Voix off : Tendances Première, 10 heures – 11 heures 30
Véronique Thyberghien : Notre séquence « Hygiène numérique » aujourd’hui avec Erick Mascart. Bonjour.
Erick Mascart : Bonjour.
Véronique Thyberghien : De l’asbl Educode [1]. Olivier Meunier, bonjour.
Olivier Meunier : Bonjour.
Véronique Thyberghien : De l’asbl Educode et également artiste numérique.
Aujourd’hui, on va parler des logiciels propriétaires américains qui sont interdits dans les écoles en France, en Allemagne, au Danemark. La question c’est de savoir pourquoi pas chez nous, finalement. J’ai tout de suite envie de vous demander pourquoi faut-il les interdire ces logiciels, Erick ?
Erick Mascart : Tout simplement parce qu’il s’avère qu’ils ne sont pas du tout conformes à la réglementation européenne, au RGPD [2]. Les autorités de protection des données, que ce soit effectivement en France, en Allemagne où il y a encore eu une conférence assez récente : la quasi-totalité des autorités de données, donc une dizaine de Länder allemands, plus les autorités fédérales, ont travaillé pendant deux ans, là c’était en l’occurrence vis-à-vis de Microsoft. C’était déjà suite à une analyse précédente qui était assez négative et ils arrivent toujours aux mêmes conclusions : ça ne va pas, ça ne répond pas à la loi, il y a des problèmes.
Véronique Thyberghien : En quoi est-ce que ça ne répond pas réellement à la loi, en fait ?
Olivier Meunier : Il y a deux choses principales.
D’abord le RGPD est une loi européenne censée être là pour protéger la vie privée des gens donc le partage des données, de toutes les données entre les personnes privées et les sociétés. Le fait est qu’il y a des lois américaines qui permettent au gouvernement américain d’obliger les entreprises américaines à donner accès à toutes les données qu’elles ont sur leurs serveurs où que soient ces serveurs sur la planète, donc y compris des serveurs qui sont en Europe, donc donner accès au gouvernement américain aux données des Européens. Ceci contrevient au RGPD qui, normalement, doit permettre de protéger les données des Européens, des citoyens. Du coup, il se fait que les entreprises américaines, quoi qu’elles fassent, ne sont pas, à l’heure actuelle, en mesure de permettre la protection des citoyens européens par rapport au gouvernement américain. C’est une première chose.
Une deuxième chose : dans leur pratique courante des logiciels informatiques, il y a une capture continuelle de données, on appelle ça de la télémétrie. Donc, en gros, il y a une surveillance continuelle autant chez Google que chez Microsoft, qui sont les deux plateformes principalement utilisées dans les écoles. Il y a, en fait, une fuite continue de données personnelles malgré tout ce que prétendent ces entreprises dans leurs contrats. On le constate.
Erick Mascart : Et si on peut revenir justement au fait que c’est dans les écoles et que c’est important, là le RGPD est aussi très clair dans tous ses attendus : il faut être extrêmement vigilant, doublement vigilant, dit-il, dès qu’il s’agit des données qui concernent les enfants, les mineurs, ce qui est le cas dans l’enseignement fondamental, dans l’enseignement obligatoire, donc point d’attention. Et effectivement, comme l’a dit Olivier, en l’occurrence c’est le CLOUD Act [3] et l’extraterritorialité, la façon dont les Américains, avec la législation américaine, voient les choses : ils se donnent accès à l’entièreté des informations partout sur la planète. Il suffit dans une entreprise, même si elle est européenne, qu’il y ait un Américain qui ait accès aux données pour que les Américains aient accès aux données.
Véronique Thyberghien : Donc c’est plutôt généralisé sans que vraiment on le sache. J’imagine que ce qui est utilisé aujourd’hui dans les écoles contrevient un peu au RGPD sans que vraiment on en ait conscience et connaissance.
Erick Mascart : Tout à fait. Olivier parlait de télémétrie. C’était le cas jadis, mais ça l’est encore plus avec les versions Windows 10, Windows 11 : il y a toute une série de données qui partent vers Microsoft et on ne sait pas ce que c’est. On sait qu’elles partent mais on n’en connaît pas le contenu. Microsoft ne sait pas nous expliquer, ne sait pas expliquer aux autorités de protection des données exactement ce qui se passe, où ça va, qui les utilise, d’où la contravention.
