Ce billet est une transcription d’un article publié initialement par l’EFF le 5 décembre. Il correspond au contexte américain mais il y a parmi ces recommandations, un certain nombre de conseils que nous pouvons mettre en place en France. Les points listés par l’EFF ne sont pas des conseils révolutionnaires. J’ai d’ailleurs déjà eu l’occasion d’en parler sur Biblio Numericus. Mais c’est toujours bon de faire une piqûre de rappel.
Les livres empruntés dans une bibliothèque ou les mots recherchés sur les ordinateurs d’une bibliothèque peuvent révéler des questions d’adolescents relatives à l’orientation sexuelle, les penchants religieux d’un voisin ou les préférences politiques d’un étudiant. Les bibliothèques réparties à travers le pays, en particulier les bibliothèques publiques, ont dans leur mission la protection des usagers les plus vulnérables, y compris les sans-abris, les chômeurs ou encore les migrants. Et quand des agents du gouvernement viennent fouiner, ces utilisateurs de bibliothèques ont besoin des bibliothécaires pour assurer leurs arrières.
Les bibliothèques et les bibliothécaires sont depuis longtemps des gardiens des droits de la liberté d’expression. Dans le cadre de leur activité, les bibliothécaires garantissent la possibilité pour les utilisateurs d’accéder aux informations et idées les plus controversées sans que ces derniers soient inquiétés par le gouvernement. Depuis la mise en place du Patriot Act, les bibliothécaires ont purgé les historiques d’emprunts des usagers quand cela a été nécessaire notamment dans le cadre de demandes inconstitutionnelles formulées par des agences ou des services du gouvernement.
Avec l’élection de Trump, beaucoup de bibliothèques s’inquiètent d’une nouvelle menace pour la vie privée des usagers. Si la future administration Trump respecte ses promesses d’identifier et d’expulser des millions de personnes, de surveiller des individus en fonction de leur religion, et d’étendre les lois pour diffamation, par exemple, les bibliothèques pourraient recevoir de la part du gouvernement des demandes de renseignements sans précédent sur les usagers.
A cette fin, nous conseillons aux bibliothèques de prendre les dispositions suivantes le plus rapidement possible pour protéger la vie privée des utilisateurs. De plus, les bibliothèques doivent s’assurer que tous les fournisseurs et prestataires avec lesquels elles travaillent fournissent le même niveau de protection aux utilisateurs.
1. Limiter la collecte et la conservation d’informations liées aux usagers
Moins vous aurez d’informations sur vos usagers, moins vous en aurez à en communiquer. La meilleure stratégie consiste à collecter le minimum d’informations pour fournir un service particulier et ne pas conserver les données plus longtemps que nécessaire. Par exemple, supprimer les informations relatives aux emprunts dès le retour des documents. Prenez régulièrement l’habitude de purger les logs (liés aux emprunts mais aussi l’utilisation des ordinateurs, des navigateurs, du Wifi…) Si vous avez besoin de conserver certaines données, anonymisez-les dans la mesure du possible.
Quand vous collectez des données personnelles, assurez-vous que les usagers sont informés de ce processus de collecte. Limitez la collecte en permettant l’utilisation de pseudonyme ou bien anonyme des services proposés par la bibliothèque chaque fois que c’est possible. Par exemple, autorisez aux usagers l’utilisation des ordinateurs sans devoir s’identifier avec leur véritable identité. De même laissez le réseau Wifi ouvert, ne conservez pas de logs ou d’adresse IP et assurez-vous que votre réseau supprime automatiquement les logs de connexion immédiatement après la fin du service.
Assurez-vous que les services en ligne (sites, blogs…) de la bibliothèque ne collectent pas les adresses IP. Le cas échéant, les supprimer rapidement et régulièrement.
