Carnet de notes

Auteur/autrice : Éric

  • Un peu de démo­cra­tie

    Je parle régu­liè­re­ment démo­cra­tie en disant que, même pour une struc­ture repré­sen­ta­tive, je ne trouve pas notre système si démo­cra­tique que ça.

    Élire un chef tous les cinq ans ne me suffit pas.

    Une fois que j’ai dit ça, je me refuse en géné­ral à discu­ter de la suite. Il y a plein de solu­tions possibles et commen­cer à les ébau­cher c’est perdre toute capa­cité à déjà s’ac­cor­der sur le problème à résoudre.

    Pour autant, il faut bien montrer qu’il y a des pistes pour amélio­rer l’as­pect démo­cra­tique de nos insti­tu­tions et que tout ne se résume pas à une démo­cra­tie directe.

    Voilà donc une ébauche, impar­faite et proba­ble­ment pas souhai­table telle qu’elle, mais qui montre où on peut aller sur trois points : ma repré­sen­ta­ti­vité, l’exer­cice du pouvoir par le peuple, la trans­pa­rence et l’in­for­ma­tion.

    Repré­sen­ta­ti­vité

    Parce qu’on ne peut pas parler démo­cra­tie quand il s’agit juste de donner les clefs à un groupe mino­ri­taire pour qu’il gouverne seul, même s’il repré­sente la plus grosse mino­rité.

    1/ Le président est élu via un scru­tin de type juge­ment usuel ou simi­laire.

    On arrive à un président qui repré­sente et accep­table à une majo­rité d’élec­teurs, et pas juste la plus grosse mino­rité.

    On évite les problèmes de divi­sion des voies entre candi­dats (plus ou moins) proches où c’est le candi­dat ayant la plus grosse mino­rité unie qui gagne plutôt que celui qui aurait l’as­sen­ti­ment de la majo­rité.

    Ce scru­tin a l’avan­tage de permettre l’ex­pres­sion de partis de petite ou moyenne taille, et de favo­ri­ser plus la colla­bo­ra­tion et les consen­sus que les divi­sions et oppo­si­tions.

    2/ L’As­sem­blée natio­nale et les assem­blées locales sont élues à la propor­tion­nelle inté­grale.

    On repré­sente aussi les courants mino­ri­taires et on favo­rise le consen­sus plutôt que le fait du parti ayant remporté l’élec­tion.

    Pour l’As­sem­blée natio­nale, on peut garder un ancrage local avec des circons­crip­tions de la taille d’une grosse région (ou de deux petites) plus une pour les français de l’étran­ger et une pour l’outre mer, et des listes de taille rela­ti­ve­ment propor­tion­nelle au nombre d’élec­teurs.

    3/ Le Sénat est remplacé par le CESE avec une compo­si­tion revue pour y inté­grer aussi des experts scien­ti­fiques de la plupart des disci­plines.

    N’étant ni élu ni repré­sen­ta­tif, il est unique­ment là pour donner un éclai­rage. La navette parle­men­taire est réduite à un simple AN -> CESE -> AN, sans CMP ni recherche de vote conforme entre les deux assem­blées.

    4/ Les étran­gers rési­dents depuis plus de deux ans dans une collec­ti­vité locale ont droit de vote pour les élec­tions et consul­ta­tions de cette collec­ti­vité.

    Ça devrait être évident, je ne vois que la xéno­pho­bie et le racisme pour qu’il en soit autre­ment.

    Pouvoir en cours de mandat

    Le pouvoir en cours de mandat c’est la diffé­rence entre une démo­cra­tie repré­sen­ta­tive et une dicta­ture élue avec des mandats courts.

    5/ Toute déci­sion récente d’une instance repré­sen­ta­tive (exécu­tif, assem­blée natio­nale, région, dépar­te­ment, commu­nauté de commune, commune) peut être bloquée par une péti­tion ayant suffi­sam­ment de soutiens publics parmi les élec­teurs concer­nés.

    L’ins­tance concer­née peut renon­cer, revoir sa copie et émettre une nouvelle déci­sion, ou soumettre la déci­sion au vote des élec­teurs si elle pense que la péti­tion ne repré­sente pas l’opi­nion majo­ri­taire.

    6/ Une propo­si­tion de déci­sion qui aurait un soutien suffi­sant sur une péti­tion publique serait prio­ri­tai­re­ment inscrit à l’ordre du jour de l’as­sem­blée concer­née (commune, commu­nauté de commune, dépar­te­ment, région, natio­nale, avec une navette parle­men­taire complète pour cette dernière).

    Pour ce point comme le précé­dent, l’enjeu est de trou­ver le bon nombre pour que l’usage soit raison­nable (ni trop fréquent, ce qui bloque­rait tout et épui­ser ait, ni trop diffi­cile pour qu’une déci­sion vrai­ment liti­gieuse soit effec­ti­ve­ment bloquée ou soumis au vote direct).

    7/ Les assem­blées (locales et natio­nales) sont renou­ve­lées par parties (1/2 ou 1/3) au lieu de l’être d’un bloc.

    L’idée est que la compo­si­tion des assem­blées évolue avec l’opi­nion plutôt que repré­sen­ter l’opi­nion d’une date précise dans le passé.

    Le renou­vel­le­ment par partie permet aussi d’at­té­nuer l’im­pact du fait poli­tique du moment (genre le fait divers lors de la campagne légis­la­tive qui sinon domi­ne­rait l’ave­nir des 5 années suivantes).

    Infor­ma­tion et trans­pa­rence

    8/ Toute infor­ma­tion liée à l’ad­mi­nis­tra­tion est commu­ni­cable au citoyen et est publiée pro-acti­ve­ment en ligne de façon exploi­table par un moteur de recherche.

    L’idée n’est pas de chan­ger le prin­cipe, qui existe déjà, mais de réaf­fir­mer que ce prin­cipe essen­tiel à ma démo­cra­tie doit primer sur le secret des affaires, sur le côté privé des acti­vi­tés publiques des élus et fonc­tion­naires, et sur les secrets divers et variés.

    Si certains secrets liés aux négo­cia­tions ou à la sécu­rité peuvent primer, ils doivent être excep­tion­nels et très stric­te­ment limi­tés dans leur portée comme dans la durée.

