À partir de faits d’actualité ou de la vie quotidienne, ce carnet explore comment des informations, des programmes et des machines organisent nos relations avec les autres êtres humains, les organisations et même la société tout entière. Car, par-delà la compréhension de la société de l’information dans laquelle nous évoluons, il nous faut apprendre à y vivre et à en influencer démocratiquement les développements.
Soirée d’information et d’échange sur les Projets de loi C46 et C47
La surveillance des communications électroniques : Une dangereuse intrusion dans nos vies
Lundi 2 novembre 2009 à 19 h.
Salle R-M130, UQAM (315, rue Ste-Catherine Est, Montréal)
À une époque où les nouvelles technologies font partie du quotidien et où de plus en plus d’informations sur tous les aspects de nos vies circulent dans le cyberespace, le gouvernement a déposé deux projets de loi qui lui donneront un plus grand accès aux données qui transitent par les fournisseurs de services de communication électronique.
Colloque sur la protection des renseignements personnels
On nous fiche ! Ne nous en fichons pas
Colloque sur la protection des renseignements personnels à l’ère des technologies de l’information et des communications
29 et 30 janvier 2010
Vendredi soir, Salle Marie-Gérin-Lajoie, UQAM (Pavillon Judith-Jasmin, 405, rue Ste-Catherine Est, Montréal)
Samedi, 30 janvier 2010 à l’UQAM (détails à venir)
« Présentement, le Canada se dirige dangereusement vers une société de surveillance. (…) La protection de la vie privée est un élément crucial d’une société libre ; sans elle, il n’y a pas de réelle liberté. » Jennifer Stoddart, Commissaire à la Protection de la Vie privée du Canada.
Des pièges des statistiques, en marge du documentaire Les enfants du Palmarès
Notions abordées :Les informations personnelles permettent un formidable accroissement des connaissances sur les individus, les groupes et les sociétés
Un nombre croissant de décisions concernant les individus et les organisations sont fondées sur des informations personnelles ou des informations dérivées
Un ensemble d’informations personnelles décrit moins un être humain en particulier qu’une relation entre des personnes
Les informations personnelles ne sont ni données, ni reflet idéal de la réalité: elles sont des artéfacts, des objets fabriqués par des êtres humains en vue de la réalisation d’un objectif précis
Les conflits relatifs aux informations peuvent porter sur n’importe quelle dimension de leur production ou de leur utilisation
Avant même qu’il soit diffusé, le film Les enfants du Palmarès de la réalisatrice Marie-Josée Cardinal fait déjà beaucoup parler. Ce documentaire sera présenté à la télévision sur Canal D le dimanche 18 octobre 2009 à 19h ainsi que le lundi le 19 octobre à 13h. Ce film traite des angoisses vécues chez plusieurs parents et enfants qui cherchent à réussir, coute que coute, l’accès à une place dans les écoles privées les plus cotées ainsi que ce qui arrive à ceux qui échouent ou réussissent d’y être admis.
Le palmarès du titre réfère au désormais Palmarès des écoles secondaires du Québec (ici en format PDF) publié depuis 10 ans par le magazine L’Actualité. C’est de ce tableau comparatif des écoles que je vais discuter ici.
Nous nous sommes donné au Québec la liberté de choisir pour nos enfants parmi un éventail d’écoles, programmes d’études et projets éducatifs. Un embarras du choix que j’ai vécu comme tout autre parent. Embarras que le Palmarès complique par ses faiblesses, mais surtout parce qu’il demeure l’unique guide comparatif grand public disponible.
J’utilise le Palmarès depuis sa création. Notamment lors de visites des écoles où je songeais à inscrire ma plus jeune. Le Palmarès offre une illustration particulièrement parlante pour des élèves de quatrième secondaire des rôles que les informations personnelles jouent désormais dans la vie informatisée des individus, organisations et sociétés. Car en échange de causeries visant à susciter l’intérêt pour des carrières scientifiques, des conseillères en orientations m’offraient accès au quotidien de leur école hors des mises en scène des journées portes ouvertes.
