Carnet de notes

Auteur/autrice : Éric

  • Absten­tion et vote élec­tro­nique

    Je pour­rais me conten­ter de poin­ter que, là où il y a vote élec­tro­nique (les quelques bureaux avec encore des machines locales, ou les français de l’étran­ger), il n’y a pas de taux de parti­ci­pa­tion signi­fi­ca­ti­ve­ment plus forte.

    Je vais quand même ajou­ter une évidence.

    Il y a des excep­tions mais la plupart des français de métro­pole sont 10 minutes de leur bureau de vote, 15 maxi­mum, bureau dans lequel ils reste­ront proba­ble­ment moins de 10 minutes.

    Si ces personnes ne sont pas prêtes à inves­tir en 2× 30 minutes par an pour déter­mi­ner l’ave­nir du pays et de leurs collec­ti­vi­tés, le problème n’est pas dans la présence ou l’ab­sence d’une app de vote sur leur smart­phone.

    Mépri­ser les autres en les trai­tant impli­ci­te­ment de flem­mards n’y chan­gera rien.

    Vu le désa­li­gne­ment entre le corps poli­tique et les citoyens, la propor­tion de non-adhé­sion avec les déci­sions prises, le senti­ment d’im­puis­sance et d’ab­sence de contrôle sur ces déci­sions, le manque de diver­sité dans l’offre poli­tique et de repré­sen­ta­tion de cette diver­sité au niveau des instances élues, le nombre de personnes qui se sentent tota­le­ment lâchées voire exclues par l’ad­mi­nis­tra­tion, la verti­ca­lité du fonc­tion­ne­ment réel du pouvoir en Fran­ce… croire que la ques­tion vient du vote élec­tro­nique est surtout très satis­fai­sant pour ne pas se remettre en cause.

    Et si plutôt on mettait en œuvre un vrai chan­tier démo­cra­tique ? Et si on s’as­su­rait d’uti­li­ser autre chose que des scru­tins majo­ri­taires à deux tours pour notre repré­sen­ta­tion ?

    Je vous vois venir, à me dire que ce n’est pas ça qui est vrai­ment le problème, tant que les gens ne s’in­té­ressent pas à la poli­tique.

    On a eu ces dernières années un enga­ge­ment majeur de la popu­la­tion au niveau poli­tique. On a eu tout le mouve­ment des gilets jaunes dont la propo­si­tion phare était le réfé­ren­dum d’ini­tia­tive citoyenne pour avoir une parti­ci­pa­tion directe dans la vie poli­tique. On a eu des mouve­ments sociaux qui portaient de vrais messages poli­tiques sur les retraites ou les liber­tés. On a eu des péti­tions qui ont enfin passé les quorums néces­saires pour impo­ser des inscrip­tions à l’ordre du jour parle­men­taire.

    Croire que l’abs­ten­tion relève du désin­té­rêt de la vie publique et des ques­tions poli­tique c’est se mettre le doigt dans l’œil jusqu’au coude.

    Le fond c’est au contraire que la poli­tique ne les laisse pas s’y impliquer autre­ment que comme on leur dit, en glis­sant une fois de temps en temps un chèque en blanc pour des partis dont ils ne veulent majo­ri­tai­re­ment pas (ce n’est pas une opinion, ce sont les chiffres réels des élec­tions), en votant pour l’un afin surtout de reje­ter l’autre. Faire ce chèque en blanc par inter­net risque de ne pas chan­ger fonda­men­ta­le­ment le problème.

  • Oui mais l’Es­to­nie…

    L’Es­to­nie utilise massi­ve­ment le vote élec­tro­nique pour ses élec­tions. C’est un peu vu comme le joker dès qu’on parle de vote élec­tro­nique et de ses diffi­cul­tés. « L’Es­to­nie y arrive bien », en oubliant que c’est quasi­ment le seul pays avec la Corée du sud à avan­cer sérieu­se­ment sur cette voie, les autres ayant fait machine arrière, ou sont au mieux restés sur un status quo défec­tueux.

    L’Es­to­nie propose en effet le vote élec­tro­nique en paral­lèle du bulle­tin papier depuis 2005. L’élec­teur choisi ce qu’il utilise, sachant qu’un vote papier annule le vote élec­tro­nique corres­pon­dant. Le contexte est parti­cu­liè­re­ment favo­rable puisque l’ac­cès à Inter­net y est consi­déré comme un droit social. Aux dernières élec­tions c’est quasi­ment la moitié des votants qui utilisent la procé­dure par Inter­net.

    Encou­ra­geant mais c’est une histoire qui n’a pas été toute rose.