    9/ La candi­da­ture à un mandat implique une renon­cia­tion immé­diate et auto­ma­tique en cas de victoire à toute fonc­tion ou tout mandat incom­pa­tible pré-exis­tant.

    10/ Le président présente son premier gouver­ne­ment en même temps que sa candi­da­ture à l’élec­tion. Pas de surprise après coup sur la ligne poli­tique ou qui va la mener.

  • Refus RGPD d’IQVIA

    Vous vous souve­nez d’IQVIA ? Envi­ron une phar­ma­cie sur deux en France leur envoi toutes vos données. Oui, sans vous le dire.

    C’est légal, validé par la CNIL, sous condi­tion d’une infor­ma­tion préa­lable et d’une capa­cité d’exer­cer un refus. Cette obli­ga­tion d’in­for­ma­tion préa­lable n’est malheu­reu­se­ment pas respec­tée et notre capa­cité à exer­cer un refus n’existe donc pas.

    Je me suis fendu d’une requête RGPD pour obte­nir des infor­ma­tions sur mes données et l’ori­gine de leur collecte. IQVIA, illé­ga­le­ment, m’a pour l’ins­tant refusé tout accès.

    Ça va partir en dossier à la CNIL.

    Il y a proba­ble­ment plus de chances que ça mène quelque part si je ne suis pas le seul à faire cette démarche.

    Ce sont sont des données parti­cu­liè­re­ment sensibles. Je vous invite donc vrai­ment à réali­ser vous aussi une demande d’ac­cès, insis­ter expli­ci­te­ment après la réponse stan­dar­di­sée que vous obtien­drez, et poser vous aussi ensuite un dossier à la CNIL.

    Ces données sont anony­mi­sées, pourquoi ça pose problème ?

    Ça pose problème parce que ces données ne sont juste­ment pas anony­mi­sées mais pseu­do­ny­mi­sées. On n’y accole pas votre nom ou votre numéro de sécu­rité sociale mais on vous y indi­vi­dua­lise quand même via un iden­ti­fiant unique.

    La réiden­ti­fi­ca­tion de ce genre de données est bien plus facile qu’on ne le croit, surtout pour une entité qui s’en donne vrai­ment les moyens. Là ce sont toutes nos données de santé qui sont à risque, c’est loin d’être anodin.

    La CNIL le dit d’ailleurs assez expli­ci­te­ment dans sa déli­bé­ra­tion : Il ne s’agit que d’une mesure de sécu­rité mais ça conti­nue à être des données person­nelles, avec les risques asso­ciés.

    Comment est-ce que ça fonc­tionne ?

    Pour faire simple ça se passe en trois étapes :

    1. La phar­ma­cie envoie vos données a un premier tiers de confiance, avec votre numéro de sécu­rité sociale et quelques autres infor­ma­tions. Ce premier tiers de confiance utilise une formule pour trans­for­mer ces infor­ma­tions en un iden­ti­fiant inter­mé­diaire. Cet iden­ti­fiant ne corres­pond à rien mais vous aurez toujours le même.
    2. Cet iden­ti­fiant inter­mé­diaire est ensuite envoyé à un second tiers de confiance, qui calcule un autre iden­ti­fiant à partir du premier. Ce sera votre pseu­do­nyme dans la base IQVIA.
    3. Ensuite, vos données sont envoyées à IQVIA, sans vos iden­ti­fiants réels mais atta­chés à votre pseu­do­nyme.

    Pourquoi dis-tu que la réiden­ti­fi­ca­tion est facile ?

    Il y a trois procé­dés clas­siques pour réiden­ti­fier ce genre de données.

    Le premier est le plus simple : On utilise le même circuit qu’IQVIA. À partir de vos iden­ti­fiants réels, on va calcu­ler votre iden­ti­fiant inter­mé­diaire avec la formule du premier tiers de confiance, puis avec cet iden­ti­fiant inter­mé­diaire on va calcu­ler votre pseu­do­nyme chez le second tiers de confiance. Une fois qu’on connait votre pseu­do­nyme on peut récu­pé­rer toutes vos données chez IQVIA, à votre nom.
    C’est possible avec l’aide volon­taire ou invo­lon­taire des diffé­rents tiers de confiance : Requête judi­ciaire, intru­sion suite à une faille de sécu­rité, espion­nage d’un État, malveillance interne, erreur idiote de confi­gu­ra­tion ou de mani­pu­la­tion de la part du pres­ta­taire, etc.

    Les deux autres procé­dés utilisent la statis­tique. Si on connait quelque chose d’as­sez unique, on peut réiden­ti­fier quelqu’un. Vous avez acheté hier à la fois un anti-aller­gique et un une prépa­ra­tion ophtal­mique dans une phar­ma­cie de Vannes ? Vous êtes proba­ble­ment le seul. Vous allez régu­liè­re­ment à une phar­ma­cie de quar­tier dans le 11ème à Paris et vous avez fait des achats à la phar­ma­cie de l’hô­pi­tal de votre lieu de vacances suite à une alerte cardiaque ? Vous êtes proba­ble­ment le seul. On ne sait pas où mais on connait votre marque de pilule contra­cep­tive, le fait que vous en avez changé il y a 2 mois, que vous avez le rhume des foins et que vous avez eu un trai­te­ment pour une mala­die spéci­fique le mois dernier. Là aussi, vous serez proba­ble­ment unique.
    Si on connaît ces infor­ma­tions sur vous, on peut faire trou­ver le seul pseu­do­nyme qui corres­pond dans la base IQVIA, et réupé­rer le reste des données atta­chées.
    À l’in­verse, si on repère des données inté­res­santes dans la base IQVIA, on peut croi­ser plusieurs infor­ma­tions de ce type pour tenter de retrou­ver qui est la personne concer­née, avec succès.

    Pourquoi dis-tu que l’obli­ga­tion d’in­for­ma­tion n’est pas respec­tée ?

    IQVIA travaille avec près d’une phar­ma­cie sur deux en France. Statis­tique­ment, si vous avez utilisé au moins une fois trois ou quatre phar­ma­cie au total ces dernières années, vos données sont concer­nées. En avez-vous été informé ?

