Éric – Page 53 – Carnet de notes

« Infrastructure vélo » – L’évolution

Vous rappelez-vous le premier billet sur l’infrastructure vélo à côté de chez moi ?

Ça fait depuis fin août que ça dure. Oh, ça évolue, mais c’est pire à chaque étape, de plus en plus dangereux. Petite rétrospective pour rire (ou pas) :

1er septembre – Celui de droite débouche sans prévenir à contresens au milieu d’une voie de circulation automobile 😱

11 septembre : On connait désormais l’intention de l’urbaniste. Le cycliste de droite doit bel et bien faire 10 mètres à contresens au milieu de la circulation puis tourner pour prendre le passage piéton afin de traverser les rails et rejoindre l’autre sens de circulation 😱, sans signalisation 😱

26 novembre : Il y a eu deux étapes.
1/ Ajouter un joli poteau au milieu de la piste, dont la couleur se confond totalement avec les noir et blanc du bitume 😱
2/ Prolonger le séparateur de la voie de droite pour la couper sans prévenir et avec un marquage qui incite à se le prendre en plein avec le risque de tomber sous les roues de la voiture en face 😱😱

2 décembre : La voie de gauche n’était pas assez dangereuse alors on a déplacé le poteau en plein milieu, toujours aussi invisible 😱😱
Maintenant il y a égalité, on risque l’accident grave quel que soit le sens de circulation 😱

6 décembre : Ce long séparateur sans terre-plein était dangereux aussi pour les voitures alors eux on leur a mis une signalisation. Ce n’est malheureusement pas une solution pour les cyclistes, quand bien même on le verrait sur fond de passage piéton.

Entre trois et quatre mois pour ça… Oui les collectivités et le responsable des travaux ont été alertés. On voit d’ailleurs bien qu’ils agissent.

Cela dit, comme ils réussissent à faire de plus en plus dangereux à chaque étape, j’en viens presque à me demander s’il n’est pas mieux de tout laisser en l’état.

17 janvier 2020

Usage des données personnelles par France Info et France Télévision

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous permettre de partager du contenu via les boutons de partage de réseaux sociaux, pour vous proposer des publicités ciblées adaptées à vos centres d’intérêts et pour nous permettre de mesurer l’audience.
Bandeau en haut de page sur meta-media.fr

Pardon ? Ai-je bien lu ?

Alors j’ai fouillé et ce n’est pas beau à voir. Chaque point est à ma connaissance une violation du RGPD.

Les fautes sont graves et massives. Elles nécessitent probablement au moins de supprimer toutes les données dont on ne peut pas prouver qu’elles ont été obtenues sans vice de consentement. Il est aussi possible que considérant l’ampleur des données concernées, un signalement officiel de l’anomalie à la CNIL soit nécessaire de la part du responsable de traitement.

Ce qui suit concerne France Info et France Television, et probablement une majorité des sites du même groupe.

1/ Manque de consentement préalable

Lors de l’accès à la page d’accueil de France Info, sans réaliser aucune interaction clavier ni aucune interaction souris (pas de clic, pas de déplacement de souris au dessus d’éléments, pas de défilement de la page), le site fait des appels à xiti, chartbeat, urbanair, et facebook avec des identifiants uniques.

Cela veut dire qu’ils opèrent au minimum des collectes et traitements de mesures d’audience (et probablement des collectes en vue de personnalisation futures) avant d’avoir un quelconque consentement, qu’il soit implicite ou explicite.

Depuis mai 2018, le RGPD impose pourtant un consentement préalable avant tout traitement de données personnelles, hors certains cas légitimes qui ne peuvent pas inclure la mesure d’audience ou la personnalisation de contenus, ni la participation à du pistage par des tiers (Facebook).

Je ne prends pas en compte ici les appels aux régies de publicité et autres bases de données de relation client. Il est possible (voire probable) que ces services fassent du pistage et/ou de la personnalisation mais je ne peux pas m’en assurer.

2/ Manque de consentement explicite

Un bandeau apparait à la première visite avec l’information suivante :

« En poursuivant votre navigation sur ce site de France Télévisions, vous acceptez l’utilisation de cookies et traceurs servant à mesurer l’audience, à personnaliser votre expérience et vous consentez à recevoir de la publicité et des offres adaptées à votre profil. »

Sur meta-media.fr j’ai un message similaire :

« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous permettre de partager du contenu via les boutons de partage de réseaux sociaux, pour vous proposer des publicités ciblées adaptées à vos centres d’intérêts et pour nous permettre de mesurer l’audience. »

Tout ou partie des usages décrits nécessitent un consentement explicite et éclairé de la part des personnes concernées depuis la mise en place du RGPD en mai 2018.

La poursuite de navigation ne peut être considérée comme un consentement explicite et éclairé suivant les termes du RGPD. Les collectes correspondantes sont donc viciées.

3/ Impossibilité de refus de consentement

Quand on souhaite configurer ses consentements, l’outil proposé n’offre pas de refus possible pour la catégorie « réseaux sociaux », quand bien même ils sont « susceptibles d’identifier les données de connexion et de navigation de l’internaute ».