2. Conserver des procédures pour répondre aux requêtes du gouvernement et informer les usagers des demandes reçues.
Communiquez avec les usagers sur la façon dont vous répondrez aux demandes émanant des pouvoirs publics. Ces demandes peuvent se présenter sous différents formes, depuis une simple demande sans mandat jusqu’à des assignations. http://www.numerama.com/politique/195048-un-homme-condamne-pour-avoir-visite-des-sites-djihadistes-a-la-bibliotheque.html Le règlement doit expliquer clairement comment le personnel de la bibliothèque devrait répondre à chacune de ces requêtes. Assurez-vous que les agents soient en capacité de traiter les demandes d’informations.
Notez que sans mandat ni ordonnance judiciaire, les bibliothèques ne sont généralement pas tenues de fournir des renseignements sur les usagers et peuvent s’y opposer. (Si on fait un parallèle avec la France et les connexions Internet, rappelez-vous que nous devons simplement fournir des logs de connexions. La loi n’oblige pas les bibliothèques à fournir l’identité d’un utilisateur qui s’est connecté sur un des ordinateurs de la bibliothèque). Bien que les mandats de perquisition puissent être exécutés immédiatement, toutes les demandes de renseignements du gouvernement peuvent être examinées par un avocat de la bibliothèque pour les défauts juridiques. L’EFF est disposée à mettre un avocat à disposition des bibliothèques qui en feraient la demande.
3. Maintenir des politiques de confidentialité claires et informer les usagers quand elles changent
La politique de confidentialité d’une bibliothèque devrait, au minium, informer les usagers de la nature des informations recueillies, de la durée de conservation, comment elles peuvent être réutilisées et qui peut y avoir accès. Les usagers doivent être immédiatement informés des modifications.
Mais la politique de confidentialité de la bibliothèque ne peut couvrir l’ensemble des services proposés (fournisseurs de ressources numériques). Dans ce cas, les usagers devraient être informés quand il y a un service tiers et quelle est sa politique en matière d’utilisation des données personnelles.
4. Utiliser HTTPS pour l’ensemble de votre site web et inciter les fournisseurs à faire la même chose.
Alors que certains bibliothèques utilisent déjà le protocole HTTPS pour une partie de leur site web, cette stratégie reste inefficace si ce n’est pas généralisé à l’ensemble du site.utiliser des services comme Certbot (certificat gratuit Let’s encrypt) pour migrer l’ensemble de votre site et inciter les fournisseurs (y compris les prestataires de livres numériques). Sans ces protections, les données personnelles de vos usagers sont menacées car elles transitent en clair sur le Web et peuvent être interceptées.
De plus vous devriez limiter l’utilisation des cookies pour suivre les préférences et les activités des internautes sur vos sites. Si votre site web utilise des cookies, proposez aux internautes la possibilité de refuser les cookies. (Ex : la bibliothèque du CNAM ). De même, je rajouterais, qu’il faut privilégier des outils de mesure d’audience respectueux de la vie privée comme Piwik plutôt que Google Analytics (Ex : Médiathèque départementale des Vosges)
5. Sécuriser les navigateurs des ordinateurs de la bibliothèque
Des navigateurs non sécurisés (plugin malveillant, navigateur non mise à jour…) peuvent divulguer des informations sur ce que font les internautes (les recherches effectuées, les sites visités…). Les bibliothèques devraient proposer par défaut des navigateurs sécurisés. Activez les extensions comme HTTPS Everywhere et Privacy Badger et mettez tout ça à jour quand c’est nécessaire.
Nous avons un rôle à jouer dans cette bataille. Il ne s’agit pas d’une vue de l’esprit. Il en va du respect des libertés numériques et des droits civiques indispensables au bon fonctionnement d’une société démocratique. Le magazine Pixels du journal Le Monde vient de publier ses analyses sur la surveillance numérique réalisées à partir des révélations d’Edward Snowden. Je vous invite à les lire et ensuite à agir !
Rétroliens : Bibliothécaires, agissez maintenant pour...
Rétroliens : Bibliothécaires, agissez maintenant pour...