    J’ai du passer dans plus d’une dizaine de phar­ma­cies diffé­rentes en quelques années, sans aucune infor­ma­tion. J’ai demandé via un sondage twit­ter, avec des connais­sances plutôt très portées sur le respect des données person­nelles, qui y font atten­tion. Je n’ai plus les chiffres exacts mais sur plus d’une centaine de personnes, une seule avait indiqué avoir reçu une infor­ma­tion (et poten­tiel­le­ment c’était après le repor­tage de Cash Inves­ti­ga­tion).

    Les repor­ters de Cash Inves­ti­ga­tion ont eux fait une vraie recherche et étaient arri­vés au même résul­tat : Aucune infor­ma­tion.

    IQVIA indique que le refus se demande via les phar­ma­cies parte­naires. Pourquoi insis­ter auprès d’IQVIA ?

    Quelles phar­ma­cies parte­naires ? Vu qu’elles ne respectent pas leur obli­ga­tion d’in­for­ma­tion, je ne peux pas y exer­cer mon droit de refus. IQVIA a expli­ci­te­ment refusé de me commu­niquer les phar­ma­cies parte­naires pour que je puisse y agir moi-même malgré tout.

    Je me retrouve sans moyen d’ac­tion pour faire respec­ter mes droits.

    Au delà du refus, j’ai léga­le­ment un droit d’ac­cès. J’ai­me­rais au mini­mum savoir quelles données ont été trans­fé­rées jusque là, et par qui.

    Sauf à connaître l’exacte liste des phar­ma­cies par lesquelles je suis passé ces dernières années, mon seul canal d’ac­cès est bien IQVIA. Ce sont aussi eux qui sont respon­sable de trai­te­ment sur cette base de données, et la CNIL a rappelé expli­ci­te­ment que la pseu­do­ny­mi­sa­tion (néces­saire pour des raisons de sécu­rité) ne les déga­geait en rien de leurs autres obli­ga­tions.

    Que peut faire IQVIA vu que les données sont pseu­do­ny­mi­sées ?

    Ils peuvent opérer le premier moyen de réiden­ti­fi­ca­tion décrit plus haut. J’ai expli­ci­te­ment donné mon accord pour qu’ils contactent les tiers de confiance en mon nom (je n’ai pas la possi­bi­lité de le faire moi-même).

    À défaut, sans que cela ne réponde à toutes leurs obli­ga­tions ni à toutes mes demandes, ils pour­raient au moins me four­nir la liste des phar­ma­cies parte­naires avec les moyens de contact pour que j’opère moi-même des demandes d’ac­cès indi­vi­duelles auprès de ces offi­cines.

    Ils ne m’ont même pas donné une seule adresse pour opérer un refus. C’est dire la mauvaise volonté.

    Mais n’ont-ils pas eu la vali­da­tion de la CNIL ?

    Ce qu’ils font relève de la recherche, avec un inté­rêt légi­time, et ils mettent en oeuvre les moyens de sécu­ri­sa­tion adap­tés pour cela, dont la pseu­do­ny­mi­sa­tion.

    La CNIL a donc légi­ti­me­ment validé l’ac­ti­vité. Rien à dire là dessus.

    Dans sa déli­bé­ra­tion la CNIL rappelle toute­fois que ces données restent des données person­nelles et que la pseu­do­ny­mi­sa­tion ne retire en rien les obli­ga­tions d’IQVIA liées à la gestion de ces données person­nelles.

    Bref, ils ont le droit de faire ce qu’ils font, à condi­tion d’in­for­mer les usagers (obli­ga­tion qu’ils n’ont pas respecté) et à condi­tion de respec­ter l’en­semble de leurs autres obli­ga­tions liées à la gestion des données récol­tées (et ils viennent de m’op­po­ser un refus).

    Ils ne peuvent pas se cacher derrière l’au­to­ri­sa­tion de la CNIL en ne la respec­tant qu’à moitié.

    Ok, que puis-je faire pour aider ?

    • Faire une requête d’ac­cès à vos données auprès du DPO d’IQVIA, insis­ter, noter leur refus par écrit, dépo­ser un dossier de récla­ma­tion à la CNIL (sans avoir d’in­for­ma­tion sur leur prio­ri­sa­tion, le nombre joue forcé­ment : La CNIL s’était même défen­due d’être inter­ve­nue en disant n’avoir reçu aucune plainte)
    • Joindre votre jour­na­liste préféré pour qu’on conti­nue à donner de la publi­cité au problème, et faire en sorte que la CNIL, IQVIA, nos poli­tiques ou les auto­ri­tés réagissent.
    • Joindre votre député préféré pour lui parler du problème et obte­nir son action.
    • Diffu­ser l’in­for­ma­tion et/ou le repor­tage de Cash Inves­ti­ga­tion.

  • Absten­tion et vote élec­tro­nique

    Je pour­rais me conten­ter de poin­ter que, là où il y a vote élec­tro­nique (les quelques bureaux avec encore des machines locales, ou les français de l’étran­ger), il n’y a pas de taux de parti­ci­pa­tion signi­fi­ca­ti­ve­ment plus forte.

    Je vais quand même ajou­ter une évidence.

    Il y a des excep­tions mais la plupart des français de métro­pole sont 10 minutes de leur bureau de vote, 15 maxi­mum, bureau dans lequel ils reste­ront proba­ble­ment moins de 10 minutes.

    Si ces personnes ne sont pas prêtes à inves­tir en 2× 30 minutes par an pour déter­mi­ner l’ave­nir du pays et de leurs collec­ti­vi­tés, le problème n’est pas dans la présence ou l’ab­sence d’une app de vote sur leur smart­phone.

    Mépri­ser les autres en les trai­tant impli­ci­te­ment de flem­mards n’y chan­gera rien.

    Vu le désa­li­gne­ment entre le corps poli­tique et les citoyens, la propor­tion de non-adhé­sion avec les déci­sions prises, le senti­ment d’im­puis­sance et d’ab­sence de contrôle sur ces déci­sions, le manque de diver­sité dans l’offre poli­tique et de repré­sen­ta­tion de cette diver­sité au niveau des instances élues, le nombre de personnes qui se sentent tota­le­ment lâchées voire exclues par l’ad­mi­nis­tra­tion, la verti­ca­lité du fonc­tion­ne­ment réel du pouvoir en Fran­ce… croire que la ques­tion vient du vote élec­tro­nique est surtout très satis­fai­sant pour ne pas se remettre en cause.