Cette information a été confirmée par les conseillers gérant le compte twitter :

Bonjour, en effet, les technologies utilisées sur nos sites ne nous permettent pas de vous opposer aux cookies de partage sur les réseaux sociaux depuis le lien « Gérer mes cookies ». 1/2
— France Télévisions (@Francetele) January 15, 2020

Cette impossibilité de refuser des traitements annexes les met là aussi très certainement en violation du RGPD mais ce n’est pas tout :

4/ Faux à l’enregistrement des consentements

Si l’utilisateur ne se voit pas proposer d’option pour refuser le consentement, cette option est bien présente. Elle est juste cachée.

Comme elle est activée par défaut, la validation de la page de consentement, même pour ceux qui ont consciencieusement tout désactivé, enverra un consentement positif explicite au registre des consentement.

Plus qu’une absence de choix explicite, France Television produit un faux consentement positif. On dépasse à mon sens les erreurs d’implémentations. Il y a là tromperie et production de faux.

5/ Absence d’information

Vous ne pouvez pas vous opposer au traitement des réseaux sociaux dans l’outil, il enregistrera tout de même un consentement positif explicite alors que vous ne l’avez pas donné, mais il y a une information qu’on pourrait s’opposer à certains de ces cookies sur la page « politique de gestion des cookies et sdk ».

Sur cette longue page, on voit effectivement en défilant qu’il existe un « sdk » pour Twitter. Aucun lien ou procédure n’est toutefois donné pour s’y opposer.

Ce défaut d’information est d’autant plus gênant que les équipes connaissent ces liens et savent les donner quand une personne sait que c’est un problème et le signale :

En revanche, vous pouvez accéder directement aux services d’opt-out pour chaque réseau par ici:
-Facebook https://t.co/cdSBvsqWkR
-Twitter https://t.co/wRxojXMAOG
-Google https://t.co/GCHAEYp8Ck
2/2
— France Télévisions (@Francetele) January 15, 2020

6/ Collecte et traitement malgré refus de consentement

Après avoir refusé explicitement tous les consentements sur les interfaces, France Info et France Television continuent pourtant la collecte et le traitement des données.

Ainsi, bien que les mesures d’audience soient explicitement refusées, des appels partent encore à Xiti, New Relic (la partie audience et mesures), Global Stats counter, Outbrain et Google Tag.

Ici encore, je ne prétends pas faire une liste exhaustive et je ne prends pas en compte plusieurs prestataires du domaine publicitaire dont il m’est impossible de confirmer s’ils font ou pas du pistage par identifiant unique et/ou de la personnalisation (même si c’est probable).

Le DPO de France Television a été informé par email.

Mouais… Pauvre Benoît Pelletier… Il y a un peu de différence entre l’autopromotion et la réalité.

Réponse de France Television

J’ai eu une réponse le 14 février. Je ne vais pas dire que c’est rapide, mais j’ai tellement de réponses qui prennent parfois 2 mois quand je parle données personnelles, que j’en viens presque à trouver ça positif.

La réponse l’est moins. Extrait :

Les décalages observés dans la gestion des cookies et autres traceurs sur les sites visés (meta-media.fr, francetvinfo.fr, francetelevisions.fr) par rapport aux nouvelles lignes directrices de la CNIL en la matière ont bien été identifiés, et les corrections nécessaires intégrées à notre plan de mise en conformité dans les délais requis par la CNIL.

Lors de la présentation de son plan d’action sur le ciblage publicitaire pour l’année 2019–2020, la CNIL a en effet indiqué que son ancienne recommandation du 5 décembre 2013 relative aux cookies et autres traceurs était devenue obsolète suite à l’entrée en application du RGPD, en ce qu’elle permettait le recueil du consentement de l’utilisateur via la simple poursuite de sa navigation. Sa délibération du 4 juillet 2019 prévoit ainsi la fin de la poursuite de la navigation comme moyen d’expression du consentement. Afin toutefois de laisser aux éditeurs de sites le temps nécessaire à l’adaptation technique de leurs sites, la CNIL prévoit une période de mise en conformité à ses nouvelles règles, qui prendra fin à l’expiration d’un délai de six mois suivant l’adoption définitive de sa recommandation sur les modalités pratiques de recueil du consentement, dont le projet est actuellement soumis à consultation publique jusqu’au 25 février 2020.

Cette position de la CNIL est un vrai problème. Elle n’a aucun pouvoir ni législatif ni judiciaire et son pouvoir administratif ne l’autorise en rien à donner un sauf-conduit sur l’application de la loi française ou européenne (et donc du RGPD qui est applicable depuis mai 2018 au niveau européen et entériné dans la loi française en juin 2018).

Ce qui est en violation du RGPD reste illégal et punissable auprès des tribunaux, quand bien même la CNIL renoncerait à faire diligence sur sa propre mission administrative.

Malheureusement les éditeurs se servent des lenteurs de la CNIL et d’un texte de 2013, pré-RGPD, comme paravent pour s’exonérer de leurs obligations. Ces fumisteries doivent prendre fin très rapidement !

Je ne compte même pas la mauvaise foi :

Dans cet intervalle, nous continuons à travailler sur l’amélioration de la gestion des traceurs utilisés sur nos sites. Celle-ci se heurte à certaines contraintes techniques imposées par des tiers comme Facebook, dont les cookies font l’objet d’une information des utilisateurs sur les moyens de s’opposer à leur utilisation via les liens présents dans notre politique de gestion des cookies, et non directement dans notre gestionnaire de cookies.
Je tiens aussi à vous informer que pour remédier à certaines de ces difficultés, et protéger davantage les données personnelles de nos utilisateurs, nous avons pris la décision de mettre un terme à l’usage du « social login » (le dispositif permettant de créer un compte utilisateur via son compte de réseau social) avec Facebook et Google sur les sites francetvinfo.fr et france.tv.