Véronique Thyberghien : C’est ça. Et la possibilité aujourd’hui, peut-être, de pouvoir faire autrement. On a dit que c’est déjà le cas en France, en Allemagne et au Danemark. On essaiera de voir un petit peu comment ça fonctionne là-bas.
Il me semble qu’en Belgique la Fédération Wallonie-Bruxelles et la Région wallonne s’étaient engagées à promouvoir, justement, les logiciels libres depuis 2009, ce qui avait été confirmé en 2019, ce qui n’est toujours pas le cas. Comment ça se fait ?
Erick Mascart : Je pense qu’il y a quand même une lacune politique puisque tant les déclarations de politique régionale que communautaires, donc pour la Fédération de Wallonie-Bruxelles, disent clairement, effectivement en 2019, « on va mettre une priorité sur les logiciels libres ». Il n’y a pas grand-chose qui avance. C’est le politique qui est un peu aux abonnés absents. On peut quand même constater, par exemple, que la Fédération Wallonie-Bruxelles a mis en place une plateforme Happi [4] qui est basée sur le logiciel Moodle [5], qui permet, par exemple, de faire des classes à distance, etc., mais ça reste un petit cas parmi d’autres. Et encore, dans ce cas-là, ils ont tellement verrouillé la plateforme que certain enseignants ont du mal à s’en servir et préfèrent aller ailleurs.
Il y a manifestement un manque de volonté de prendre les choses à bras-le-corps et de dire « on y va », ce que d’autres pays sont en train de faire, que ce soit la France avec apps.education.fr [6] où il y a plein d’applications libres qui sont mises à disposition de l’Éducation nationale française. Les Allemands travaillent énormément par exemple avec Nextcloud [7]. qui est une société allemande au départ, pour avoir du cloud.
Véronique Thyberghien : Qui n’a rien à voir avec le fameux iCloud dont on a parlé.
Erick Mascart : Non, qui n’a rien à voir. C’est offrir des services cloud comme Google, comme Microsoft, mais avec des logiciels libres. Chacun peut héberger là où il veut, etc. En Belgique on reste très timorés alors que, quelque part, on pourrait quand même se poser la question, on est la capitale de l’Europe, on est censé respecter ce RGPD qui est en vigueur depuis mai 2018. La jurisprudence en la matière s’est précisée de plus en plus et va dans le sens où il faut refuser les outils de Google et Microsoft et tout spécifiquement à l’école, en tout cas dans toute une série de pays limitrophes et les grands pays qui nous entourent. Pourquoi en Belgique passe-t-on tout ça sous le radar ?
Véronique Thyberghien : Mes filles, par exemple, utilisent Smartschool dans leur école, je crois que plein d’écoles à Bruxelles le font. Est-ce que c’est du Libre ou du moitié libre ?
Olivier Meunier : Smartschool, si je ne me trompe, c’est un programme d’une société française.
Véronique Thyberghien : Qui normalement devrait respecter le RGPD.
Olivier Meunier : Il est possible que cette plateforme-là respecte en grande partie le RGPD parce que, justement, elle est développée en Europe et, à la base, ils essaient de respecter ça, ils y sont contraints. Maintenant ce n’est pas encore du logiciel libre, donc on a toujours le même problème c’est que l’école reste dépendante de cette société avec également les décisions que cette société va prendre sur son logiciel. Elle ne pourra pas le faire évoluer par elle-même, elle ne pourra pas non plus, par exemple, se mettre ensemble avec d’autres écoles pour développer de nouvelles fonctionnalités, toutes les possibilités qui sont ouvertes avec le logiciel libre et avec des plateformes comme Nextcloud ou comme Moodle qui peuvent se combiner et apporter tout ce qui est nécessaire pour une école.
Erick Mascart : J’apporterais quand même la nuance par rapport au respect du RGPD : des outils propriétaires comme ceux-là, encore faut-il qu’ils soient vraiment hébergés de manière correcte chez des hébergeurs, des fournisseurs, dans des datacenters qui sont complètement européens, sans influence éventuelle ou simplement d’avoir des employés américains comme je l’ai dit. Or, il faut quand même se rendre compte que tant Google que Microsoft développent leur division cloud où ils offrent des services cloud, mais ils sont américains. On tourne en rond !
Véronique Thyberghien : Sans forcément être identifiés comme américains à la base, c’est ça.