Partant du bulletin scolaire, j’expliquais aux élèves la société de l’information et l’importance des diverses disciplines techniques et scientifiques associées. Tout d’abord, comment des informations personnelles parlent rarement d’une personne en particulier, mais plutôt d’une relation entre plusieurs personnes. Ainsi, le bulletin ne parle pas que de l’élève, mais aussi de ses enseignants. Une direction peut donc utiliser les informations du bulletin pour évaluer le travail de ses enseignants, individuellement et collectivement.
Si visualisée plein écran, commander « autoplay » pour lancer
Compilées, ces informations des bulletins permettent également de produire des portraits par école, par commission scolaire, entre écoles ou entre commissions scolaires, pour le Québec ou entre pays. La petite animation incluse dans ce billet illustre comment. Ces différentes compilations d’informations permettent de constituer des portraits de la performance des élèves, des enseignants, des écoles, des commissions scolaires, d’un système scolaire, d’un pays. Ils structurent les discussions, les débats publics et la prise de décisions diverses. Notamment celle du choix d’une école secondaire.
Or, les bulletins, compilations et palmarès sont conçus en vue de réaliser des objectifs précis. Adéquatement produits pour une tâche, ils s’avèrent souvent défaillants pour une autre. En outre, il faut s’assurer que la production de ceux-ci ne nous coupent pas de la réalité même que nous souhaitons saisir. Lire la suite »
Les compagnies pharmaceutiques veulent que vous suiviez les prescriptions des médecins
Notions abordées :De plus en plus d’informations personnelles sont produites sur les individus… et de plus en plus par des objets autour de vous
Ces informations permettent de réguler les relations interpersonnelles avec une efficacité croissante
Un article du Financial Times signale que la compagnie pharmaceutique Novartis teste actuellement une technologie qui recoure à l’insertion d’une minuscule micropuce dans chaque pilule que vous devez prendre. Une autre puce émettrice-réceptrice implantée dans l’épaule du patient détecte la prise ou non de chaque pilule. Si la personne ne suit pas l’ordonnance du médecin, la puce émettrice-réceptrice enclenche l’envoi d’un message texte de rappel sur son téléphone cellulaire.
Les tests effectués sur 20 patients prenant du Diovan, un médicament abaissant la pression artérielle, auraient renforcé de 30 % à 80 % l’observance de la prescription après six mois.
On peut imaginer l’intérêt d’une technologie pour les gens qui ont tendance à éviter ou oublier de prendre leurs médicaments ainsi que pour rassurer les personnes qui peuvent oublier si elles les ont bien pris ou non. La même technologie pourrait donc également éviter les surdoses.
Cependant, le Financial Times précise que l’intérêt premier des compagnies pharmaceutiques est évidemment d’augmenter les ventes de leurs médicaments, particulièrement dans le cas de maladies chroniques comme l’hypertension et le diabète. Ces entreprises ont tout intérêt à ce que les patients suivent rigoureusement leur prescription de médicaments lucratifs sur de nombreuses années.
Notion abordée : Un nombre croissant de décisions concernant les individus, les groupes et les sociétés sont fondées sur des informations personnelles ou des informations dérivées
Il nous faut l’admettre : nos décisions individuelles, nos comportements et nos opinions sont souvent influencés par des informations sur ce que font, pensent ou vivent nos concitoyens. Ces informations proviennent, par exemple, de sondages d’opinions ou de compilations de statistiques diverses, souvent résumés par les médias.
Grâce à l’informatique, il est désormais possible de manier et de transformer ces informations de mille manières.
Grâce au web, il nous est possible de rediffuser les nouvelles informations sous des formes interactives qui facilitent la prise de décision individuelle… et même d’en mesurer ensuite les conséquences sur la collectivité.
Vie pratique - Du recueil illégal d’informations par des commerçants et autres organismes
Hier, une proche me dit qu’elle a dû refuser un cadeau de 25 dollars d’un marchand. Une caissière lui offrait 25 dollars s’il elle prenait la carte de crédit de cette chaine de magasins. Un autre client lui avait dit : « Accepte l’offre. Moi, j’ai pris la carte. J’ai fait un achat avec pour profiter du cadeau. Puis j’ai fait annuler la carte. » Bon, 25 dollars pour deux minutes de paperasse, ce n’est pas un mauvais échange.