    En 2011 Paavo Pihel­gas a prouvé qu’il était possible de chan­ger le vote d’un élec­teur sans que celui-ci ne le remarque. La véri­fia­bi­lité du vote par l’élec­teur n’existe que depuis 2013. Elle est de plus limi­tée dans le temps et ne garan­tit pas la prise en compte dans le résul­tat. Elle sert juste à véri­fier que le logi­ciel utilisé par le votant n’a pas envoyé un vote diffé­rent de celui souhaité.

    Le logi­ciel serveur n’était pas ouvert avant 2013. Le logi­ciel client ne l’est toujours pas aujourd’­hui, par choix.

    Une équipe d’ex­perts inter­na­tio­nale a montré en 2014 des défaillances abon­dantes dans les proces­sus, des vulné­ra­bi­li­tés graves, un modèle de sécu­rité obso­lète, un manque de trans­pa­rence et des attaques possibles de grande enver­gure pour modi­fier l’élec­tion à la fois côté client et côté serveur.

    Le système prétend avoir une véri­fia­bi­lité de bout en bout depuis 2017 mais une équipe de cher­cheurs inter­na­tio­naux a contesté cette affir­ma­tion depuis.

    Plus globa­le­ment, la commis­sion d’ob­ser­va­tion élec­to­rale a émis des inquié­tudes avec des points à corri­ger régu­liè­re­ment (2007, 2011, 2013, 2015). C’est toujours un débat public en 2019 jusqu’au ministre des nouvelles tech­no­lo­gies.

    Pour termi­ner par une vraie note posi­tive : Le système semble faire l’objet d’un débat public construc­tif perma­nent, et évolue en réponse. Rien que ça est une réus­site sociale comme on en a peu chez nous. Ça mérite d’être souli­gné.

    Et tech­nique­ment ?

    Ils utilisent la crypto de leur carte à puce qui leur sert de carte d’iden­tité et d’à peu près tout, y compris pour des prêts bancaires.

    Leur vote a une double enve­loppe. L’en­ve­loppe externe, chif­frée, est signée pour iden­ti­fier l’élec­teur. Elle contient elle-même le vote chif­fré. Les serveurs de vote ont la première clef (iden­ti­fier le votant) mais pas la seconde. Les signa­tures sont reti­rées des votes avant l’étape de dépouille­ment, assu­rant une isola­tion théo­rique entre les iden­ti­tés et les votes.

    Depuis 2017 le dépouille­ment utilise les proprié­tés homo­morphes du chif­fre­ment comme le fait Helios, mais ils conti­nuent aussi de déchif­frer les votes pour les comp­ter en plus à l’an­cienne en paral­lèle.

    L’État esto­nien est maître du système

    Le logi­ciel client n’est même pas open source. Même si ça ne garan­tit pas tout, on n’a pas le mini­mum. C’est impor­tant parce que le système permet plusieurs votes du même élec­teur, seul le dernier étant pris en compte. C’est vu comme une défense contre la contrainte (si tu es contraint, tu peux revo­ter derrière). Un second mali­cieux vote peut très bien être envoyé après celui de l’élec­teur, à son insu, et rempla­cer l’ori­gi­nal.

    La sépa­ra­tion entre les iden­ti­tés et les votes est théo­rique. Une fois le vote envoyé il faut faire confiance au serveur pour respec­ter le code source public et effec­ti­ve­ment reti­rer les iden­ti­tés avant les dépouille­ments (et contrai­re­ment à Elios, ils déchiffrent les votes eux-mêmes). Rien ne le garan­tit.

    La clef de déchif­fre­ment des votes eux-mêmes n’est pas parta­gée entre diffé­rents acteurs aux inté­rêts diver­gents et est donc parti­cu­liè­re­ment sensible aux malver­sa­tions (encore plus que ce qui est décrit pour Helios).

    Enfin, il n’y a aucune véri­fia­bi­lité publique. Si on parle de chif­fre­ment homo­mor­phique comme Helios, l’urne n’est pas publique et seules les auto­ri­tés en place et personnes dési­gnées par elles ont le droit de procé­der à une véri­fi­ca­tion du dépouille­ment.

    Le proces­sus est parfait tant que tout le monde est de bonne foi et se fait confiance mais…

    En pratique, les auto­ri­tés esto­niennes ont la capa­cité d’igno­rer des votes, d’en rempla­cer, ou de cher­cher qui a voté quoi.

    Il ne faut comp­ter que sur leur promesse de ne pas le faire.

    Sachant que le gouver­ne­ment, en coali­tion avec l’ex­trême droite, est tombé en début d’an­née pour des scan­dales de corrup­tion, on peut consi­dé­rer que les choix esto­niens ne sont pas sans risques.

    Afin de modé­rer toute­fois, et pour reprendre une conclu­sion simi­laire à celle de l’ar­ticle sur Helios. Un système répond à des besoins et un contexte spéci­fiques.