Erick Mascart : Je suis développeur, je veux mettre un nouveau service en ligne, j’ai besoin d’un service cloud performant, je vais aller chez Amazon, chez Google, chez Microsoft, louer des serveurs pour mettre mon application, Smartschool éventuellement, je n’en sais rien dans le cas de Smartschool.
Véronique Thyberghien : Je ne voulais pas vous piéger. Ce qu’il est important de retenir en tant que parents, quel que soit le logiciel — ne nous écrivez pas sur les logiciels qu’utilisent vos enfants à l’école —, c’est de pose éventuellement la question à l’école pour savoir qui est propriétaire de ce logiciel qui est utilisé. Est-il bien hébergé en Europe et respecte-t-il bien, in fine, le RGPD ?
Erick Mascart : Et non seulement ça : est-ce que l’école a fait un audit pour évaluer justement la conformité au RGPD ? L’école, en tant qu’organisme public, est tenue de faire un audit, une analyse d’impact, donc de vérifier tout ça, et d’aller poser les questions chez les fournisseurs. L’a-t-elle fait ? Si elle ne l’a pas fait elle est, quelque part, aussi en contravention avec le RGPD. Souvent ce n’est pas fait parce qu’on fait confiance, on croit les bonnes intentions qui sont affichées par les fournisseurs, mais ce n’est pas parce qu’ils se disent conformes au RGPD qu’ils le sont réellement. Il faut creuser, et là il faut parfois des connaissances techniques et c’est souvent le problème, il faut avoir des informaticiens avec soi qui vont décortiquer les choses, vérifier si les choses se font comme elles sont prétendues être faites.
Je retourne justement sur les analyses qui sont faites par les autorités de protection des données : en discutant longuement, je retombe sur le cas de Microsoft, mais le problème est identique avec Google, on creuse, on cherche, on questionne, on n’obtient jamais les réponses et on se rend bien compte que ça n’est pas conforme. C’est très compliqué.
Je pense, quelque part, à la facilité aujourd’hui de se diriger vers les plateformes libres, vers des hébergeurs locaux, associatifs, à petite échelle et de retrouver une forme de souveraineté numérique. C’est le leitmotiv en France : il nous faut la souveraineté numérique, ça veut dire qu’on doit gérer les choses nous-mêmes, on doit les contrôler, on doit les maîtriser. Je pense que là il y a effectivement une vraie volonté d’aller dans ce sens-là.
Véronique Thyberghien : Peut-on rappeler en quoi le logiciel libre garantit le RGPD et respecte le RGPD ?
Olivier Meunier : Déjà le logiciel libre est auditable, on peut voir ce qu’il fait puisqu’on a accès aux sources. On peut aussi contrôler son usage, puisqu’on en fait l’usage qu’on veut, on peut donc l’installer sur des serveurs qu’on contrôle complètement, en Europe, voire dans ses propres bâtiments si on a des connexions suffisantes. Du coup, on est certain de ce qu’on fait avec nos données sur ces logiciels-là. Même s’ils peuvent être hébergés par d’autres personnes, on peut avoir des prestataires, ces prestataires sont capables, grâce au fait que c’est justement du logiciel libre, de nous faire cet audit nécessaire. Ce qui n’est pas le cas avec un logiciel propriétaire : on ne sait pas réellement aller voir dans les sources d’un logiciel propriétaire pour voir ce qu’il fait avec les données.
Véronique Thyberghien : Erick.
Erick Mascart : Il y a aussi ce qu’on doit accepter. Avec un logiciel libre, on a, en général, des conditions qui sont beaucoup plus lisibles. Je reviens encore sur Microsoft, la déclaration de confidentialité qu’on est censé accepter quand on veut l’utiliser.
Véronique Thyberghien : Qu’on ne lit jamais !
Erick Mascart : Qu’on ne lit jamais ! Elle fait 44 200 mots, ça veut dire plus de trois heures de lecture à raison de 240 mots/minute. Qui a lu tout ça ?
Véronique Thyberghien : C’est pour ça qu’on ne lit jamais !
Erick Mascart : Donc, en fait, on ne sait pas très bien.