Elle a donc accepté offre et la caissière a aussitôt commencé à remplir le formulaire pour elle. Naturellement, la caissière a demandé la présentation d’une pièce d’identité avec photo. La cliente a offert son permis de conduire qui porte son nom, son adresse de domicile ainsi que des photos d’elle et de sa signature. C’est alors que la caissière inscrit le numéro de permis de conduire sur le formulaire. La cliente l’interrompt : « mais vous n’avez pas le droit de noter le numéro de permis de conduire ». Ceci est légalement vrai. Au Québec, il est clairement énoncé que les numéros de permis de conduire et d’assurance-maladie ne peuvent être recueillis que pour les fins associées à l’application du Code de la route et de la Loi sur l’assurance-maladie, respectivement. Ailleurs au Canada, au minimum, le principe de nécessité des lois de protection des renseignements personnels restreint une telle collecte.
La caissière a alors répondu qu’on l’obligeait à recueillir le numéro pour l’émission de la carte. Elle exhibe la section du formulaire prévue à cet effet comme preuve à l’appui de son affirmation.
Face à l’impasse, la cliente décide d’annuler sa demande. Elle se fait remettre le formulaire et le déchire en petit morceau. Elle va aussi porter plainte à la Commission d’accès à l’information pour faire cesser cette pratique.
Ce n’est pas ce que j’aurai fait. Mais d’abord quelques explications.Lire la suite »
Qui contrôle - et à qui profite - une communauté de partage d’informations personnelles en ligne ?
Notion abordée :Nos informations personnelles deviennent une ressource stratégique.
L’histoire racontée par Sarah Arnquist du New York Times est exemplaire du pouvoir qu’Internet permet à un groupe de se donner. En 2005, Amy Farber apprend qu’elle est atteinte de lymphangioleiomyomatose (LAM), une maladie complexe, encore sans remède, qui conduit ultimement à la mort et touchant surtout des femmes. Or, la LAM est une maladie très rare. Elle est donc peu étudiée. Amy Farber décide de consacrer ce qui reste de sa vie à développer les moyens susceptibles d’augmenter et d’accélérer la recherche d’un traitement. Elle fonde donc le LAM Treatment Alliance afin de lever des fonds et réseauter des chercheurs à travers la planète. Se rendant aussi compte que la rareté des cas de LAM est en elle-même un obstacle à la recherche, Farber suscite la création du portail Web LAMsight qui permet aux patientes du monde entier de partager leurs expériences et d’alimenter des bases de données au service des chercheurs, des professionnels de la santé et des patientes elles-mêmes.
Amy Farber est d’avis que la création de communautés de patients en ligne est susceptible de transformer la recherche médicale, tout particulièrement dans le cas de maladies rares dont les patients sont dispersés, difficiles à recruter et ne constituent pas un marché potentiellement lucratif susceptible d’intéresser les compagnies pharmaceutiques à investir. Ces communautés peuvent augmenter le pouvoir des patients qui contribuent activement à l’activité de recherche, soumettent des questions à élucider et participent à l’orientation des travaux. D’autant plus que l’expérience et les observations quotidiennes des patients constituent une source de données précieuses largement sous-utilisées jusqu’ici.
Cependant, la journaliste confond les différentes formes que peuvent prendre ces communautés en ligne de patients en les associant toutes à une sorte de « démocratisation » de la recherche. Une grave erreur. Tout particulièrement lorsqu’elle réfère à d’autres « communautés en ligne » mises en place par des compagnies pharmaceutiques ou des entreprises offrant des services de tests génétiques. Ne faut surtout pas mêler les pommes, les carottes et la mauvaise herbe. Derrière la vitrine des conviviales interfaces du Web 2.0 et les mots « communauté en ligne » on peut trouver, en arrière-boutique, des réalités et façons de faire fort différentes.
Qui contrôle quoi… et donc qui
La formule « l’information, c’est le pouvoir » est bien connue. Dans les mondes de la gestion et de l’informatique, la formule « l’information est une ressource » n’en est qu’une variante. La question de qui contrôle effectivement « la ressource » est capitale, car elle détermine les rapports entre les individus, les groupes et les organisations.