    Je ne juge pas leurs choix, ne connais­sant ni leur histoire ni leurs enjeux spéci­fiques. Je tiens aussi beau­coup à l’au­to­dé­ter­mi­na­tion démo­cra­tique et je n’ai pas à leur impo­ser un choix que je trouve meilleur.

    Je ne prétends pas non plus que tous les pays avec du papier font mieux. Je peux par contre affir­mer le système papier français est bien plus sûr que l’éven­tuelle trans­po­si­tion du système élec­tro­nique esto­nien en France, et que ce dernier est très loin de me faire rêver.

  • Parlons un peu Helios

    Helios fait à ma connais­sance partie des systèmes les plus avan­cés pour du vote élec­tro­nique. On l’avait mentionné briè­ve­ment ici il y a deux ans dans les discus­sions au sujet du vote élec­tro­nique mais je ne crois pas qu’il y ait eu de révo­lu­tion depuis. Bele­nios semble appor­ter des réponses à quelques objec­tions ci-dessous mais je n’ai pas encore inté­gré tout ça. J’ai vu aussi Civi­tas qui semble répondre à d’autres point, mais je n’ai pas encore étudié ce dernier non plus. Ce qui semble toute­fois certain, c’est que le système parfait n’existe toute­fois pas.

    Helios garan­tit à la fois le secret et la véri­fia­bi­lité

    Je crois que c’est ce qui m’a le plus retourné l’es­prit la première fois. On se base sur de la cryp­to­gra­phie. On envoie dans l’urne un vote chif­fré.

    La crypto permet de créer une preuve de vali­dité, c’est à dire prou­ver que notre vote chif­fré contient bien une valeur auto­ri­sée, sans pour autant révé­ler la valeur du dit vote. On ajoute cette preuve de vali­dité (véri­fiable par chacun) à l’urne avec son vote.

    La liste des votes chif­frés est elle-même publique. On peut véri­fier que son vote est pris en compte sans modi­fi­ca­tion, et véri­fier qu’on n’a pas ajouté de votes (au prix d’une divul­ga­tion des listes d’émar­ge­ment).

    Au dépouille­ment on utilise les proprié­tés homo­morphes du chif­fre­ment. En gros ça permet de faire des calculs à partir des données chif­frées sans les déchif­frer. C’est juste que le résul­tat est chif­fré lui aussi.

    Là on déchiffre ce résul­tat (et unique­ment le résul­tat) et on créé une preuve cryp­to­gra­phique que ce qu’on annonce corres­pond bien au résul­tat chif­fré. Les votes n’ont été révé­lés à personne et la clef de chif­fre­ment n’a jamais été publique.

    Magique non ?

    Ok, donc on sait faire,
    où est le loup ?

    Il n’y a pas de loup. C’est vrai­ment génial, on peut faire des trucs de dingues en crypto. C’est juste que la problé­ma­tique plus large que celle décrite.

    In our opinion, none of the exis­ting voting schemes achieve the same level of secu­rity guaran­tees than tradi­tio­nal on-site paper voting (as it is orga­ni­zed in France for example).

    FAQ de Bele­nios

    En premier lieu, tout repose sur une clef cryp­to­gra­phique. Il faut faire confiance à qui génère et détient cette clef. Il faut aussi faire confiance au maté­riel et au logi­ciel qui génèrent et mani­pulent cette clef. Il faut aussi faire confiance la sécu­rité du stockage de cette clef. Si cette confiance est mal placée, ce sont les votes de tout le monde, nomi­na­ti­ve­ment, qui sont désor­mais connus.

    Les systèmes proposent de répar­tir la clef chez plusieurs tiers de confiance après géné­ra­tion. C’est bien, mais ça ne répond fina­le­ment qu’à une toute petite partie du problème.

    Ouch !

    C’est vrai aussi pour le votant. Il réalise son vote sur un ordi­na­teur qui réalise les opéra­tions cryp­to­gra­phiques. Il lui faudra faire confiance dans le maté­riel et le logi­ciel utili­sés. La sécu­rité du maté­riel person­nel est une douce illu­sion. La sécu­rité d’un maté­riel géré par l’État (qui impose donc de se dépla­cer en local) pose au mini­mum une ques­tion de confiance (en l’État, ses pres­ta­taires) mais aussi de sécu­rité (sa sécu­rité et celle des autres pres­ta­taires, vis à vis d’autres États, ce qui est loin d’être si évident que ça). Si cette confiance est mal placée, le vote peut être divul­gué, ou peut-être même que le vote enre­gis­tré dans l’urne ne corres­pon­dra pas à ce que l’élec­teur a réel­le­ment choisi.

    Aie !