    Et si plutôt on mettait en œuvre un vrai chan­tier démo­cra­tique ? Et si on s’as­su­rait d’uti­li­ser autre chose que des scru­tins majo­ri­taires à deux tours pour notre repré­sen­ta­tion ?

    Je vous vois venir, à me dire que ce n’est pas ça qui est vrai­ment le problème, tant que les gens ne s’in­té­ressent pas à la poli­tique.

    On a eu ces dernières années un enga­ge­ment majeur de la popu­la­tion au niveau poli­tique. On a eu tout le mouve­ment des gilets jaunes dont la propo­si­tion phare était le réfé­ren­dum d’ini­tia­tive citoyenne pour avoir une parti­ci­pa­tion directe dans la vie poli­tique. On a eu des mouve­ments sociaux qui portaient de vrais messages poli­tiques sur les retraites ou les liber­tés. On a eu des péti­tions qui ont enfin passé les quorums néces­saires pour impo­ser des inscrip­tions à l’ordre du jour parle­men­taire.

    Croire que l’abs­ten­tion relève du désin­té­rêt de la vie publique et des ques­tions poli­tique c’est se mettre le doigt dans l’œil jusqu’au coude.

    Le fond c’est au contraire que la poli­tique ne les laisse pas s’y impliquer autre­ment que comme on leur dit, en glis­sant une fois de temps en temps un chèque en blanc pour des partis dont ils ne veulent majo­ri­tai­re­ment pas (ce n’est pas une opinion, ce sont les chiffres réels des élec­tions), en votant pour l’un afin surtout de reje­ter l’autre. Faire ce chèque en blanc par inter­net risque de ne pas chan­ger fonda­men­ta­le­ment le problème.

  • Oui mais l’Es­to­nie…

    L’Es­to­nie utilise massi­ve­ment le vote élec­tro­nique pour ses élec­tions. C’est un peu vu comme le joker dès qu’on parle de vote élec­tro­nique et de ses diffi­cul­tés. « L’Es­to­nie y arrive bien », en oubliant que c’est quasi­ment le seul pays avec la Corée du sud à avan­cer sérieu­se­ment sur cette voie, les autres ayant fait machine arrière, ou sont au mieux restés sur un status quo défec­tueux.

    L’Es­to­nie propose en effet le vote élec­tro­nique en paral­lèle du bulle­tin papier depuis 2005. L’élec­teur choisi ce qu’il utilise, sachant qu’un vote papier annule le vote élec­tro­nique corres­pon­dant. Le contexte est parti­cu­liè­re­ment favo­rable puisque l’ac­cès à Inter­net y est consi­déré comme un droit social. Aux dernières élec­tions c’est quasi­ment la moitié des votants qui utilisent la procé­dure par Inter­net.

    Encou­ra­geant mais c’est une histoire qui n’a pas été toute rose.

    En 2011 Paavo Pihel­gas a prouvé qu’il était possible de chan­ger le vote d’un élec­teur sans que celui-ci ne le remarque. La véri­fia­bi­lité du vote par l’élec­teur n’existe que depuis 2013. Elle est de plus limi­tée dans le temps et ne garan­tit pas la prise en compte dans le résul­tat. Elle sert juste à véri­fier que le logi­ciel utilisé par le votant n’a pas envoyé un vote diffé­rent de celui souhaité.

    Le logi­ciel serveur n’était pas ouvert avant 2013. Le logi­ciel client ne l’est toujours pas aujourd’­hui, par choix.

    Une équipe d’ex­perts inter­na­tio­nale a montré en 2014 des défaillances abon­dantes dans les proces­sus, des vulné­ra­bi­li­tés graves, un modèle de sécu­rité obso­lète, un manque de trans­pa­rence et des attaques possibles de grande enver­gure pour modi­fier l’élec­tion à la fois côté client et côté serveur.

    Le système prétend avoir une véri­fia­bi­lité de bout en bout depuis 2017 mais une équipe de cher­cheurs inter­na­tio­naux a contesté cette affir­ma­tion depuis.

    Plus globa­le­ment, la commis­sion d’ob­ser­va­tion élec­to­rale a émis des inquié­tudes avec des points à corri­ger régu­liè­re­ment (2007, 2011, 2013, 2015). C’est toujours un débat public en 2019 jusqu’au ministre des nouvelles tech­no­lo­gies.

    Pour termi­ner par une vraie note posi­tive : Le système semble faire l’objet d’un débat public construc­tif perma­nent, et évolue en réponse. Rien que ça est une réus­site sociale comme on en a peu chez nous. Ça mérite d’être souli­gné.

    Et tech­nique­ment ?

    Ils utilisent la crypto de leur carte à puce qui leur sert de carte d’iden­tité et d’à peu près tout, y compris pour des prêts bancaires.

    Leur vote a une double enve­loppe. L’en­ve­loppe externe, chif­frée, est signée pour iden­ti­fier l’élec­teur. Elle contient elle-même le vote chif­fré. Les serveurs de vote ont la première clef (iden­ti­fier le votant) mais pas la seconde. Les signa­tures sont reti­rées des votes avant l’étape de dépouille­ment, assu­rant une isola­tion théo­rique entre les iden­ti­tés et les votes.

    Depuis 2017 le dépouille­ment utilise les proprié­tés homo­morphes du chif­fre­ment comme le fait Helios, mais ils conti­nuent aussi de déchif­frer les votes pour les comp­ter en plus à l’an­cienne en paral­lèle.

    L’État esto­nien est maître du système

    Le logi­ciel client n’est même pas open source. Même si ça ne garan­tit pas tout, on n’a pas le mini­mum. C’est impor­tant parce que le système permet plusieurs votes du même élec­teur, seul le dernier étant pris en compte. C’est vu comme une défense contre la contrainte (si tu es contraint, tu peux revo­ter derrière). Un second mali­cieux vote peut très bien être envoyé après celui de l’élec­teur, à son insu, et rempla­cer l’ori­gi­nal.