En recherche biomédicale, les acteurs intéressés peuvent être nombreux : les patients et leurs associations, les chercheurs et les centres de recherches, les professionnels de la santé et les établissements, les entreprises commerciales du domaine biomédical ou autre. Les structures de communication, de collaboration et de pouvoir entre eux peuvent s’organiser de bien des manières, avec des effets tout aussi différents.
La recherche
Dans une infrastructure de recherche biomédicale universitaire classique, ce sont les chercheurs qui sont en contrôle des bases de données. Les chercheurs s’approprient les informations produites sur les patients, même celles que ces derniers ont produites eux-mêmes. Dans beaucoup de cas, les chercheurs gardent jalousement pour eux ces données qui représentent un avantage concurrentiel sur leurs concurrents.
Dans le cas de grosses et coûteuses banques de données financées largement par des fonds publics, un regroupement beaucoup plus large de chercheurs et d’établissements peut contrôler l’infrastructure et en permettre l’accès éventuellement à tout chercheur ayant un projet de recherche crédible.
Aujourd’hui, se développe également diverses variantes de la philosophie de recherche ouverte (open data) où il s’agit d’ouvrir largement l’accès aux banques de données à toute personne intéressée, y compris par leur publication directement sur le Web.
Jusqu’à ce jour, les rôles et pouvoirs que pouvaient exercer les patients sur les informations demeuraient cependant marginaux.
Le commerce
Dans une infrastructure à fin commerciale classique, l’entreprise a intérêt à conserver un maximum de contrôle sur les informations, leurs utilisations et leurs communications. On sait aujourd’hui à quel point les compagnies pharmaceutiques vont chercher à filtrer le plus possible la publication des données et des résultats afin de mousser la réputation et la valeur commerciale de leurs produits. Quitte à cacher leur dangerosité. Elles vont aussi éviter de partager des informations qui risqueraient de donner un avantage stratégique à leurs concurrents. Quitte à étouffer l’avancement des connaissances.
Les patients peuvent avoir quelque pouvoir ici s’ils représentent un marché solvable (c’est-à-dire capable de payer un produit profitable).
L’information peut même être ce produit, comme pour ce service de tests génétiques vendus aux patients à 99 $ US.
Les patients
Arrivent soudain les patients qui peuvent désormais compiler eux-mêmes des quantités importantes d’informations précieuses grâce à des formulaires en ligne, des forums de discussions ou des branchements directs d’appareils médicaux à leur ordinateur ou téléphone.
Si ces patients s’organisent entre eux pour contrôler collectivement leurs informations, ils peuvent en négocier l’accès en échange un certain pouvoir d’influence sur le développement de la recherche ainsi que de certaines compensations financières ou en nature.
Par contre, si ce sont des centres de recherches ou des compagnies pharmaceutiques qui tentent de les recruter un à un en leur offrant de participer à une « communauté en ligne », le pouvoir effectif des patients pourrait être nettement moins grand, voire simplement symbolique, ou même carrément nul.
À moins, que les patients utilisent précisément leur « communauté » pour s’organiser et négocier collectivement…
Bref, par delà des étiquettes et du jargon du fameux Web 2.0, il faut savoir détecter qui, derrière les interfaces, contrôle effectivement l’information.
In Brief: About Obama Administration’s Lone Wolf Initiativeagainst Solo Hate Attacks
Were you among those who believed that the transition from Bush to Obama would put an end to the paranoia fuelling ever increasing surveillance? Sorry. The election of a centrist president of mixed ancestry is way too much for many amongst racist or anti-state right-wing extremist fringes who, since, raged in hate speech and rushed to buy weapons. So much that, shortly after Obama’s inauguration, the federal administration launched a program to detect isolated individuals who want to resort to violence, as have recently done the killers of a Kansas physician who practiced abortions or of a security guard at the Holocaust Memorial Museum in Washington.
This operation, known as Lone Wolf Initiative, aims, not at known organizations, but rather at isolated individuals who could secretly be preparing an attack in order to thwart them before they act. An objective that some say is reminiscent of the predictive policing of the Precrime department in The Minority Report, Philip K. Dick’s novel in which one character says that “punishment was never much of a deterrent and could scarcely have afforded comfort to a victim already dead”. However, instead of relying on clairvoyance, Lone Wolf Initiative handles personal information.