C’est la même chose quant au pistage publicitaire. Les plateformes de Microsoft annoncent 585 cookies dont 470 cookies publicitaires, y compris pour des outils comme Minecraft Education qui sont promus pour travailler dans les écoles, on invite les enseignants à utiliser. Où est l’éthique là-dedans ? Il y a un souci. Si on ne refuse pas au maximum les cookies, etc., ce qu’il faut faire en règle générale – vous ne pouvez pas refuser les cookies obligatoires, indispensables, ça veut dire que le site fonctionne, vous refusez tous les autres sans quoi vous êtes pisté. De toute façon, l’objectif est clairement annoncé, c’est de pouvoir vous proposer de la publicité personnalisée. Est-ce que c’est ça qu’on veut, est-ce que c’est le monde dans lequel on veut vivre ? Surtout dans les écoles. Je pense que ça n’est pas l’objectif. Épargnons la publicité à nos enfants.
Olivier Meunier : Il y a aussi toute la question du traçage. En fait, le traçage publicitaire n’est pas uniquement un traçage personnel, il ne faut pas l’oublier. Les gens ont tendance à dire « je m’en fiche, je n’ai rien à cacher ». Le problème n’est pas que le traçage publicitaire et il ne concerne pas uniquement vous, il concerne tous vos contacts. D’ailleurs, c’est même un document que Microsoft montre dans ses documents publicitaires, c’est comment, justement, une interaction sur ces plateformes permet, grâce aux interactions avec les autres personnes qui ont aussi accès à ces documents, agenda et compagnie, comment grâce à ça ils peuvent retracer tout le graphe social de la personne, les relations que la personne a avec les autres personnes qui partagent des documents avec elle, non seulement ils ont une analyse de la personne mais de tout son entourage social.
Donc, quand vous êtes pisté, ce n’est pas juste vous en cause, vous mettez en cause tous vos contacts. On est là vraiment dans un enjeu sociétal et plus uniquement personnel.
Véronique Thyberghien : C’est ça. Évidemment ce n’est pas pendant la classe que vont apparaître les publicités, ces publicités seront générées et distribuées à d’autres moments et en d’autres lieux.
Comme le Danemark, l’Allemagne et la France sont déjà sur la bonne voie, on va dire, on pourrait prendre exemple sur eux. Ça veut aussi dire que ces logiciels libres existent, qu’ils permettent les mêmes fonctionnalités et ont le même potentiel que ceux qu’on utilise traditionnellement et qui sont américains.
Olivier Meunier : Oui, ils existent, ils ont les mêmes potentialités. Je dirais même qu’ils en ont plus : puisqu’ils sont adaptables, on peut justement les adapter aux usages précis des utilisateurs. On n’est pas avec une société qui a des buts qui sont de gagner de l’argent avec de la publicité. Ici ce n’est pas ça. On est dans une logique où les outils vont être développés par les utilisateurs eux-mêmes. C’est d’ailleurs le cas à l’heure actuelle. Il y a, notamment en Andalousie, toute une série d’écoles aidées par le gouvernement qui sont en train, justement, de mettre ensemble tous ces logiciels pour en faire un pack qui sert aux écoles, qui est facilement installable et qui va couvrir la plupart des besoins. On est là avec un potentiel qui est vraiment plus élevé, je pense, à terme. En plus, beaucoup de choses sont développées en Europe.
Erick Mascart : Et il y a des Belges dans le tas. Par exemple la plateforme Chamilo [8] est développée par des Belges. C’est du e-learning, de l’enseignement à distance, un peu l’équivalent de Moodle, c’est belge, ça fonctionne très bien, c’est un super logiciel qui demande peu de ressources serveur, qui est donc fantastique. Autant les utiliser, les mettre en avant.
Véronique Thyberghien : Il est donc grand temps que les pouvoirs publics mettent en œuvre réellement et prennent en main cette problématique, afin de permettre aux écoles de bénéficier de logiciels qui soient plus éthiques, qui soient libres et surtout qui respectent le RGPD, ce qui n’est pas forcément le cas aujourd’hui, et surtout une forme d’éducation et de pédagogie pour les écoles. On imagine bien qu’elles sont souvent démunies par rapport au choix qu’on leur laisse et qu’elles font leur marché parfois sans connaissances réelles derrière. Il faut aussi leur permettre d’avoir cette pédagogie et de pouvoir la prendre.
Merci beaucoup Erick Mascart et Olivier Meunier.
On rappelle que si vous voulez en savoir plus c’est educode.be, bien sûr, et vous écrivez régulièrement des articles sur ce sujet que l’on peut partager. C’est un vrai plaisir de vous avoir pour faire un peu d’hygiène numérique avec vous. Belle journée.