    Si on parle de vote à distance – qui est quand même un des avan­tages attendu du vote élec­tro­nique – on ajoute aussi la possi­bi­lité de contrainte ou d’achat de vote. Ça existe déjà sur nos urnes trans­pa­rentes, mais à une échelle qui ne peut pas être massive. La contrainte est diffi­cile sans procu­ra­tion et on ne peut avoir qu’une procu­ra­tion par personne. Il y a eu des histoires d’achat de vote mais fina­le­ment chacun reste libre dans l’iso­loir.

    En fait le système Helios faci­lite l’achat ou la contrainte parce qu’un tiers peut impo­ser au votant de four­nir un élément qui lui permet­tra de déchif­frer le vote dans l’urne publique. Bref, on a un outil qui permet poten­tiel­le­ment de la contrainte de vote massive.

    Ouille !

    Enfin, même une fois dépassé tout ça, l’élec­teur doit quand même faire confiance globa­le­ment dans tout le système. Le système d’urne trans­pa­rente peut être compris et véri­fié par chacun, jusqu’à mon fils de 9 ans. La cryp­to­gra­phie ne l’est pas. Les élec­teurs ne peuvent que confir­mer que le logi­ciel qu’ils ont entre les mains donne le même résul­tat que celui annoncé, et doivent faire confiance à ce logi­ciel.

    Même si le logi­ciel était réim­plé­menté par des personnes de confiance, seule une toute petite mino­rité a la connais­sance pour comprendre et véri­fier le méca­nisme cryp­to­gra­phique théo­rique pour s’as­su­rer qu’il est fiable.

    Honnê­te­ment, je suis dans la tech­nique infor­ma­tique, proche des milieux sensibles à la vie privée et à la crypto, mais je ne crois pas connaître quelqu’un qui saurait prou­ver mathé­ma­tique­ment avec un bon niveau de confiance la soli­dité des algo­rithmes en jeu.

    Quand on voit la défiance vis à vis des vaccins ou même sur la forme de la terre, autant dire qu’on court à la catas­trophe si on croit que « faites confiance aux experts » est une bonne réponse.

    Ache­vez-moi.

    Même après tout ça, la recherche avance. Je ne vais pas parler de casser la crypto d’aujourd’­hui avec des ordi­na­teurs quan­tiques. C’est un domaine que je ne connais pas du tout. On a par contre un assez bon histo­rique pour iden­ti­fier le risque sérieux que ce qu’on chiffre aujourd’­hui soit déchif­frable dans 10, 20 ou 30 ans.

    20 ans ça parait long mais je ne sais pas ce que sera notre pays, qui sera au pouvoir et ce qu’ils pour­raient en faire. Si demain on a un pouvoir auto­ri­taire, savoir qu’aujourd’­hui j’ai voté X ou Y pour­rait me coûter ma vie. La France était en guerre avec tortures et crimes contre l’hu­ma­nité sur son sol il y a encore 60 ans.

    Gloups.

    Même plus modé­ré­ment, je ne veux pas que mon voisin sache pour qui j’ai voté il y a 20 ans. C’est ma tranquillité qui est en jeu. Je ne veux pas que je ne sais quelle entre­prise de marke­ting l’uti­lise pour du profi­lage. Le secret du vote m’est essen­tiel.

    Mais alors,
    faut-il tout jeter ?

    Certai­ne­ment pas !

    On peut encore inven­ter des choses, même si pour l’ins­tant on a l’im­pres­sion que la boite noire qu’est l’élec­tro­nique laisse peu de place aux objec­tions levées plus haut. Le problème n’est pas théo­rique, il est pratique, à cause de la complexité en jeu.

    Ça dépend de ce qu’on vise.

    On sait désor­mais que le maté­riel peut être compro­mis à la source, avant même d’être utilisé, soit par le construc­teur, soit par un acteur étatique tiers. C’est jouable pour influen­cer une élec­tion natio­nale. C’est plus ridi­cule pour l’élec­tion des parents d’élèves de l’école primaire de Trifouilli-les-oies.

    Ça dépend aussi des risques et de ce qu’on remplace.

    On vote par exemple à distance pour les français de l’étran­ger. C’est un compro­mis faute de meilleure solu­tion et parce que les risques sont limi­tés. Ces votes sont suffi­sam­ment faibles dans l’en­semble natio­nal pour que proba­ble­ment ce risque ne soit pas déter­mi­nant. On donne d’ailleurs souvent les résul­tats avant que certaines zones non métro­po­li­taines n’aient fini de voter ou d’être comp­ta­bi­li­sées. C’est dire…

    La Suisse le consi­dère d’ailleurs de façon inté­res­sante. Les garan­ties deman­dées pour un système ne sont pas les mêmes suivant qu’il peut concer­ner moins de 30%, entre 30 et 50%, ou plus de 50% des votants.