Il y a peu de chances que le retrait des création de compte via un fournisseur d’identité tiers (Facebook, Google) ait été motivé pour limiter la collecte de données personnelles. En tout cas retirer une fonctionnalité qui ne peut être que ponctuelle, volontaire et explicite de la part du visiteur et en parallèle laisser les traceurs invisibles de la même source sans donner de moyen simple de s’y opposer… j’appelle ça être hypocrite.

15 janvier 2020

Usage des données personnelles par Engie

J’ai reçu un email de prospection commerciale d’Engie et je me suis fendu un courrier pour savoir d’où venaient mes données personnelles et quel usage il en était fait.

6 décembre : Envoi du courrier. Ils ont légalement un mois pour répondre.
27 décembre : Accusé de réception de la demande (oui, 3 semaines pour ça).
6 janvier : Toujours aucune réponse, expiration du délai légal.

Ils viennent de me faire un refus implicite de réponse à une requête formelle d’accès aux données, reçue et actée par eux. #aie

Aujourd’hui, 13 janvier, j’ai un appel téléphonique lié à ma requête. J’y obtiens les informations suivantes :

Mes données viennent de mon ancien contrat GDF, résilié en janvier 2017 (avant l’entrée en vigueur du RGPD, donc).
Ils gardent les données des anciens clients pendant 5 ans après résiliation, pour raisons comptables.

Ils justifient l’absence de suppression de mes données (qui devrait être la norme) en arguant d’obligation comptables et légales. Pourquoi pas.

Je sens venir le hic et il est confirmé explicitement dans la suite de la conversation :

Les anciens clients sont gardés en base et transformés en prospects.
L’email commercial que j’ai reçu a été envoyé aux prospects. Je l’ai reçu à ce titre.

Engie refuse donc suppression des données et profite de cette rétention pour en faire un usage commercial bien que les finalités ne sont en rien corrélées. #aie bis

On discute un peu plus utilisation des données personnelles. Ils me confirment explicitement que :

J’ai bien refusé la transmission de mes données à des tiers.
J’ai bien refusé l’utilisation de mes données pour des offres de partenaires.
S’ils m’ont envoyé cet email de prospection commerciale c’est parce que la case « contact possible pour des contrats énergie » était dans sa valeur « par défaut ».

Et là je tique une seconde fois.

Je ne sais pas pourquoi ma coche « contact possible pour des contrats énergie » était dans l’état par défaut. Je ne suis même pas capable de savoir si cette coche m’était accessible. Comme je n’ai plus de contrat chez eux, je n’ai plus accès à une quelconque interface pour le savoir – et encore moins pour le modifier.

Ils disent par contre implicitement qu’ils s’autorisent les contacts commerciaux tant qu’ils n’ont pas un refus explicite. Hors relation contractuelle et à défaut de tout compte actif (il ne l’est pas, j’ai essayé de m’identifier sur le site et ça m’est refusé cause résiliation), le RGPD impose pourtant exactement l’opposé. #aie ter

J’ai demandé à avoir leur réponse par écrit, on verra.

Engie, entre temps, tu as un problème avec le respect le plus basique des données personnelles de tes anciens clients.

Réponse par écrit le 20 février

Soit deux fois et demi après le délai légal. La réponse est plus courte que celle obtenue par téléphone mais pas meilleure :

1/ Ils y listent mes coordonnées personnelles mais aucune autre information. Lors de l’échange téléphonique ils avaient pourtant au minimum des détails sur mes contrats passés, mes échanges avec eux, une catégorisation clientèle, ainsi que les dates et statuts des différents consentements. Il y a refus implicite de me donner l’intégralité des données demandées.

Je les soupçonne d’avoir aussi d’autres historiques de connexion, de consommation, et d’autres informations de profilage mais ça je ne peux pas le prouver aujourd’hui.

2/ Ils considèrent la prospection commerciale comme un intérêt légitime permettant de se passer de consentement explicite au sens du RGPD, quand bien même je ne suis pas/plus client de leurs services.

« Comme mentionné dans cette politique, le traitement de vos données personnelles à des fins de prospection commerciale est fondé sur l’intérêt légitime du responsable du traitement et ne requiert donc pas le recueil du consentement des personnes concernées. »

À ma connaissance, c’est totalement hors périmètre du RGPD pour ce qui est des prospects. C’est d’autant plus vrai pour les données collectées avant l’application du RGPD, dont le consentement peut difficilement être considéré comme implicite.

3/ Ils m’envoient le lien vers leur politique de protection des données personnelles. Malheureusement elle indique explicitement « Vous pourrez toujours gérer les sollicitations commerciales que vous souhaitez recevoir ou non […] En plus, sur tous les canaux digitaux (mail, SMS), Nous vous demandons systématiquement votre accord via des consentements. »

Indépendamment de la protection légale minimale, le fait de se passer de consentement entre donc une violation explicite de la politique de confidentialité déclarée auprès des tiers.

13 janvier 2020

[Grève et RATP] Remboursez !

On a parlé ((trop) longuement) des l’impact du financement de la RATP suite aux grèves.