According to the few bits obtained by USA Today, this operation would involve records’ collection, analysis and cross-referencing. USA Today mentions:
review of existing investigation files on terrorism in order to identify new suspects;
detection and analysis of suspicious purchases (such as of chemical fertilizers that can be used to make a bomb);
checking lists of prisoners to be released who could have links with extremist groups.
Details are kept secret. However, it is easy to imagine use of surveillance about who visit websites of extremist groups or pages explaining how to plan attacks as well as other habits or behaviours predicted by offender profiling techniques. But with some kind of “reverse profiling”. Indeed, offender profiling usually starts from the clues about an already committed crime of unknown origin to produce a social and psychological personality profile consistent with the conduct. In preventive policing, the profile is of people who might commit one among many imaginable assaults (from direct suicide attacks to assassination attempt made from a distance). The sheer size of the range of possibilities opens again the door to widespread surveillance.
Especially in such cases, the boundary between criminal and political profiling remains porous and easy to cross. Moreover, two of the requirements of “predictive policing” are the surveillance of many people and the preservation of secrecy about the information sources and the kinds of processing performed on it. Thus, it becomes difficult to democratically verify the necessity, scope and effectiveness of these operations.
Prevention against actions of criminal or state organizations is more or less possible by conventional methods of targeted intelligence, espionage, infiltration and use of informers. All methods that are ineffective with lone individuals. Hence the idea of using alternative methods for identification and monitoring of suspicious behaviours as well as of individuals who represent a risk. All means that would be impossible to envision if we did not already live in a computerized information society in which there are files and records to be found everywhere and thus can be obtained, matched and processed by machines facilitating the intellectual work of hundreds of police investigators and analysts.
Brève : Du Lone Wolf Initiative de l’administration Obama contre les attentats politiques haineux en solo
Étiez-vous de ceux qui croyaient que le passage de Bush à Obama mettrait fin à la paranoïa alimentant l’usage de la surveillance ? Désolé. L’élection d’un président métis centriste est déjà beaucoup trop pour toute une frange d’extrémistes d’extrême droite racistes ou anti-étatiques qui, depuis, se déchainent en discours haineux et se ruent acheter des armes. Au point, que peu après l’investiture d’Obama, l’administration fédérale a lancé un programme visant à détecter les individus isolés qui voudraient passer aux actes, comme l’ont fait récemment les meurtriers d’un médecin du Kansas qui pratiquait des avortements ou d’un gardien de sécurité au musée de l’Holocauste à Washington.
Cette opération, connue sous le nom de Lone Wolf Initiative, vise donc à repérer, non pas les organisations connues, mais les individus solitaires qui prépareraient en secret un attentat afin de les déjouer avant qu’ils ne s’exécutent. Objectif qui, selon certains, n’est pas sans rappeler le travail de police prédictive du Service de Précrime dans Rapport minoritaire, une nouvelle de Philip K. Dick qui faisait d’ailleurs dire à un de ses personnages que « la punition n’a jamais constitué une dissuasion efficace et apporte un fort mince réconfort à une victime déjà morte » (ma traduction). Cependant, au lieu de recourir à la voyance, le Lone Wolf Initiative recourt au maniement d’informations.
Selon les bribes obtenues par USA Today, cette opération impliquerait donc la collecte, l’analyse et le recoupement de dossiers. USA Today mentionne :
le réexamen de dossiers d’enquête existants sur le terrorisme afin d’identifier de nouveaux suspects;
le repérage et l’analyse des cas louches d’achats de matériel (tels engrais chimiques pouvant servir à la fabrication de bombes);
la vérification des listes de prisonniers à être libérés qui auraient d’éventuels liens avec des groupes extrémistes.
L’essentiel des activités est gardé secret. Cependant, on imagine aisément le recours à la surveillance de qui fréquente les sites web de groupes extrémistes ou de pages expliquant la préparation d’attentats ainsi que d’autres habitudes ou comportement prédites par la technique du profilage criminel. Mais profilage à rebours. Car ordinairement, on part des indices liés à l’acte criminel déjà commis dont on ne connaît pas l’auteur pour produire un profil sociopsychologique de personnalité compatible avec l’acte en question. En prévention, il s’agit du profil des personnes qui pourraient être susceptibles de commettre un type de crime donné parmi toute une série d’attentats imaginables (de l’attaque-suicide à l’assassinat à distance). L’immensité de l’éventail des possibles ouvre encore une fois la porte à la surveillance généralisée.
