement, pour qui a un peu connu les solutions commerciales, et pour l’avoir moi-même essayée, la solution alternative est une catastrophe, fonctionne très mal et est inutilisable. À croire que personne ne l’a même un peu essayé au sein de la DSI.
Cet exemple, hélas est valable pour beaucoup d’autres domaines, comme la messagerie dont le taux de redirection vers des messageries externes par les étudiant est considérable. Nombre d’utilisations, espace occupé, autant de critères objectifs dont on évite soigneusement et avec force de parler.
Alors non, mettre en place des services, dont on peut a minima constater qu’ils ne sont pas utilisés, puis adopter la politique de l’autruche, en disant simplement le service est là, n’est pas une solution. Cela a pour conséquence que les étudiants et enseignants utilisent des services externes américains et il n’y a là vraiment aucun contrôle.
Je rejoins l’auteur, mieux vaut être lucide et accompagner pour en fin de compte au moins maîtriser un peu les choses, plutôt que de faire semblant et ne rien maîtriser du tout.
« incapables de fournir une messagerie mieux sécurisée que celle de Google »
C’est un argument qu’il ne faut pas négliger, et on peut vous remercier de l’avoir signalé: il ne sert à rien de vivre sur son petit nuage en-dehors de toute réalité technique, et la réalité technique est généralement sourde aux injonctions même portant les meilleures intentions…
Mais vous oubliez un point important: la messagerie Google est globalement bien sécurisée, SAUF à l’égard de Google et des organisations criminelles qui par le Patriot Act ont accès sans limite aux données de Google – ce qui est quand même une exception sérieusement problématique.
Ceci pris en compte, une solution souveraine, soit propre à chaque université soit réalisée en commun par les universités françaises (voire européennes) pour assurer la continuité de la franchise universitaire dans le monde numérique, sera forcément mieux sécurisée qu’une solution liée aux GAFAM…
Bonjour Yves,
Nous nous sommes croisés à plusieurs occasions.
Voici un article intéressant qui, dans le contexte européen très prometteur du RGPD et de l’eIDAS, semble bien illustrer certains dangers contre lesquels il faut lutter :
http://www.zdnet.fr/blogs/zapping-decrypte/on-ne-doit-jamais-oublier-que-les-gafa-ne-sont-pas-nos-amis-39850538.htm
Amicalement,
Philippe.
PS: Doit-on décassifier GAFA ? 😉
Décassifier … Nous passons notre temps à cassififier, décassifier un futur big applicatif d’un célèbre organisme de mutualisation, alors faisons mieux : le « défédérativiser », ou le « DéFrancConnectiser », le IdNetiser, … ! 😉
J’avais préparée une réponse, mais pensait que j’allais y réfléchir davantage et l’envoyer personnellement à Yves, mais je la reprends finalement volontiers ici.
GAFA, une gaffe ou pas !
Bonjour Yves,
Oui, oui, et n’oublions pas un peu trop vite
le made in » »
– les fabuleux outils (made in France, ou made in P et M C Paris, ou Bdx) comme GKS et les autres qui ont suivi, (je ne rappellerai pas Gedit, oublié de tous ), – tu me diras des temps anciens -,
– ou le monopole qui s’avérait obsolète et sur tout le matériel graphique (sur Tektronix ou Silicon Graphics dans ton labo qui nécessitait des dérogations d’achat) – tout aussi ancien.
Sans frontières, nous avons bien évolué !
– CNIL, G RD, libre échange, Et … SSI, et tu as « contribué à la formation » d’un de tes brillants collaborateurs au delà des unix, aujourd’hui, reconnu dans ce domaine, et tu ne parles que des données « sans rien de bien secret dedans ».
Il est vrai que nos paies n’ont rien de secret, les indices sont publics, et les notes des étudiants (à part chaque intéressé, culture française oblige) non plus, big data, big boss, big, strong, bad weather, old technology et pas de frontière pour les nuages de …, pas de frontière contre les objets volants, pas de frontières pour la misère, … peace and love c’est fini, trop de réalisme, c’est la déprime et plus,
Trouvons les moins mauvais équilibres et le sens de l’honnêteté, la vérité,
l’exemple, le bon, le mauvais !
Et les USA doivent nous inspirer : malheureusement trop tôt, quand ils font marchent arrière, trop tard quand ils ne réussissent pas un modèle comme les hypermarchés, seraient-elles ringardes nos petites supérettes qui reviennent en masse, nos services qui se développent avec TOUTES les nouvelles technologies (à l’Université comme ailleurs) – pour bien dire que je ne suis pas du passé,
Qui aujourd’hui se soucie que les outils pour l’Education de nos petits enfants (relativement à nos âges, si je peux me permettre, Yves) soient filtrer comme nous parents avons filtré nos enfants, limités les doses de ce qui s’avère aujourd’hui, isolement, lumières bleues, et autres bien-être que nous avons voulus transmettre avec le brossage des dents et les dernières technologies.
– tu dis « les usagers iront chercher ces services à l’extérieur à titre privé », ce n’est pas nouveau et je partage bien cette analyse. Les Nous sommes un moment en avance sur des domaines de l’informatique, et maintenant du SI, puis les utilisateurs font mieux que ce que nous pouvons leur proposer avec nos moyens. Le PC en faisait plus que Xwindow (pour les jeunes X parce que après W !). XDE, mieux que … ou sans véritable équivalent, pas même nos ENT, certes plus conviviaux. Alors je ne dénigre ni les US, ni la Chine, ni le monde,
– Alors quelques uns tentent de relever le défi avec des femmes et hommes de toutes compétences, des processus innovants, des finalités attendues et de prospective (pour les v2 nos applis), des outils variés mais limités dans les standards « free », libres du moment, des services et des infras peu liées au reste, le tout fiabilisés et sécurisés dans tous les niveaux, oups, je résume un SI qui laisse la place à du cloud externe maîtrisé, et aux réseaux « sociaux » pour les finalités qui doivent être les leurs.
Etre dans la coup,
OUI, mais je n’irai pas vers les nouveaux langages abscons (comme ils disaient voici dix ans), l’abondance de nouveaux smileys qui nous viennent … (non, pas des US), le verlan déjà dépassé, les conventions souvent ignorés, (je l’avoue humblement, et oui, les motards ne font pas semblant de vous dire que vous auriez pu serrer plus votre auto, ils vous remercient avec un membre de libre, ie une jambe tendue), l’image d’entrée de ton blog n’a évidemment plus de signification actuelle, mais me paraît ici déplacée.
* L’histoire ne se répète pas, elle bégaie ! (Hengel et suivants …)
* Il faut savoir tirer les leçons du passé, à temps !
* Des billions d’utilisation de Java (je précise que je ne suis pas enrhumé 😉 pour partager avec ce chiffre en tête, les lendemains sans fête, et sans tête…
Il faut partager, pour mieux ( … ) connaître ( … ), à tous les niveaux.
Compléter les zones entre parenthèses selon vos souhaits, vos idées, vos vacances, votre retraite, votre jeunesse, vous même quoi !