Discussion de départ : Le service étant non rendu, serait-il légitime de rembourser le versement transport aux entreprises pour les mois concernés* ? ou plus généralement de diminuer les subventions et paiement de la collectivité à la RATP.

Et ma grande question : Pourquoi et qu’en attendrait-on ?

Pour une entité publique comme la RATP ça me parait plus difficile. La réduction du financement peut avoir plusieurs effets :

On créé une dette sans rien toucher par ailleurs (et la dette reste donc à vie, gonflant avec les intérêts).
On améliore la gestion et la productivité pour compenser la perte ;
On diminue le service, idéalement d’abord là où ça coûte cher par rapport au service rendu ;
On fait un report sur les tarifs des périodes hors grèves de façon à ce que ça compense les moindres financement quand il y a grève.

Je mets d’office de côté le (1) qui n’a aucun sens.

Le (2) me gêne aussi. Chercher des améliorations est un travail permanent, forcément déjà en cours. Réduire le budget n’y changera rien et peut même limiter les marges de manoeuvre nécessaires à la transformation.
Si on pense que la contrainte budgétaire peut forcer la transformation, cette politique peut être menée indépendamment des grèves actuelles (et l’est déjà, c’est comme ça que fonctionnent nos politiques publiques, avec des effets pas toujours heureux). Les sujets ne sont donc pas liés.

Même réflexion avec le (3). Si on pense que le ratio bénéfice/coût de certains services est trop faible, on peut déjà prendre les décisions adéquates indépendamment de la grève.
Réduire le service apporté hors grève n’aidera ni à terminer la grève actuelle ni à éviter une future grève. Ce d’autant moins que la grève n’est pas liée à un conflit interne à la RATP

Reste le (4) mais si ce sont les mêmes personnes qui paient en temps normal et qui évitent de payer en cas de service non rendu lors des grèves, même indirectement, j’échoue à voir l’intérêt de l’artifice comptable.

Alors quoi ? J’entends ceux qui veulent responsabiliser, mettre des limites et des sanctions, mais j’échoue à voir quelle est la rétro-action qui soit limiterait soit la grève actuelle soit de futures grèves nationales similaires en cas de réduction de financement de la RATP.

Les principes c’est bien mais il ne faut pas en perdre le sens.

Sanctionner une entité publique est déjà difficile à la base. Vu que l’entité est censée être pilotée par nous et à notre unique bénéfice, ça revient vite à se tirer dans le pied.

C’est encore plus vrai ici. On parle d’une grève, donc de salariés dont on retire déjà le salaire des jours concernés et qui sont (à raison) protégés par la loi contre toute autre action à leur encontre. On manque de leviers sur les acteurs.

On parle en plus d’une grève nationale liée à une réforme nationale. L’entité de transport à peu de moyens d’action. Elle ne peut même pas promettre des conditions plus favorables vu que c’est justement ce qu’on leur retire. On manque de leviers sur les causes.

Au final j’échoue à comprendre comment retirer des moyens financiers à la RATP va permettre aux usagers de moins sentir les effets de cette grève ou d’une future grève nationale liée à des enjeux hors RATP.

Le seul levier que j’envisage côté RATP est d’accélérer fortement les automatisations de lignes pour éviter de futures baisses de financement lors des grèves.

Malheureusement, impossible de mener une telle politique avec des baisses de financements. Il faudrait au contraire des augmentations massives.

Et quand bien même, c’est un faux calcul. Jamais on ne laisse une entité publique avec le fruit de ses investissements. Si les marges de manœuvres s’améliorent, on les réinvestira ailleurs (et potentiellement dans des baisses de subventions).

Si le sujet est intéressant, une baisse de financement aujourd’hui ne sera pas un réel moteur (par contre un espoir de meilleur service ou d’économies futures, oui).

S’il y a des leviers ça peut être entre la région (qui paye) et l’État (qui gère). On peut envisager la baisse des financements de la région et des entreprises à la RATP incite l’État soit à abandonner sa réforme actuelle soit à investir massivement pour réduire les effets d’une future grève.

Le premier effet me semble totalement irréaliste. Le second serait réaliste si l’État n’avait pas de toutes façons moyen de contraindre les montants des financements et si les investissements d’automatisation n’étaient pas déjà en cours. Bref, choux blanc

Où fais-je erreur ? Voyez-vous une rétroaction possible ?

(*) On parle de la contribution des entreprises locales de plus de 11 salariés au financement des transports en commun, pas du remboursement de la moitié des abonnements transports aux salariés.

8 janvier 2020

J’adorerais tout connecter.

Je veux des volets qui se ferment automatiquement la nuit après avoir vérifié que je ne suis pas sur le balcon ou l’été en journée à certaines heures quand la température extérieure dépasse les 30°.

Je veux pouvoir commander les prises et les interrupteurs, ouvrir ma porte d’entrée et mon garage avec mon smartphone, mesurer ma consommation d’eau et d’électricité, asservir mes radiateurs, programmer mes machines à laver pour quand je ne suis pas là.

Je veux mes courbes de consommation d’eau et d’électricité, mes utilisations de transports en commun, mais aussi croiser mes passages à la station services avec les différents déplacements que je fais en voiture. Je rêve de pouvoir tracer mes différents déplacements avec des points GPS quasi permanents.