    Ce pour­rait être aussi une solu­tion sur un pays avec des corrup­tions locales telles que les risques de mani­pu­la­tions d’urnes seraient plus impor­tants que celles de mani­pu­la­tions infor­ma­tiques, ou pour un pays en désor­ga­ni­sa­tion géné­rale sur le terrain suite à une catas­trophe, ou que sais-je encore.

    C’est un équi­libre des risques et des béné­fices, en fonc­tion des alter­na­tives. Aujourd’­hui il s’avère juste qu’on a en France une alter­na­tive sûre, simple, effi­cace, d’un coût accep­table, et compré­hen­sible par tous. La barrière à l’en­trée est donc très haute, et le vote élec­tro­nique ne la passe pas, pas tel qu’on sait le conce­voir aujourd’­hui.

    Note : On parle de sujet complexes (c’est d’ailleurs un des problèmes). Si je me trompe, ou s’il existe des parades à mes objec­tions, ou si vous avez des données complé­men­taires, vous êtes plus que bien­venu à commen­ter et ajou­ter à l’in­for­ma­tion.
    Je corri­ge­rai mon propre texte le cas échéant.
    Je vous demande juste d’être construc­tif et de me donner les liens vers les infor­ma­tions détaillées pour que je puisse les consul­ter.

  • Prisme de lecture

    Quand on a un prisme devant les yeux, on peut tout voir et tout inter­pré­ter par ce prisme. Ça justi­fie ce même prisme après-coup, ce qui rend encore plus diffi­cile de l’aban­don­ner.

  • Apoli­tique

    Je me crispe à chaque lecture du terme apoli­tique.

    Je ne connais rien d’apo­li­tique. Tout ce qu’on fait, ce qu’on dit, ce qu’on mange, ce qu’on achète, a un impact poli­tique indi­vi­duel ou collec­tif. C’est d’ailleurs aussi vrai de ce qu’on choi­sit de ne pas faire ou de ne pas dire.

    Prendre conscience de son impact c’est vider de sens ce terme d’apoli­tique. Au mieux on peut être non-mili­tant, éven­tuel­le­ment apar­ti­san. La diffé­rence est majeure.

    De ceux qui se disent apoli­tiques, je vois deux caté­go­ries.

    Les premiers veulent simple­ment igno­rer l’im­pact poli­tique de ce qu’ils font. Ils ne consi­dèrent que ce qui les touche direc­te­ment et person­nel­le­ment. Le bon terme n’est pas apoli­tique mais égocen­trique.

    Les seconds ne veulent juste pas entendre parler des chan­ge­ments ou des débats autours de ces chan­ge­ments. Il s’agit juste d’une façon de défendre le statu quo, et en cela c’est un vrai mili­tan­tisme poli­tique. Refu­ser le chan­ge­ment et le débat est un acte mili­tant extrê­me­ment fort.

    Souvent c’est un mélange des deux, à des degrés divers. On a plus de faci­lité à igno­rer l’as­pect poli­tique quand on vit bien dans le contexte actuel et qu’on n’as­pire pas à autre chose. On a plus de faci­lité à vouloir reje­ter tout chan­ge­ment au béné­fice de tiers quand on ne se préoc­cupe que de soi.

  • RGPD avec la SNCF

    Oui SNCF a la mauvaise habi­tude de déclen­cher auto­ma­tique­ment l’abon­ne­ment à la news­let­ter commer­ciale lors d’un achat, sans possi­bi­lité de refu­ser sur le moment.

    Commu­niquer avec vous : pour Oui.sncf, main­te­nir le contact avec vous est essen­tiel, mais nous ne le faisons que de manière très raison­née, et nous ne vous envoyons des commu­ni­ca­tions élec­tro­niques, via e-mail, SMS ou noti­fi­ca­tion mobile, que pour les motifs suivants :

    […]

    La propo­si­tion d’offres commer­ciales […] Si vous avez commandé des produits sur le site Oui.sncf.

    https://www.oui.sncf/infor­ma­tions-legales/confi­den­tia­lite/gestion-donnees

    Je ne suis pas certain que ce soit légal à ce stade, surtout qu’ils réabonnent auto­ma­tique­ment même si on a expli­ci­te­ment demandé le désa­bon­ne­ment, mais ce qui m’at­tire c’est autre chose.

    En bas des emails je lis ce qui suit

    En ouvrant cet email, vous accep­tez le dépôt de nos cookies et ceux de nos parte­naires a des fins de person­na­li­sa­tion d’an­nonces commer­ciales, de mesure ou d’ana­lyse.

    Et là je fais… Pardon ?

    La person­na­li­sa­tion d’an­nonces commer­ciales sans consen­te­ment expli­cite ? Et le moyen d’y échap­per est la confi­gu­ra­tion de cookies sur le navi­ga­teur donc il y a collecte à chaque fois que vous ouvri­rez sur un nouveau poste même si vous avez expli­ci­te­ment exprimé un refus après coup.