D’autant plus qu’ici, la frontière entre le profilage criminel et le profilage politique demeure poreuse et aisée à franchir. Et qu’en outre, deux des exigences d’un travail de « police prédictive » sont la mise sous surveillance de larges groupes de la population ainsi que la préservation du secret sur les sources d’informations et la nature des traitements effectués sur ces dernières. Il devient alors difficile de vérifier l’efficacité et la nécessité des opérations en regard de leur étendue.
La prévention à l’égard d’actions d’organisations criminelles ou étatiques est plus ou moins possible par des méthodes classiques ciblées de renseignement, d’espionnage, d’infiltration et d’incitation à la délation. Autant de méthodes sans grande efficacité à l’égard d’individus se préparant isolément et discrètement. D’où l’idée de recourir plutôt à des méthodes d’identification et surveillance d’« individus à risque » ou de comportements louches qu’il serait impossible d’employer si nous ne vivions pas déjà dans une société de l’information informatisée où partout se retrouvent des dossiers et des registres qu’on peut obtenir, échanger, coupler et traiter à l’aide de machines facilitant le travail intellectuel de centaines d’analystes policiers.
Brève : Les secteurs de l’éducation, des services gouvernementaux, de la santé et des services financiers sont les plus touchés
Durant les années 2005, 2006 et 2007, il y aurait eu aux États-Unis et au Canada plus de 976 pertes ou vols de données personnelles touchant plus de 313 millions de dossiers. Ce constat résulte d’une analyse des statistiques publiée en juin 2009 par Benoît Dupont, titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie, et Benoît Gagnon, chargé de cours à l’École de criminologie, tous deux de l’Université de Montréal. Les nombres réels sont probablement beaucoup plus élevés, notamment pour le Canada où, contrairement aux États-Unis, il n’existe pas d’obligation légale de divulgation des incidents par les organisations. « L’exemple le plus médiatisé au cours des derniers moins (sic) a sans aucun doute été l’affaire TJX. Cette entreprise, qui possède au Canada les enseignes Winners et HomeSense, s’est fait dérober en 2006 les numéros de carte de crédit de 94 millions de clients nord‐américains et anglais. » Plus de la moitié de ces incidents sont attribuables, soit à des vols de matériel informatique (ex. : ordinateurs portables), soit à la négligence d’employés (ex. : erreur humaine dans le paramétrage d’un système). Le piratage informatique ne touche que 22,7 % des incidents.
Aucun secteur d’activités ne serait épargné. Cependant, ceux de l’éducation (29,0 %), des services gouvernementaux (17,1 %), de la santé (15,6 %), ainsi que les institutions financières (15,6 %) sont les quatre principaux « pourvoyeurs d’incidents ». Les auteurs sont particulièrement préoccupés par le secteur de la santé où on investit actuellement dans l’implantation des dossiers de santé électroniques, « sans avoir véritablement communiqué aux citoyens les risques associés à une telle démarche d’informatisation et les moyens mis en oeuvre pour garantir la sécurité des données médicales et personnelles des patients. Il nous apparaît par conséquent impératif que les discours des organisations publiques soient revus, et ce, afin d’informer correctement les citoyens sur les implications de la numérisation grandissante des dossiers gouvernementaux. En effet, alors que bon nombre d’organisations prônent l’informatisation totale de leurs activités en invoquant à la fois des critères d’efficacité et de sécurité, force est d’admettre que le second argument est mis à mal lorsqu’il est confronté à la réalité. » Ce que les auteurs ne soulignent pas, en outre, est le fait que les secteurs des finances et de la santé obtiennent un mauvais score identique alors que le premier est celui dont l’informatisation est la plus achevée et le second la plus embryonnaire !
Les individus sur lesquels portaient les dossiers étaient principalement :
des usagers des services publics (35,1%),
des employés des organisations concernées (22,8%), et
des clients des entreprises (20,9%).