J’aimerais même avoir des taux utilisation des appareils et des pièces, savoir combien de temps je suis devant la TV et sur quelles chaînes, combien de temps et jusqu’à quelle heure je lis avec ma lampe de chevet allumée.

Moi aussi j’aimerais savoir si je dors bien, tôt ou tard, en me levant ou pas la nuit, si je me réveille bien ou si je traine, et croiser ça avec les autres données de température, horaires de travail, activité physiques, horaires de repas…

Je n’imagine même pas comment on pourrait être trop connecté.

J’aimerais.

La technologie est là, depuis des années, partout. On en est à connecter les aspirateurs et les brosses à dents. Même moi je reste circonspect sur la pertinence.

La technologie est là mais on a merdé dans les grandes largeurs au niveau éthique et architecture. Je n’ai ni contrôle, ni vie privée, ni pérennité.

Changez moi-ça et je veux bien tester même la brosse à dents.

6 janvier 2020

Je veux des appareils connectés

Je veux des appareils connectés mais…

Je veux des appareils qui fonctionnent avec un stockage local. Ce peut-être une carte mémoire, un disque dur sur port usb. Ce peut même être un stockage réseau via FTP, Webdav, CIFS ou autre tant que je suis celui qui décide où je stocke.

Je veux des données lisibles. Idéalement elles sont dans un format standard et normalisé. À défaut il s’agit d’un format documenté, ou au moins quelque chose que je peux explorer comme du JSON ou du XML. Dans tous les cas, je ne veux rien qui m’empêche d’accéder à mes données.

Je veux être autonome. Je ne veux pas être dépendant de la création d’un compte, de la maintenance d’un serveur en ligne par le constructeur, ou d’un logiciel qui finira pas ne plus être mis à jour. Si un tel élément est indispensable, il faut une garantie de fonctionnement qui se chiffre en décénies, ou un engagement de documenter les interfaces de façon à permettre à un tiers de refaire ce qui manque le jour où ça manquera.

Oui, ça remet en cause toute la startup nation qui fait payer des abonnements et qui se rémunère via la donnée des utilisateurs.

En échange je suis prêt à payer plus cher, mais je veux des objets à moi.

Informaticiens, ne contribuez pas à mettre vos utilisateurs en situation de dépendance.

6 janvier 2020

Aujourd’hui c’est (encore et toujours) backup day

Je note ici toutes mes itérations de backup day.

La dernière était il y a plus d’un an. J’avais 2 portables et un NAS, tous trois sous Crashplan.

Au delà de la sauvegarde, un des portables avait un Dropbox gratuit pour la synchronisation en ligne, l’autre un Tresorit payant à 200 Go.

3 appareils crashplan indépendants plus un abonnement à la première offre tresorit, ça allait finir par faire cher à la fin des offres promotionnelles de nouvel abonné.

En parallèle le Dropbox et le Tresorit commençaient à être plus qu’à l’étroit sur leurs offres respectives donc il y avait quelque chose à changer. Sur le papier ça allait passer de moins de 20 € à plus de 40.

Au lieu de gérer 3 postes indépendants, j’ai profité de la synchronisation et installé Tresorit sur le NAS.

L’idée c’est que si tout ce qui est synchronisé en ligne se retrouve aussi synchronisé sur le NAS, on peut se contenter de sauvegarder le NAS et retirer Crashplan des portables.

Je ne m’en sors pas pour moins cher, parce qu’au final j’ai basculé sur l’offre supérieure de Tresorit (afin d’avoir plus d’espace) et que je risque aussi de lancer une offre Tresorit payante pour remplacer le Dropbox gratuit du second portable. Au final ce que je vais payer c’est du stockage synchronisé en ligne.

Si vous avez des besoins plus légers ou que vous êtes prêts à ne pas avoir de chiffrement côté client sur l’offre de synchro de fichier, il y a des offres moins chères que Tresorit.

Pour l’instant je garde Crashplan sur le NAS. J’ai plusieurs To et Crashplan est le seul fiable que j’ai vu à me proposer ça sans des prix délirants et sans solution bricolée à la main.

Si toutefois vous avez d’autres propositions à moins de 10 € par mois pour un petit NAS sous Linux (2 To grand minimum, chiffrement côté client), je suis toute ouie.

2 janvier 2020

Vie privée : Chiffrement des disques

On parle tant des mots de passe qu’on en oublie l’essentiel.

Quiconque a accès à votre disque dur a accès à toute votre vie numérique, vos logiciels et vos documents.

Il peut relire votre l’attestation de sécu téléchargée le mois dernier, votre feuille de calcul avec votre compta, vos photos de vacances mais aussi celles que vous gardez privées, la lettre à mamie, le testament de grand père, votre carnet d’adresse complet.

Il a accès aussi à votre historique de navigation internet des 30 ou 90 derniers jours, votre compte facebook, votre compte email avec l’intégralité de vos échanges passés.

Si vous êtes enregistré sous Google et que vous avez un Android, il y a toutes les chances qu’il puisse accédez à tout l’historique de géolocalisation et retracer dans le détail tous vos déplacements depuis plusieurs mois.

Via le navigateur il a aussi accès à tous les sites sur lesquels vous êtes enregistré, ceux pour lesquels vous avez enregistré le mot de passe. Vu qu’il a accès à vos emails, il pourra de toutes façons réinitialiser les mots de passe qu’il lui manque.