    Là c’est clai­re­ment illé­gal donc… Je veux en savoir plus et je fais une requête d’ac­cès RGPD. Comme toujours, je demande « tout » (parce que l’in­té­rêt est juste­ment de voir ce qu’ils stockent et à quoi je ne m’at­tends pas).

    La réponse est polie et rapide, moins d’une semaine. C’est assez rare pour être signalé. On me pointe vers la charte de confi­den­tia­lité en ligne et on me donne un PDF avec quelques données :

    • Civi­lité, prénom, nom, date de nais­sance, adresse, télé­phone
    • Iden­ti­fiant de login (chaîne hexa), date de créa­tion du compte client, date de dernière connexion, le fait que je refuse les offres des spon­sors
    • L’his­to­rique des commandes en cours (trois billets de train à venir) avec numéro de commande, numéro de dossier, date de commande, date de voyage, gare de départ et desti­na­tion, mode de retrait, mode de paie­ment, classe, montant et nombre de passa­gers (avec une erreur parce qu’on me manque « 2 » pour un des billets, qui ne contient qu’une seule place, ça doit donc vouloir dire autre chose)
    • Un histo­rique vide des cartes et abon­ne­ments
    • Un histo­rique vide des commandes en agence
    • La liste des lettres d’in­for­ma­tion envoyées depuis 2 ans avec code et date, celles ouvertes et celles cliquées (avec le lien sur lequel j’au­rais cliqué)

    Premier oups, l’his­to­rique des lettres d’in­for­ma­tion est sur 2 ans alors qu’on m’in­dique dans la charte qu’ils ne stockent qu’un an.

    Ok, c’est pas mal mais en fait ridi­cule. Ils ne listent même pas mon iden­ti­fiant grand voya­geur, la clas­si­fi­ca­tion commer­ciale asso­ciée, les points ou avan­tages. Mais surtout je n’ai aucun histo­rique dans le passé à part sur les news­let­ter.

    Comme je doute très forte­ment, je suis allé voir sur le site. Je devrais avoir au mini­mum :

    • Des données bancaires sur mes achats passés, et au moins ceux encore rembour­sables (les 3 billets pour des voyages futurs)
    • Des données liées à vos habi­tudes et centres d’in­té­rêt (desti­na­tions favo­rites, choix des pres­ta­tions complé­men­tai­res…)
    • Des données de navi­ga­tion (recherches, nombre de visites, date de dernière visi­te…)
    • Des données tech­niques (adresse IP, l’opé­ra­teur télé­com, la loca­li­sa­tion macro­sco­pique de l’adresse IP, les infor­ma­tions four­nies par le navi­ga­teur sur le système d’ex­ploi­ta­tion et le navi­ga­teur utilisé)
    • Des logs de connexions sur 1 an
    • Des cookies sur 13 mois
    • Et bien entendu les « person­na­li­sa­tion d’an­nonces commer­ciales, de mesure ou d’ana­lyse » qui sont réali­sées comme indiqué en fin de news­let­ter.

    Bref, j’ai fait une relance, on va voir la suite.

  • Pseu­do­ny­mi­sa­tion des données person­nelles

    Visi­ble­ment ce n’est pas clair pour tout le monde.

    Quand on supprime vos noms, email, adresse, etc. mais que le reste de vos diffé­rentes données sont toujours ratta­chées à un iden­ti­fiant unique, ce n’est pas de l’ano­ny­mi­sa­tion mais de la pseu­do­ny­mi­sa­tion.

    La diffé­rence est majeure : celui qui peut trou­ver votre iden­ti­fiant peut accé­der à toutes vos données.

    1. Ce sera le cas si la base de données contient un lien ou un iden­ti­fiant qui mène à une base où vous n’êtes pas sous pseu­do­nyme. Il suffira d’un croi­se­ment pour vous ré-iden­ti­fier.

    2. Ce sera aussi le cas si on recal­cule votre iden­ti­fiant pseu­do­nyme à partir de vos iden­ti­fiants réels (nom, email, adresse, numéro sécu, etc.) de la même façon que ça a été fait la première fois.

    Parfois même des infor­ma­tions partielles permettent de trou­ver l’iden­ti­fiant pseu­do­nyme en testant quelques millions de combi­nai­sons possibles pour les données manquantes

    3. Ce sera encore le cas si on peut iden­ti­fier avec suffi­sam­ment de préci­sion une donnée pseu­do­ny­mi­sée comme étant la votre (par exemple un achat avec une date et un lieu), votre iden­ti­fiant pseu­do­nyme y est alors atta­ché.