Malheureusement, l’étude ne donne aucune indication sur le type de conséquences sur les personnes qu’ont eu ces incidents. En effet, ce n’est pas la même chose si des dossiers ont simplement été perdus sans aucune séquelle notable ou si un vol d’identité a plongé des personnes dans un enfer kafkaïen qui a bouleversé sa vie pendant des semaines. Il s’agit manifestement d’une faiblesse de ce type de recherche qui « a pour objectif de mesurer la quantité d’informations personnelles compromises (…) afin de comprendre quelles étaient les principales vulnérabilités auxquelles étaient exposées les organisations. » Les vulnérabilités et vécus des individus restent dans l’ombre. Il est d’ailleurs notable que le jargon du domaine parle de sécurité de l’information ou de protection des renseignements personnels plutôt que de sécurité et de protection des êtres humains.
In brief: Sectors of education, government, health care and financial services are the most affected
During the years 2005, 2006 and 2007, there would have been in the United States and Canada more than 976 losses or thefts of personal data affecting over 313 million records. This finding results from an analysis of statistics published (in French, a short press release available in English) in June 2009 by Benoît Dupont, who holds the Canada Research Chair in Security, Identity and Technology, and Benoît Gagnon, a lecturer at the School of Criminology, both of University of Montreal. The actual numbers are probably much higher, particularly for Canada, where, unlike in the United States, there is no legal requirement for organizations to disclose incidents. “The most publicized in recent months has undoubtedly been the TJX case. This company, which owns in Canada the Winners and HomeSense brands, was stolen the credit card numbers of 94 million North American and UK customers in 2006.” More than half of these incidents results from either to stolen hardware (e.g. laptops), or of the negligence of employees (e.g. human error in setting up a system). Computer hacking is involved in only 22.7% of incidents.
No sector of activities is spared. However, those of education (29.0%), government (17.1%), health (15.6%) and financial institutions (15.6%) are the four main sources of reported incidents. The authors are particularly concerned about the health care sector which is currently investing in the implementation of electronic health records “without having actually communicated to the public the risks associated with this computerization process and the means to ensure the security of the medical and personal information of patients. It is therefore imperative that the discourse of public organizations be reviewed, in order to properly inform citizens about the implications of the growing digitization of government records. While many organizations promote the full computerization of their activities by invoking both the criteria of efficiency and security, we must admit that the second argument is undermined when confronted to reality. “What the authors do not emphasize, moreover, is that the financial and health sectors have identical bad scores while in the first is the most comprehensively computerized and the second the least!
Individuals about whom the compromised files were mainly:
users of public services (35.1%),
employees of organisations (22.8%), and
customers of businesses (20.9%).
Unfortunately, the study gives no indication of the type of impacts on people that these incidents had. Indeed, this is not the same thing if files have simply been lost without any significant sequel or whether identity thefts has plunged individuals in a Kafkaesque hell that disrupted their life for weeks. This is clearly a weakness of this type of research which “aims to measure the amount of personal information compromises (…) to understand what were the key vulnerabilities to which organizations were exposed.” Individuals’ vulnerabilities and life experiences remain in the shadows. One also notes that the jargon of the field talks about information security and personal data protection rather than about security and protection of human beings.
À partir de faits d’actualité ou de la vie quotidienne, ce carnet explore comment des informations, des programmes et des machines organisent nos relations avec les autres êtres humains, les organisations et même la société tout entière. Car, par-delà la compréhension de la société de l’information dans laquelle nous évoluons, il nous faut apprendre à y vivre et à en influencer démocratiquement les développements.
Actuellement chercheur invité chez Communautique et chercheur associé au CEFRIO, Pierrot Péladeau œuvre depuis 1982 en évaluation sociale de systèmes d'informations sur les personnes.
Il tient aussi une chronique mensuelle à l'émission Citoyen numérique sur Radio-Montréal 101,5 et, ici sur Parole citoyenne le blogue Vivre entre les lignes et son équivalent en anglais Living in Between the Lines.
Joignable par courriel, sur Identica ou Twitter
La Ligue des droits et libertés annonce une campagne qui inclut déjà deux événements :