Si on parle de votre téléphone, ça inclut aussi tous vos SMS, votre historique d’appel, vos conversations snapchat, whatsapp et autres outils de communication.

Ça fait peur, non ?

Ça arrivera si quelqu’un de malveillant vous en veut personnellement, mais aussi vous êtes la cible aléatoire d’un cambriolage, que ce soit par le cambrioleur ou par la personne chez qui se retrouve avec votre disque une fois remis en circulation.

Non, il n’y a pas besoin de votre mot de passe de session windows ou mac pour cela. Il suffit d’accéder au disque directement. Tout est dessus, en clair.

Ok, comment on chiffre le disque alors ?

Sous Windows ça s’appelle BitLocker. Sous Mac ça s’appelle FileVault. Sous Android ça s’appelle simplement « Chiffrer l’appareil » ou « Chiffrez vos données » quand ce n’est pas activé par défaut, et vous avez en plus un « Cryptage de la carte SD » pour la carte SD si vous en avez ajouté une.

Vous trouverez ça à chaque fois dans la section « sécurité » des préférences de votre système.

La procédure est normalement assez simple (windows, mac). Assurez-vous simplement de ne pas oublier votre mot de passe.

Voilà, c’est fait. Toutes vos données sont chiffrées, illisibles par un tiers.

Bien entendu ça ne fonctionne que si vous avez aussi activé un déverrouillage manuel obligatoire au réveil de votre PC et de votre téléphone, et que vous n’avez pas laissé le mot de passe sur un post-it juste à côté. Il ne sert à rien d’avoir une porte qui ferme à clef si vous laissez la clef sous le paillasson ou si vous la laissez toujours ouverte.

C’est quoi le piège ?

Désormais votre cambrioleur ne peut pas accéder à vos données sans le mot de passe. Votre voisin ne peut pas accéder à vos données sans le mot de passe.

Vous non plus… Le piège est là. Sans le mot de passe vos données sont perdues, même pour vous.

Apple vous propose de retenir une clef chez lui et de la sécuriser avec votre compte Apple. Je crois que Microsoft fait pareil. Sur Android à ma connaissance il n’y a rien de tout cela.

En réalité ça n’est qu’un (mauvais) filet de sécurité.

1/ N’oubliez pas le mot de passe.

2/ Faites de sauvegardes (même si vous avez le mot de passe, le disque lui-même peut casser, et au pire vous pourrez récupérer vos données sur la sauvegarde)

3/ Donnez un moyen à vos proches d’accéder aux données qui les concernent (photos de famille par exemple) si jamais il vous arrive quelque chose.

2 janvier 2020

Second retour sur le télétravail

J’en avais fait un après trois mois. En voici un autre au bout de deux ans et quelques.

Le fond n’a pas beaucoup changé alors je vous incite à d’abord lire le billet précédent. On y gagne en temps de trajet, en place. On change les interactions sociales et les temps de respiration. Ça joue autant sur le professionnel que sur le personnel.

Le résumé décideur après deux ans : Oui ça fonctionne. Non ce n’est pas pour autant toujours aussi idéal que certaines lectures le laissent penser. Rien d’étonnant cependant, le monde idéal n’existe pas. Après, savoir si c’est une bonne chose pour vous, ça va dépendre de vous.

Le confort local

Essentiellement j’ai changé mon bureau l’année dernière. J’ai un bureau assis-debout, essentiel pour les trop longues visio-conférences ou pour réfléchir sans clavier. J’ai eu une vraie chaise de bureau pour remplacer ma chaise de cuisine droite en bois. J’ai aussi une enceinte de bonne qualité avec de la musique derrière moi quand j’en ai besoin pour me concentrer. J’ai aussi pu brancher une configuration à trois écrans, et on y prend goût.

Enfin, le télétravail c’est la capacité à faire une sieste de 20 minutes quand c’est nécessaire, ou de prendre 1h30 sur la pause de midi quand je ne tiens pas. À une période l’année dernière, je pense que j’aurais dû me mettre en arrêt maladie longue durée si je ne l’avais pas pu. À la place je l’ai relativement bien vécu et ça a été relativement transparent pour mon employeur. Gagnant pour les deux.

Bref, je suis encore et toujours convaincu que le télétravail doit s’accompagner de confort. C’est d’ailleurs une des motivations que j’entends fréquemment sur le télétravail : Avoir un vrai bureau et pas une place de poulailler dans l’open-space. À vous d’y donner corps, et ça peut faire toute la différence.

Les entreprises qui veulent fonctionner en télétravail feraient bien de financer du matériel de façon massive (poste informatique et écran, mais aussi bureau, chaise de travail, lampe, webcam additionnelle, tableau blanc, etc.) plutôt que chercher à économiser sur ces postes budgétaires.

Peut-être que si les entreprises présentielles travaillaient sur le confort local dans leurs bureaux, les questions de télétravail se poseraient différemment.

L’isolement

L’isolement joue très fort pour moi. Si j’avais un premier ressenti au bout de trois mois, ça prend toute son ampleur avec le temps.

Je suis très introverti dans ma vie personnelle. Je sors peu pour autre chose que de l’utilitaire, et encore moins depuis que j’ai un enfant à la maison. J’apprécie quand ça arrive mais je ne sais pas maintenir correctement les liens pour le montrer, ou m’organiser pour prendre ces initiatives. Avec le télétravail, désormais mes interactions sociales de la semaine se limitent trop souvent à quelques bonjour quand j’amène mon fils à l’école.