    La sépa­ra­tion entre les iden­ti­tés et les votes est théo­rique. Une fois le vote envoyé il faut faire confiance au serveur pour respec­ter le code source public et effec­ti­ve­ment reti­rer les iden­ti­tés avant les dépouille­ments (et contrai­re­ment à Elios, ils déchiffrent les votes eux-mêmes). Rien ne le garan­tit.

    La clef de déchif­fre­ment des votes eux-mêmes n’est pas parta­gée entre diffé­rents acteurs aux inté­rêts diver­gents et est donc parti­cu­liè­re­ment sensible aux malver­sa­tions (encore plus que ce qui est décrit pour Helios).

    Enfin, il n’y a aucune véri­fia­bi­lité publique. Si on parle de chif­fre­ment homo­mor­phique comme Helios, l’urne n’est pas publique et seules les auto­ri­tés en place et personnes dési­gnées par elles ont le droit de procé­der à une véri­fi­ca­tion du dépouille­ment.

    Le proces­sus est parfait tant que tout le monde est de bonne foi et se fait confiance mais…

    En pratique, les auto­ri­tés esto­niennes ont la capa­cité d’igno­rer des votes, d’en rempla­cer, ou de cher­cher qui a voté quoi.

    Il ne faut comp­ter que sur leur promesse de ne pas le faire.

    Sachant que le gouver­ne­ment, en coali­tion avec l’ex­trême droite, est tombé en début d’an­née pour des scan­dales de corrup­tion, on peut consi­dé­rer que les choix esto­niens ne sont pas sans risques.

    Afin de modé­rer toute­fois, et pour reprendre une conclu­sion simi­laire à celle de l’ar­ticle sur Helios. Un système répond à des besoins et un contexte spéci­fiques.

    Je ne juge pas leurs choix, ne connais­sant ni leur histoire ni leurs enjeux spéci­fiques. Je tiens aussi beau­coup à l’au­to­dé­ter­mi­na­tion démo­cra­tique et je n’ai pas à leur impo­ser un choix que je trouve meilleur.

    Je ne prétends pas non plus que tous les pays avec du papier font mieux. Je peux par contre affir­mer le système papier français est bien plus sûr que l’éven­tuelle trans­po­si­tion du système élec­tro­nique esto­nien en France, et que ce dernier est très loin de me faire rêver.

  • Parlons un peu Helios

    Helios fait à ma connais­sance partie des systèmes les plus avan­cés pour du vote élec­tro­nique. On l’avait mentionné briè­ve­ment ici il y a deux ans dans les discus­sions au sujet du vote élec­tro­nique mais je ne crois pas qu’il y ait eu de révo­lu­tion depuis. Bele­nios semble appor­ter des réponses à quelques objec­tions ci-dessous mais je n’ai pas encore inté­gré tout ça. J’ai vu aussi Civi­tas qui semble répondre à d’autres point, mais je n’ai pas encore étudié ce dernier non plus. Ce qui semble toute­fois certain, c’est que le système parfait n’existe toute­fois pas.

    Helios garan­tit à la fois le secret et la véri­fia­bi­lité

    Je crois que c’est ce qui m’a le plus retourné l’es­prit la première fois. On se base sur de la cryp­to­gra­phie. On envoie dans l’urne un vote chif­fré.

    La crypto permet de créer une preuve de vali­dité, c’est à dire prou­ver que notre vote chif­fré contient bien une valeur auto­ri­sée, sans pour autant révé­ler la valeur du dit vote. On ajoute cette preuve de vali­dité (véri­fiable par chacun) à l’urne avec son vote.

    La liste des votes chif­frés est elle-même publique. On peut véri­fier que son vote est pris en compte sans modi­fi­ca­tion, et véri­fier qu’on n’a pas ajouté de votes (au prix d’une divul­ga­tion des listes d’émar­ge­ment).

    Au dépouille­ment on utilise les proprié­tés homo­morphes du chif­fre­ment. En gros ça permet de faire des calculs à partir des données chif­frées sans les déchif­frer. C’est juste que le résul­tat est chif­fré lui aussi.

    Là on déchiffre ce résul­tat (et unique­ment le résul­tat) et on créé une preuve cryp­to­gra­phique que ce qu’on annonce corres­pond bien au résul­tat chif­fré. Les votes n’ont été révé­lés à personne et la clef de chif­fre­ment n’a jamais été publique.

    Magique non ?

    Ok, donc on sait faire,
    où est le loup ?

    Il n’y a pas de loup. C’est vrai­ment génial, on peut faire des trucs de dingues en crypto. C’est juste que la problé­ma­tique plus large que celle décrite.

    In our opinion, none of the exis­ting voting schemes achieve the same level of secu­rity guaran­tees than tradi­tio­nal on-site paper voting (as it is orga­ni­zed in France for example).

    FAQ de Bele­nios

    En premier lieu, tout repose sur une clef cryp­to­gra­phique. Il faut faire confiance à qui génère et détient cette clef. Il faut aussi faire confiance au maté­riel et au logi­ciel qui génèrent et mani­pulent cette clef. Il faut aussi faire confiance la sécu­rité du stockage de cette clef. Si cette confiance est mal placée, ce sont les votes de tout le monde, nomi­na­ti­ve­ment, qui sont désor­mais connus.

    Les systèmes proposent de répar­tir la clef chez plusieurs tiers de confiance après géné­ra­tion. C’est bien, mais ça ne répond fina­le­ment qu’à une toute petite partie du problème.

    Ouch !

    C’est vrai aussi pour le votant. Il réalise son vote sur un ordi­na­teur qui réalise les opéra­tions cryp­to­gra­phiques. Il lui faudra faire confiance dans le maté­riel et le logi­ciel utili­sés. La sécu­rité du maté­riel person­nel est une douce illu­sion. La sécu­rité d’un maté­riel géré par l’État (qui impose donc de se dépla­cer en local) pose au mini­mum une ques­tion de confiance (en l’État, ses pres­ta­taires) mais aussi de sécu­rité (sa sécu­rité et celle des autres pres­ta­taires, vis à vis d’autres États, ce qui est loin d’être si évident que ça). Si cette confiance est mal placée, le vote peut être divul­gué, ou peut-être même que le vote enre­gis­tré dans l’urne ne corres­pon­dra pas à ce que l’élec­teur a réel­le­ment choisi.

