inicio sindicaci;ón

Vivre entre les lignes

À partir de faits d’actualité ou de la vie quotidienne, ce carnet explore comment des informations, des programmes et des machines organisent nos relations avec les autres êtres humains, les organisations et même la société tout entière. Car, par-delà la compréhension de la société de l’information dans laquelle nous évoluons, il nous faut apprendre à y vivre et à en influencer démocratiquement les développements.

Campagne sur les renseignements personnels

AgendaLa Ligue des droits et libertés annonce une campagne qui inclut déjà deux événements :

Soirée d’information et d’échange sur les Projets de loi C46 et C47

La surveillance des communications électroniques : Une dangereuse intrusion dans nos vies

Lundi 2 novembre 2009 à 19 h.

Salle R-M130, UQAM (315, rue Ste-Catherine Est, Montréal)

À une époque où les nouvelles technologies font partie du quotidien et où de plus en plus d’informations sur tous les aspects de nos vies circulent dans le cyberespace, le gouvernement a déposé deux projets de loi qui lui donneront un plus grand accès aux données qui transitent par les fournisseurs de services de communication électronique.

Colloque sur la protection des renseignements personnels

On nous fiche ! Ne nous en fichons pas

Colloque sur la protection des renseignements personnels à l’ère des technologies de l’information et des communications

29 et 30 janvier 2010

Vendredi soir, Salle Marie-Gérin-Lajoie, UQAM (Pavillon Judith-Jasmin, 405, rue Ste-Catherine Est, Montréal)

Samedi, 30 janvier 2010 à l’UQAM (détails à venir)

« Présentement, le Canada se dirige dangereusement vers une société de surveillance. (…) La protection de la vie privée est un élément crucial d’une société libre ; sans elle, il n’y a pas de réelle liberté. » Jennifer Stoddart, Commissaire à la Protection de la Vie privée du Canada.

Activités organisées par la Ligue des droits et libertés

Informations : 514-849-7717Tablette d'écriture cunéiforme

Catégories : Agenda
Mots clés: ,

Les dépendants du Palmarès

Des pièges des statistiques, en marge du documentaire Les enfants du Palmarès

ObservationsNotions abordées : Les informations personnelles permettent un formidable accroissement des connaissances sur les individus, les groupes et les sociétés

Un nombre croissant de décisions concernant les individus et les organisations sont fondées sur des informations personnelles ou des informations dérivées

Un ensemble d’informations personnelles décrit moins un être humain en particulier qu’une relation entre des personnes

Les informations personnelles ne sont ni données, ni reflet idéal de la réalité: elles sont des artéfacts,  des objets fabriqués par des êtres humains en vue de la réalisation d’un objectif précis

Les conflits relatifs aux informations peuvent porter sur n’importe quelle dimension de leur production ou de leur utilisation
les-enfants-du-palmares

Avant même qu’il soit diffusé, le film Les enfants du Palmarès de la réalisatrice Marie-Josée Cardinal fait déjà beaucoup parler. Ce documentaire sera présenté à la télévision sur Canal D le dimanche 18 octobre 2009 à 19h ainsi que le lundi le 19 octobre à 13h. Ce film traite des angoisses vécues chez plusieurs parents et enfants qui cherchent à réussir, coute que coute, l’accès à une place dans les écoles privées les plus cotées ainsi que ce qui arrive à ceux qui échouent ou réussissent d’y être admis.

Le palmarès du titre réfère au désormais Palmarès des écoles secondaires du Québec (ici en format PDF) publié depuis 10 ans par le magazine L’Actualité. C’est de ce tableau comparatif des écoles que je vais discuter ici.

Nous nous sommes donné au Québec la liberté de choisir pour nos enfants parmi un éventail d’écoles, programmes d’études et projets éducatifs. Un embarras du choix que j’ai vécu comme tout autre parent. Embarras que le Palmarès complique par ses faiblesses, mais surtout parce qu’il demeure l’unique guide comparatif grand public disponible.

J’utilise le Palmarès depuis sa création. Notamment lors de visites des écoles où je songeais à inscrire ma plus jeune. Le Palmarès offre une illustration particulièrement parlante pour des élèves de quatrième secondaire des rôles que les informations personnelles jouent désormais dans la vie informatisée des individus, organisations et sociétés. Car en échange de causeries visant à susciter l’intérêt pour des carrières scientifiques, des conseillères en orientations m’offraient accès au quotidien de leur école hors des mises en scène des journées portes ouvertes.

Partant du bulletin scolaire, j’expliquais aux élèves la société de l’information et l’importance des diverses disciplines techniques et scientifiques associées. Tout d’abord, comment des informations personnelles parlent rarement d’une personne en particulier, mais plutôt d’une relation entre plusieurs personnes. Ainsi, le bulletin ne parle pas que de l’élève, mais aussi de ses enseignants. Une direction peut donc utiliser les informations du bulletin pour évaluer le travail de ses enseignants, individuellement et collectivement.

Si visualisée plein écran, commander « autoplay » pour lancer

Compilées, ces informations des bulletins permettent également de produire des portraits par école, par commission scolaire, entre écoles ou entre commissions scolaires, pour le Québec ou entre pays. La petite animation incluse dans ce billet illustre comment. Ces différentes compilations d’informations permettent de constituer des portraits de la performance des élèves, des enseignants, des écoles, des commissions scolaires, d’un système scolaire, d’un pays. Ils structurent les discussions, les débats publics et la prise de décisions diverses. Notamment celle du choix d’une école secondaire.