Ne voir que ma chambre, mon bureau, les tâches ménagères et éducatives, ma femme et mon fils, ça pèse. Beaucoup. Les trajets professionnels à Paris une fois tous les deux mois sont presque une respiration. Ils me permettent de voir les collègues mais sont aussi le prétexte à revoir les amis de là bas.

Vous pouvez dire que c’est lié à mon organisation et à ma façon de vivre (*). C’est certainement vrai mais il n’en reste pas moins que, dans ce contexte, l’isolement généré est difficile à vivre. Le fait d’avoir un bureau avec des collègues en face à face, des pauses voire des jeux ou des discussions locales au détour du bureau, ça m’apportait quelque chose que je n’ai plus.

Est-ce que le confort contrebalance l’isolement ? La réponse est loin d’être tranchée pour moi — et ne concerne que moi et ma situation particulière, vous aurez votre propre réponse en fonction de votre propre contexte.

Mon idéal serait probablement un système de télétravail partiel une semaine sur deux ou plusieurs jours par semaine, avec quelques moments de rendez-vous fixes pour tout un ensemble de collègues.

Le management

Je vois beaucoup de retours faire porter la responsabilité de la réussite ou de l’échec du télétravail sur le management. J’adhère à beaucoup de ce qui s’y dit sur la confiance, l’autonomie et la responsabilisation mais je trouve la conclusion un peu facile, et ne reflétant que rarement une expérience de manager.

Le télétravail me demande de repenser mon rôle, la façon dont je le mène. Factuellement, mon boulot en tant que manager change beaucoup, mais s’il change ce n’est pas sur les questions d’autonomie et de responsabilisation (qui sont dans mes organisations cibles qu’il y ait télétravail ou pas).

Si ça change c’est qu’il est bien plus difficile de sentir des signaux quand quelqu’un commence à ne plus être à l’aise. Il est de même difficile de se rendre compte que telle ou telle remarque (de moi ou d’un autre) a été mal reçue et qu’il me faut intervenir. Il est tout autant difficile de voir si tel ou tel changement est positif ou négatif tant qu’il n’y a pas de forte douleur.

Non seulement on ne voit que le formel, l’écrit et le résultat, mais en plus on agit par ces mêmes canaux. La petite discussion à la machine à café ne prend pas forme aussi facilement : C’est soit de l’écrit soit de la visio. Les rendez-vous 1–1 sont d’autant plus essentiels avec le télétravail.

Je parle de ma position de manager mais ça fonctionne dans les deux sens : Vu que je conçois mon rôle de manager comme au service des autres, si c’est plus difficile pour moi alors ça a aussi des impacts négatifs sur l’aide que je peux apporter, et donc sur les tiers non-managers. J’imagine plus facile de perdre quelqu’un et de s’en rendre compte trop tard, et plus difficile de résoudre un désalignement (*).

Quand tout va bien c’est parfait et le télétravail ne génère aucune problématique significative. Quand quelque chose n’est pas idéal, le télétravail à temps plein complexifie l’humain, des deux côtés, et peut démultiplier les problèmes ou les difficultés (*).

Organisation d’entreprise

Je ne l’ai pas abordé mais je n’ai d’expérience que pour des équipes techniques de bon niveau et impliquées. Tel que je le vois, le télétravail n’est adapté que pour des gens dirigés à la tâche d’exécution sans aucune latitude ni aucun aléas (on peut donc simplement mesurer l’avancement) soit des gens en totale responsabilité et autonomie (individuellement ou collectivement).

Quand je parle de responsabilité et d’autonomie je le prends avec un sens très étendu. Côté organisation, l’essentiel des problèmes ressentis viennent de situations où les opérationnels n’étaient (ou ne se sentaient) pas libres de prendre les décisions qu’ils pensaient pertinentes, ou qu’ils devaient justifier leur travail après-coup (le temps passé, les décisions prises, les aléas, la qualité obtenue).

La position intermédiaire, à la fois donner des responsabilités et de la liberté mais pas toute l’autonomie pour faire les choix ou les comprendre, est une source de frustration permanente. C’est déjà vrai sur une organisation locale (ne faites pas ça) mais ça s’y rattrape en partie par la proximité. En télétravail les problèmes induits m’y semblent démultipliés (*).

Le quotidien

Ce n’est pas un vrai problème mais c’est quand même une surprise pour moi alors je le signale : Même dans une entreprise totalement en télétravail depuis sa naissance il y a une demie-douzaine d’année, on perd encore du temps significatif avec les problèmes de son et de vidéo, on oublie parfois de faire de l’écrit, etc.

De même, si on est plus au calme, il est plus fréquent que au moins un des intervenants ait des travaux chez lui, ses voisins ou dans la rue, une connexion qui tombe, un wifi taquin, un matériel en panne sans pièce de rechange, un démarcheur qui sonne à la porte, un espace de coworking trop bruyant et aucune cabine d’isolement de disponible, etc.

Bref, les petits soucis du quotidien sont tout autant là en télétravail.

Enfin, certains aiment bien l’asynchrone et l’écrit (moi le premier), mais je n’ai pas trouvé de solution efficace pour remplacer les discussions autour d’un tableau blanc. Il existe des logiciels pour ça, mais sauf à payer à chacun une tablette avec stylet, ça ne sera jamais la même chose. Les réunions d’architecture sont clairement un point où on perd très nettement en efficacité.