    Aie !

    Si on parle de vote à distance – qui est quand même un des avan­tages attendu du vote élec­tro­nique – on ajoute aussi la possi­bi­lité de contrainte ou d’achat de vote. Ça existe déjà sur nos urnes trans­pa­rentes, mais à une échelle qui ne peut pas être massive. La contrainte est diffi­cile sans procu­ra­tion et on ne peut avoir qu’une procu­ra­tion par personne. Il y a eu des histoires d’achat de vote mais fina­le­ment chacun reste libre dans l’iso­loir.

    En fait le système Helios faci­lite l’achat ou la contrainte parce qu’un tiers peut impo­ser au votant de four­nir un élément qui lui permet­tra de déchif­frer le vote dans l’urne publique. Bref, on a un outil qui permet poten­tiel­le­ment de la contrainte de vote massive.

    Ouille !

    Enfin, même une fois dépassé tout ça, l’élec­teur doit quand même faire confiance globa­le­ment dans tout le système. Le système d’urne trans­pa­rente peut être compris et véri­fié par chacun, jusqu’à mon fils de 9 ans. La cryp­to­gra­phie ne l’est pas. Les élec­teurs ne peuvent que confir­mer que le logi­ciel qu’ils ont entre les mains donne le même résul­tat que celui annoncé, et doivent faire confiance à ce logi­ciel.

    Même si le logi­ciel était réim­plé­menté par des personnes de confiance, seule une toute petite mino­rité a la connais­sance pour comprendre et véri­fier le méca­nisme cryp­to­gra­phique théo­rique pour s’as­su­rer qu’il est fiable.

    Honnê­te­ment, je suis dans la tech­nique infor­ma­tique, proche des milieux sensibles à la vie privée et à la crypto, mais je ne crois pas connaître quelqu’un qui saurait prou­ver mathé­ma­tique­ment avec un bon niveau de confiance la soli­dité des algo­rithmes en jeu.

    Quand on voit la défiance vis à vis des vaccins ou même sur la forme de la terre, autant dire qu’on court à la catas­trophe si on croit que « faites confiance aux experts » est une bonne réponse.

    Ache­vez-moi.

    Même après tout ça, la recherche avance. Je ne vais pas parler de casser la crypto d’aujourd’­hui avec des ordi­na­teurs quan­tiques. C’est un domaine que je ne connais pas du tout. On a par contre un assez bon histo­rique pour iden­ti­fier le risque sérieux que ce qu’on chiffre aujourd’­hui soit déchif­frable dans 10, 20 ou 30 ans.

    20 ans ça parait long mais je ne sais pas ce que sera notre pays, qui sera au pouvoir et ce qu’ils pour­raient en faire. Si demain on a un pouvoir auto­ri­taire, savoir qu’aujourd’­hui j’ai voté X ou Y pour­rait me coûter ma vie. La France était en guerre avec tortures et crimes contre l’hu­ma­nité sur son sol il y a encore 60 ans.

    Gloups.

    Même plus modé­ré­ment, je ne veux pas que mon voisin sache pour qui j’ai voté il y a 20 ans. C’est ma tranquillité qui est en jeu. Je ne veux pas que je ne sais quelle entre­prise de marke­ting l’uti­lise pour du profi­lage. Le secret du vote m’est essen­tiel.

    Mais alors,
    faut-il tout jeter ?

    Certai­ne­ment pas !

    On peut encore inven­ter des choses, même si pour l’ins­tant on a l’im­pres­sion que la boite noire qu’est l’élec­tro­nique laisse peu de place aux objec­tions levées plus haut. Le problème n’est pas théo­rique, il est pratique, à cause de la complexité en jeu.

    Ça dépend de ce qu’on vise.

    On sait désor­mais que le maté­riel peut être compro­mis à la source, avant même d’être utilisé, soit par le construc­teur, soit par un acteur étatique tiers. C’est jouable pour influen­cer une élec­tion natio­nale. C’est plus ridi­cule pour l’élec­tion des parents d’élèves de l’école primaire de Trifouilli-les-oies.

    Ça dépend aussi des risques et de ce qu’on remplace.

    On vote par exemple à distance pour les français de l’étran­ger. C’est un compro­mis faute de meilleure solu­tion et parce que les risques sont limi­tés. Ces votes sont suffi­sam­ment faibles dans l’en­semble natio­nal pour que proba­ble­ment ce risque ne soit pas déter­mi­nant. On donne d’ailleurs souvent les résul­tats avant que certaines zones non métro­po­li­taines n’aient fini de voter ou d’être comp­ta­bi­li­sées. C’est dire…

    La Suisse le consi­dère d’ailleurs de façon inté­res­sante. Les garan­ties deman­dées pour un système ne sont pas les mêmes suivant qu’il peut concer­ner moins de 30%, entre 30 et 50%, ou plus de 50% des votants.

    Ce pour­rait être aussi une solu­tion sur un pays avec des corrup­tions locales telles que les risques de mani­pu­la­tions d’urnes seraient plus impor­tants que celles de mani­pu­la­tions infor­ma­tiques, ou pour un pays en désor­ga­ni­sa­tion géné­rale sur le terrain suite à une catas­trophe, ou que sais-je encore.

    C’est un équi­libre des risques et des béné­fices, en fonc­tion des alter­na­tives. Aujourd’­hui il s’avère juste qu’on a en France une alter­na­tive sûre, simple, effi­cace, d’un coût accep­table, et compré­hen­sible par tous. La barrière à l’en­trée est donc très haute, et le vote élec­tro­nique ne la passe pas, pas tel qu’on sait le conce­voir aujourd’­hui.

    Note : On parle de sujet complexes (c’est d’ailleurs un des problèmes). Si je me trompe, ou s’il existe des parades à mes objec­tions, ou si vous avez des données complé­men­taires, vous êtes plus que bien­venu à commen­ter et ajou­ter à l’in­for­ma­tion.
    Je corri­ge­rai mon propre texte le cas échéant.
    Je vous demande juste d’être construc­tif et de me donner les liens vers les infor­ma­tions détaillées pour que je puisse les consul­ter.