    C’est tout autant le cas si on a très peu de préci­sion mais sur plusieurs points de données (plusieurs achats, quelques points sur toute une trace de géolo­ca­li­sa­tion, les socié­tés dans lesquelles vous avez travaillé) ; on en obtient assez faci­le­ment une iden­ti­fi­ca­tion unique.

    Ça fonc­tionne d’ailleurs aussi dans l’autre sens.

    4. Si on connait la formule et une partie de vos iden­ti­fiants réels, on peut parfois tester des millions de combi­nai­sons pour retrou­ver les données réelles manquantes.

    5. Si on iden­ti­fie plusieurs points de données d’un même iden­ti­fiant dans la base pseu­do­ny­mi­sée, si on le souhaite vrai­ment, on peut souvent retrou­ver avec un peu d’ef­forts la personne réelle concer­née.

    Pour toutes ces raisons, les données pseu­do­ny­mi­sées ne sont pas des données anonymes. Elles restent des données person­nelles et peuvent toujours vous iden­ti­fier. Si ce sont des données sensibles, ça craint. Dans tous les cas ça reste soumis à la régle­men­ta­tion des données person­nelles.

  • Bref, je suis inquiet

    Je vois notre sphère poli­tique crier victoire et prépa­rer le relâ­che­ment de toutes les mesures en un à deux mois. Ça y est, nous aurions gagné contre le virus.

    Nous n’avons pour­tant que 28 % de la popu­la­tion avec au moins une dose de vaccin. Même si ça augmente vite, c’est trop peu pour espé­rer conte­nir le virus sans mesure restric­tive. À aller trop vite alors qu’on est encore à des inci­dences hautes, on prend évidem­ment un risque de flam­bée.

    Ce qui m’inquiète n’est même pas ça.

    De quelle propor­tion de vacci­nés avons-nous besoin pour que la diffu­sion du virus soit limi­tée ? Avec la conta­gio­sité natu­relle du virus, il semble que ce soit « beau­coup ».

    https://twit­ter.com/DrEricDing/status/1393090966928637952

    Avec la souche histo­rique, il nous fallait près de 70% de la popu­la­tion vacci­née avec un vaccin Pfizer effi­cace à 95% pour conte­nir la diffu­sion. Les fameux gestes barrières vont j’es­père partiel­le­ment passer dans les habi­tudes et nous aider à réduire plus vite. C’est tout à fait jouable.

    Mais…

    Tous les vaccins qu’on utilise n’ont pas une effi­ca­cité à 95%. L’As­traZe­neca est à 70%. C’est en soi beau­coup mais ça fait forcé­ment bais­ser l’ef­fi­ca­cité moyenne, et poten­tiel­le­ment nous faire perdre l’ef­fi­ca­cité collec­tive.

    Plus gênant, cette effi­ca­cité annon­cée est celle vis à vis des formes graves de la mala­die. On a de très bonnes raisons de penser que ça limite aussi la trans­mis­sion au moins dans le cas du Pfizer. Limite, mais pas forcé­ment à 95% non plus. Bref, là aussi on est dans la mouise.

    Et là viennent les variants…

    On parle de conta­gio­sité plus élevée, et d’ef­fi­ca­cité des vaccins forte­ment réduite. Mettons 70% dans le cas du Pfizer, bien pire dans le cas de l’As­tra­ze­neca. Autant dire que même en vacci­nant 100% de la popu­la­tion au Pfizer, on l’a dans l’os.

    Quand peut-on espé­rer une évolu­tion des vaccins ARNm ? Je ne sais pas. Ils ne sont pas là, encore moins produits et injec­tés. Autant dire qu’on va avoir un sujet au moins jusqu’à la fin de l’an­née. Et si les mauvais variants se diffusent d’ici là, on est reparti pour rejouer 2020.

    Bref, je suis inquiet.

    Mais faites-vous vacci­ner, parce que même si ça n’offre pas la solu­tion ultime à long terme, ne pas le faire est indé­nia­ble­ment pire. Peu importe le vaccin, si vous êtes dans les classes d’âge où il est recom­mandé alors la balance béné­fice/risque est bonne et vous serez mieux avec que sans.

  • Trois prio­ri­tés

    Je parle souvent poli­tique. Il y a plein de choses à faire mais au fur et à mesure je dégage quand même trois grosses prio­ri­tés :

    1. Un inves­tis­se­ment (vrai­ment) gigan­tesque dans les écono­mies d’éner­gies, les tech­no­lo­gies de stockage, et la construc­tion aujourd’­hui de moyens de produc­tion à faible carbone.
    2. Revoir le rapport au travail et le partage des richesses asso­cié, dont proba­ble­ment un revenu incon­di­tion­nel, un temps de travail réduit, une fisca­lité qui ne favo­rise pas le proprié­taire des robots, etc.
    3. Une refonte démo­cra­tique de nos insti­tu­tions et des déci­sions qui y sont prises.