Encore une fois : Ça fonctionne mais rien n’est magique. Certains vous diront que c’est toujours mieux qu’une entreprise qui n’a pas assez de salle de réunion. Savoir si c’est mieux qu’une entreprise qui a des espaces adéquats, ça va être un choix plus personnel.

(*) Oui, moi aussi j’aimerais une situation idéale, où tout est parfait, où tout le monde est aligné, où la culture est parfaitement partagée, où les désaccords sont déminés, où il y a bienveillance et collaboration à chaque instant de la vie, où moi-même j’ai une hygiène de vie parfaite, pas de problème de santé ni de freins sociaux.

Les retours qui disent que le télétravail ne pose aucun problème tant que le contexte est idéal et que sinon c’est la faute des problèmes autour, j’ai l’impression d’y lire un « quand ça ne fonctionne pas c’est la faute des autres ».

En pratique tout n’est pas toujours parfait. Parfois c’est la faute de l’organisation, parfois de la culture, parfois d’un contexte non maitrisé ou d’une personne particulière. Parfois on y peut quelque chose, parfois nos leviers d’action sont plus restreints ou plus long terme. Peu importe. Ça arrive et ça doit être pris en compte. Une organisation qui ne fonctionnerait que dans un contexte idéal est une mauvaise organisation.

Du coup oui, je me permets de signaler ce qui est plus difficile même si le problème n’existerait pas dans une situation totalement idéale par ailleurs. J’ai tendance à dire qu’en tant que manager c’est même mon boulot de penser à ça et d’y travailler.

12 décembre 2019

[retraites] « les femmes seront les grandes gagnantes »

Les femmes seront les grandes gagnantes » de la réforme, a assuré Philippe. Le nouveau système accordera notamment « des points supplémentaires pour chaque enfant, et ce dès le 1er enfant, et non à partir du 3ème comme aujourd’hui
Le Premier ministre, via l’AFP

Je déteste ce qui m’apparait comme de la mauvaise foi.

Aujourd’hui

Il y a effectivement une majoration des points/pensions de 10%, uniquement pour ceux qui ont eu trois enfants ou plus (plafonné à 1000 € côté complémentaire pour l’Agirc et pour l’Arrco).

Ne parler que de ça c’est pourtant de mauvaise foi. La vraie mesure, aujourd’hui, c’est qu’un enfant donne droit à 4 trimestres au moment de la naissance, plus 4 autres pour l’éducation des premières années.

Si vous aviez déjà toutes vos annuités au moment de partir en retraite, chaque trimestre cotisé en plus vous offre une surcote de 1,25% le trimestre. Si vous n’aviez pas toutes vos annuités, ça vous évite une décote de 1,25% par trimestre.

8 × 1,25%, on parle donc de 10% de pension en plus, par enfant, dès le premier enfant.

Ce n’est pas tout ! Aujourd’hui le système ne garde que les 25 meilleures années. Il est donc possible de passer à temps partiel pour quelques années et accompagner l’éducation d’un enfant sans que ça ne se voit exagérément au moment de liquider la retraite (ça se verra sur les points des retraites complémentaires, mais pas sur la pension du régime de base).

1 enfant	+ 10 % + invisibilisation des temps partiels temporaires
2 enfants	+ 20 % + invisibilisation des temps partiels temporaires
3 enfants	+ 40 % + invisibilisation des temps partiels temporaires
4 enfants	+ 50 % + invisibilisation des temps partiels temporaires

Le seul point où mon tableau est faux, c’est pour les femmes qui continuent à travailler jusqu’à l’âge limite de départ à taux plein, 67 ans aujourd’hui, sans avoir leurs annuités malgré les trimestres offerts. Là l’impact n’est pas le même.

Proposition de réforme

Qu’est-ce que prose donc la nouvelle réforme pour que « les femmes [soient] les grandes gagnantes » ?

Simple : Une majoration de 5% des points au moment de la liquidation, par enfant, dès le premier enfant. On se positionne sur un système proportionnel, donc 5% de points c’est 5% de pension.

Un temps partiel, même temporaire, implique moins de points cotisés et jouera proportionnellement sur le montant de la pension au moment de sa liquidation.

1 enfant	+ 5 %
2 enfants	+ 10 %
3 enfants	+ 15 %
4 enfants	+ 20 %

Je vous laisse comparer les deux tableaux et savoir si on vous a pris pour des imbéciles.

Références :

Évidemment, toute correction est bienvenue. Pour des raisons de simplification, je ne donnerai cependant pas les détail de tel ou tel régime ou cas particulier. Vous êtes libres de le faire chez vous et de mettre un lien en commentaire.

11 décembre 2019

Auteur/autrice : Éric

1/ Manque de consen­te­ment préa­lable

2/ Manque de consen­te­ment expli­cite

3/ Impos­si­bi­lité de refus de consen­te­ment

4/ Faux à l’en­re­gis­tre­ment des consen­te­ments

5/ Absence d’in­for­ma­tion

6/ Collecte et trai­te­ment malgré refus de consen­te­ment

Réponse de France Tele­vi­sion

Réponse par écrit le 20 février

Ça fait peur, non ?

Ok, comment on chiffre le disque alors ?

C’est quoi le piège ?