  • Prisme de lecture

    Quand on a un prisme devant les yeux, on peut tout voir et tout inter­pré­ter par ce prisme. Ça justi­fie ce même prisme après-coup, ce qui rend encore plus diffi­cile de l’aban­don­ner.

  • Apoli­tique

    Je me crispe à chaque lecture du terme apoli­tique.

    Je ne connais rien d’apo­li­tique. Tout ce qu’on fait, ce qu’on dit, ce qu’on mange, ce qu’on achète, a un impact poli­tique indi­vi­duel ou collec­tif. C’est d’ailleurs aussi vrai de ce qu’on choi­sit de ne pas faire ou de ne pas dire.

    Prendre conscience de son impact c’est vider de sens ce terme d’apoli­tique. Au mieux on peut être non-mili­tant, éven­tuel­le­ment apar­ti­san. La diffé­rence est majeure.

    De ceux qui se disent apoli­tiques, je vois deux caté­go­ries.

    Les premiers veulent simple­ment igno­rer l’im­pact poli­tique de ce qu’ils font. Ils ne consi­dèrent que ce qui les touche direc­te­ment et person­nel­le­ment. Le bon terme n’est pas apoli­tique mais égocen­trique.

    Les seconds ne veulent juste pas entendre parler des chan­ge­ments ou des débats autours de ces chan­ge­ments. Il s’agit juste d’une façon de défendre le statu quo, et en cela c’est un vrai mili­tan­tisme poli­tique. Refu­ser le chan­ge­ment et le débat est un acte mili­tant extrê­me­ment fort.

    Souvent c’est un mélange des deux, à des degrés divers. On a plus de faci­lité à igno­rer l’as­pect poli­tique quand on vit bien dans le contexte actuel et qu’on n’as­pire pas à autre chose. On a plus de faci­lité à vouloir reje­ter tout chan­ge­ment au béné­fice de tiers quand on ne se préoc­cupe que de soi.

  • RGPD avec la SNCF

    Oui SNCF a la mauvaise habi­tude de déclen­cher auto­ma­tique­ment l’abon­ne­ment à la news­let­ter commer­ciale lors d’un achat, sans possi­bi­lité de refu­ser sur le moment.

    Commu­niquer avec vous : pour Oui.sncf, main­te­nir le contact avec vous est essen­tiel, mais nous ne le faisons que de manière très raison­née, et nous ne vous envoyons des commu­ni­ca­tions élec­tro­niques, via e-mail, SMS ou noti­fi­ca­tion mobile, que pour les motifs suivants :

    […]

    La propo­si­tion d’offres commer­ciales […] Si vous avez commandé des produits sur le site Oui.sncf.

    https://www.oui.sncf/infor­ma­tions-legales/confi­den­tia­lite/gestion-donnees

    Je ne suis pas certain que ce soit légal à ce stade, surtout qu’ils réabonnent auto­ma­tique­ment même si on a expli­ci­te­ment demandé le désa­bon­ne­ment, mais ce qui m’at­tire c’est autre chose.

    En bas des emails je lis ce qui suit

    En ouvrant cet email, vous accep­tez le dépôt de nos cookies et ceux de nos parte­naires a des fins de person­na­li­sa­tion d’an­nonces commer­ciales, de mesure ou d’ana­lyse.

    Et là je fais… Pardon ?

    La person­na­li­sa­tion d’an­nonces commer­ciales sans consen­te­ment expli­cite ? Et le moyen d’y échap­per est la confi­gu­ra­tion de cookies sur le navi­ga­teur donc il y a collecte à chaque fois que vous ouvri­rez sur un nouveau poste même si vous avez expli­ci­te­ment exprimé un refus après coup.

    Là c’est clai­re­ment illé­gal donc… Je veux en savoir plus et je fais une requête d’ac­cès RGPD. Comme toujours, je demande « tout » (parce que l’in­té­rêt est juste­ment de voir ce qu’ils stockent et à quoi je ne m’at­tends pas).

    La réponse est polie et rapide, moins d’une semaine. C’est assez rare pour être signalé. On me pointe vers la charte de confi­den­tia­lité en ligne et on me donne un PDF avec quelques données :

    • Civi­lité, prénom, nom, date de nais­sance, adresse, télé­phone
    • Iden­ti­fiant de login (chaîne hexa), date de créa­tion du compte client, date de dernière connexion, le fait que je refuse les offres des spon­sors
    • L’his­to­rique des commandes en cours (trois billets de train à venir) avec numéro de commande, numéro de dossier, date de commande, date de voyage, gare de départ et desti­na­tion, mode de retrait, mode de paie­ment, classe, montant et nombre de passa­gers (avec une erreur parce qu’on me manque « 2 » pour un des billets, qui ne contient qu’une seule place, ça doit donc vouloir dire autre chose)
    • Un histo­rique vide des cartes et abon­ne­ments
    • Un histo­rique vide des commandes en agence
    • La liste des lettres d’in­for­ma­tion envoyées depuis 2 ans avec code et date, celles ouvertes et celles cliquées (avec le lien sur lequel j’au­rais cliqué)

    Premier oups, l’his­to­rique des lettres d’in­for­ma­tion est sur 2 ans alors qu’on m’in­dique dans la charte qu’ils ne stockent qu’un an.

    Ok, c’est pas mal mais en fait ridi­cule. Ils ne listent même pas mon iden­ti­fiant grand voya­geur, la clas­si­fi­ca­tion commer­ciale asso­ciée, les points ou avan­tages. Mais surtout je n’ai aucun histo­rique dans le passé à part sur les news­let­ter.

    Comme je doute très forte­ment, je suis allé voir sur le site. Je devrais avoir au mini­mum :

    • Des données bancaires sur mes achats passés, et au moins ceux encore rembour­sables (les 3 billets pour des voyages futurs)
    • Des données liées à vos habi­tudes et centres d’in­té­rêt (desti­na­tions favo­rites, choix des pres­ta­tions complé­men­tai­res…)
    • Des données de navi­ga­tion (recherches, nombre de visites, date de dernière visi­te…)
    • Des données tech­niques (adresse IP, l’opé­ra­teur télé­com, la loca­li­sa­tion macro­sco­pique de l’adresse IP, les infor­ma­tions four­nies par le navi­ga­teur sur le système d’ex­ploi­ta­tion et le navi­ga­teur utilisé)
    • Des logs de connexions sur 1 an
    • Des cookies sur 13 mois
    • Et bien entendu les « person­na­li­sa­tion d’an­nonces commer­ciales, de mesure ou d’ana­lyse » qui sont réali­sées comme indiqué en fin de news­let­ter.