    Il n’y a évidem­ment pas que ça qui me tient à cœur, très loin de là, mais j’ai clai­re­ment en tête que ça prime sur quasi­ment tout le reste.

    Oui, je sais, la refonte démo­cra­tique c’est la tarte à la crème mais en réalité c’est de loin le plus simple des trois items. Il suffi­rait de trois mesures rapides pour enga­ger un effet long terme majeur.

    • L’élec­tion de toutes les assem­blées à la propor­tion­nelle inté­grale.
    • Un mode de scru­tin moins pourri que le scru­tin majo­ri­taire à deux tours(*).
    • Un bulle­tin unique lors des votes.

    (*) Je ne donne pas mon système de vote favori parce qu’il n’y en a aucun de parfait mais qu’ils sont quasi­ment tous extrê­me­ment meilleurs que notre actuel, faire « bien mieux qu’aujourd’­hui » me suffira.

  • Vous n’êtes pas couvert par votre mutuelle après une démis­sion

    J’ai posé une ques­tion pratique et les réponses me font dire qu’il y a une grande incom­pré­hen­sion sur les règles de porta­bi­lité mutuelle.

    Depuis quelques temps vous conti­nuez à béné­fi­cier de votre ancienne mutuelle profes­sion­nelle à certaines condi­tions après votre départ.

    C’est une vraie avan­cée sociale mais le diable se cache dans les condi­tions. Pour faire court vous avez droit à la porta­bi­lité quand vous avez droit à des indem­ni­tés Pôle Emploi. C’est le cas d’une fin de CDD, d’un licen­cie­ment ou d’une rupture conven­tion­nelle.

    Vous n’avez pas le droit à la porta­bi­lité de la mutuelle en cas de démis­sion.

    Rien. Nada. D’ailleurs vous n’y avez pas droit non plus si on met fin à votre période d’es­sai avant 65 jours et que vous aviez démis­sionné pour prendre ce nouveau boulot (puisque vous n’au­rez pas droit aux indem­ni­tés chômage dans ce cas là).

    Ça veut dire que si vous aviez prévu une ou deux semaines de vacances entre les deux boulots, vous et votre famille ne serez pas couverts pendant cette période. C’est ballot vu que c’est poten­tiel­le­ment une période un peu plus à risque que la normale, surtout si vous comp­tiez faire des travaux ou des excur­sions.

    Que faire ?

    Rupture conven­tion­nelle : Sérieu­se­ment, deman­dez une rupture conven­tion­nelle. Insis­tez. Vous serez couvert par la mutuelle mais vous serez surtout couvert par le Pole Emploi si jamais le futur boulot ne fonc­tionne pas, ou si vous avez un gros acci­dent dans les semaines qui suivent, ou si une pandé­mie se déclenche, ou peu importe ce qu’il se passe. Insis­tez.

    Démis­sion en début de mois : Certains enga­ge­ments de mutuelle sont mensuels et votre rési­lia­tion se fera à la fin du mois courant. Si c’est votre cas (à véri­fier avec votre mutuelle et votre dépar­te­ment des ressources humaines) et que vous démis­sion­nez les premiers jours du mois, ça vous laisse quelques semaines de vacances avec une mutuelle.

    Finir par des congés : Vous pouvez, s’ils sont d’ac­cord, deman­der à votre ancien employeur de diffé­rer la date admi­nis­tra­tive de votre départ et de couvrir la période par des congés payés (qu’ils vous aurait payé de toutes façons) ou des congés sans solde. Vous serez alors encore sous contrat, donc couvert par la mutuelle. Ça ne coûte rien à l’em­ployeur mais ça reste une faveur que vous lui deman­dez.

    Commen­cer par un congé sans soldes : Vous pouvez, à l’in­verse, expo­ser la situa­tion à votre ancien employeur et lui deman­der de commen­cer par une ou deux semaines de congés sans solde. Là aussi ça ne lui coûte rien mais ça peut être un peu plus déli­cat à deman­der.

    Payer une conti­nuité : Certaines mutuelles vous permet­tront de payer pour assu­rer la conti­nuité. Atten­tion toute­fois à ne pas vous enga­ger pour 12 mois.

    Prendre une mutuelle relai : Enfin, sinon, vous pouvez contrac­tua­li­ser une nouvelle mutuelle. Le problème c’est qu’elles sont quasi­ment toutes avec un enga­ge­ment de 12 mois. Si théo­rique­ment avoir un nouveau travail avec une mutuelle obli­ga­toire peut (à véri­fier) être un motif légi­time de rési­lia­tion, votre mutuelle pour­rait faci­le­ment vous oppo­ser que vous étiez au courant de ce nouveau travail au moment de la signa­ture, et que vous ne pouvez donc pas vous en sortir ainsi.