    Bref, j’ai fait une relance, on va voir la suite.

  • Pseu­do­ny­mi­sa­tion des données person­nelles

    Visi­ble­ment ce n’est pas clair pour tout le monde.

    Quand on supprime vos noms, email, adresse, etc. mais que le reste de vos diffé­rentes données sont toujours ratta­chées à un iden­ti­fiant unique, ce n’est pas de l’ano­ny­mi­sa­tion mais de la pseu­do­ny­mi­sa­tion.

    La diffé­rence est majeure : celui qui peut trou­ver votre iden­ti­fiant peut accé­der à toutes vos données.

    1. Ce sera le cas si la base de données contient un lien ou un iden­ti­fiant qui mène à une base où vous n’êtes pas sous pseu­do­nyme. Il suffira d’un croi­se­ment pour vous ré-iden­ti­fier.

    2. Ce sera aussi le cas si on recal­cule votre iden­ti­fiant pseu­do­nyme à partir de vos iden­ti­fiants réels (nom, email, adresse, numéro sécu, etc.) de la même façon que ça a été fait la première fois.

    Parfois même des infor­ma­tions partielles permettent de trou­ver l’iden­ti­fiant pseu­do­nyme en testant quelques millions de combi­nai­sons possibles pour les données manquantes

    3. Ce sera encore le cas si on peut iden­ti­fier avec suffi­sam­ment de préci­sion une donnée pseu­do­ny­mi­sée comme étant la votre (par exemple un achat avec une date et un lieu), votre iden­ti­fiant pseu­do­nyme y est alors atta­ché.

    C’est tout autant le cas si on a très peu de préci­sion mais sur plusieurs points de données (plusieurs achats, quelques points sur toute une trace de géolo­ca­li­sa­tion, les socié­tés dans lesquelles vous avez travaillé) ; on en obtient assez faci­le­ment une iden­ti­fi­ca­tion unique.

    Ça fonc­tionne d’ailleurs aussi dans l’autre sens.

    4. Si on connait la formule et une partie de vos iden­ti­fiants réels, on peut parfois tester des millions de combi­nai­sons pour retrou­ver les données réelles manquantes.

    5. Si on iden­ti­fie plusieurs points de données d’un même iden­ti­fiant dans la base pseu­do­ny­mi­sée, si on le souhaite vrai­ment, on peut souvent retrou­ver avec un peu d’ef­forts la personne réelle concer­née.

    Pour toutes ces raisons, les données pseu­do­ny­mi­sées ne sont pas des données anonymes. Elles restent des données person­nelles et peuvent toujours vous iden­ti­fier. Si ce sont des données sensibles, ça craint. Dans tous les cas ça reste soumis à la régle­men­ta­tion des données person­nelles.

  • Bref, je suis inquiet

    Je vois notre sphère poli­tique crier victoire et prépa­rer le relâ­che­ment de toutes les mesures en un à deux mois. Ça y est, nous aurions gagné contre le virus.

    Nous n’avons pour­tant que 28 % de la popu­la­tion avec au moins une dose de vaccin. Même si ça augmente vite, c’est trop peu pour espé­rer conte­nir le virus sans mesure restric­tive. À aller trop vite alors qu’on est encore à des inci­dences hautes, on prend évidem­ment un risque de flam­bée.

    Ce qui m’inquiète n’est même pas ça.

    De quelle propor­tion de vacci­nés avons-nous besoin pour que la diffu­sion du virus soit limi­tée ? Avec la conta­gio­sité natu­relle du virus, il semble que ce soit « beau­coup ».

    https://twit­ter.com/DrEricDing/status/1393090966928637952

    Avec la souche histo­rique, il nous fallait près de 70% de la popu­la­tion vacci­née avec un vaccin Pfizer effi­cace à 95% pour conte­nir la diffu­sion. Les fameux gestes barrières vont j’es­père partiel­le­ment passer dans les habi­tudes et nous aider à réduire plus vite. C’est tout à fait jouable.

    Mais…

    Tous les vaccins qu’on utilise n’ont pas une effi­ca­cité à 95%. L’As­traZe­neca est à 70%. C’est en soi beau­coup mais ça fait forcé­ment bais­ser l’ef­fi­ca­cité moyenne, et poten­tiel­le­ment nous faire perdre l’ef­fi­ca­cité collec­tive.

    Plus gênant, cette effi­ca­cité annon­cée est celle vis à vis des formes graves de la mala­die. On a de très bonnes raisons de penser que ça limite aussi la trans­mis­sion au moins dans le cas du Pfizer. Limite, mais pas forcé­ment à 95% non plus. Bref, là aussi on est dans la mouise.

    Et là viennent les variants…

    On parle de conta­gio­sité plus élevée, et d’ef­fi­ca­cité des vaccins forte­ment réduite. Mettons 70% dans le cas du Pfizer, bien pire dans le cas de l’As­tra­ze­neca. Autant dire que même en vacci­nant 100% de la popu­la­tion au Pfizer, on l’a dans l’os.

    Quand peut-on espé­rer une évolu­tion des vaccins ARNm ? Je ne sais pas. Ils ne sont pas là, encore moins produits et injec­tés. Autant dire qu’on va avoir un sujet au moins jusqu’à la fin de l’an­née. Et si les mauvais variants se diffusent d’ici là, on est reparti pour rejouer 2020.

    Bref, je suis inquiet.

    Mais faites-vous vacci­ner, parce que même si ça n’offre pas la solu­tion ultime à long terme, ne pas le faire est indé­nia­ble­ment pire. Peu importe le vaccin, si vous êtes dans les classes d’âge où il est recom­mandé alors la balance béné­fice/risque est bonne et vous serez mieux avec que sans.