Or, les bulletins, compilations et palmarès sont conçus en vue de réaliser des objectifs précis. Adéquatement produits pour une tâche, ils s’avèrent souvent défaillants pour une autre. En outre, il faut s’assurer que la production de ceux-ci ne nous coupent pas de la réalité même que nous souhaitons saisir. Lire la suite »

Catégories : Observations
Mots clés: , , , , , , , , ,

Si vos pillules vous téléphonaient pour signaler que vous n’avez pas pris votre médicament ?

Les compagnies pharmaceutiques veulent que vous suiviez les prescriptions des médecins

ObservationsNotions abordées : De plus en plus d’informations personnelles sont produites sur les individus… et de plus en plus par des objets autour de vous

Ces informations permettent de réguler les relations interpersonnelles avec une efficacité croissante

Un article du Financial Times signale que la compagnie pharmaceutique Novartis teste actuellement une technologie qui recoure à l’insertion d’une minuscule micropuce dans chaque pilule que vous devez prendre. Une autre puce émettrice-réceptrice implantée dans l’épaule du patient détecte la prise ou non de chaque pilule. Si la personne ne suit pas l’ordonnance du médecin, la puce émettrice-réceptrice enclenche l’envoi d’un message texte de rappel sur son téléphone cellulaire.

Les tests effectués sur 20 patients prenant du Diovan, un médicament abaissant la pression artérielle, auraient renforcé de 30 % à 80 % l’observance de la prescription après six mois.

On peut imaginer l’intérêt d’une technologie pour les gens qui ont tendance à éviter ou oublier de prendre leurs médicaments ainsi que pour rassurer les personnes qui peuvent oublier si elles les ont bien pris ou non. La même technologie pourrait donc également éviter les surdoses.

chip_on_a_pill

Cependant, le Financial Times précise que l’intérêt premier des compagnies pharmaceutiques est évidemment d’augmenter les ventes de leurs médicaments, particulièrement dans le cas de maladies chroniques comme l’hypertension et le diabète. Ces entreprises ont tout intérêt à ce que les patients suivent rigoureusement leur prescription de médicaments lucratifs sur de nombreuses années.

Cette nouvelle appelle deux observations. Lire la suite »

Catégories : Observations
Mots clés: , , , , , ,

J’aurai fait ceci, mais les sondages m’incitent plutôt à faire cela !

Par exemple, nos décisions individuelles économiques, électorales et face à la grippe

Prolongement par écrit d’une chronique radio offerte le 17 septembre 2009 à l’émission Citoyen numérique sur 101,5 Radio Montréal.

Notion abordée : Un nombre croissant de décisions concernant les individus, les groupes et les sociétés sont fondées sur des informations personnelles ou des informations dérivées

Il nous faut l’admettre : nos décisions individuelles, nos comportements et nos opinions sont souvent influencés par des informations sur ce que font, pensent ou vivent nos concitoyens. Ces informations proviennent, par exemple, de sondages d’opinions ou de compilations de statistiques diverses, souvent résumés par les médias.

Grâce à l’informatique, il est désormais possible de manier et de transformer ces informations de mille manières.

Grâce au web, il nous est possible de rediffuser les nouvelles informations sous des formes interactives qui facilitent la prise de décision individuelle… et même d’en mesurer ensuite les conséquences sur la collectivité.

Lire la suite »

Catégories : Chroniques radio, Observations
Mots clés: , , , , , , ,

« Une carte d’identité avec photo, s’il vous plait »

Vie pratique - Du recueil illégal d’informations par des commerçants et autres organismes

Vie pratiqueHier, une proche me dit qu’elle a dû refuser un cadeau de 25 dollars d’un marchand. Une caissière lui offrait 25 dollars s’il elle prenait la carte de crédit de cette chaine de magasins. Un autre client lui avait dit : « Accepte l’offre. Moi, j’ai pris la carte. J’ai fait un achat avec pour profiter du cadeau. Puis j’ai fait annuler la carte. » Bon, 25 dollars pour deux minutes de paperasse, ce n’est pas un mauvais échange.

Elle a donc accepté offre et la caissière a aussitôt commencé à remplir le formulaire pour elle. Naturellement, la caissière a demandé la présentation d’une pièce d’identité avec photo. La cliente a offert son permis de conduire qui porte son nom, son adresse de domicile ainsi que des photos d’elle et de sa signature. C’est alors que la caissière inscrit le numéro de permis de conduire sur le formulaire. La cliente l’interrompt : « mais vous n’avez pas le droit de noter le numéro de permis de conduire ». Ceci est légalement vrai. Au Québec, il est clairement énoncé que les numéros de permis de conduire et d’assurance-maladie ne peuvent être recueillis que pour les fins associées à l’application du Code de la route et de la Loi sur l’assurance-maladie, respectivement. Ailleurs au Canada, au minimum, le principe de nécessité des lois de protection des renseignements personnels restreint une telle collecte.

permis-de-conduire

La caissière a alors répondu qu’on l’obligeait à recueillir le numéro pour l’émission de la carte. Elle exhibe la section du formulaire prévue à cet effet comme preuve à l’appui de son affirmation.

Face à l’impasse, la cliente décide d’annuler sa demande. Elle se fait remettre le formulaire et le déchire en petit morceau. Elle va aussi porter plainte à la Commission d’accès à l’information pour faire cesser cette pratique.

Ce n’est pas ce que j’aurai fait. Mais d’abord quelques explications. Lire la suite »

Catégories : Observations, Vie pratique
Mots clés: , , ,

Émancipation ou exploitation en ligne des patients

Qui contrôle - et à qui profite - une communauté de partage d’informations personnelles en ligne ?

ObservationsNotion abordée :Nos informations personnelles deviennent une ressource stratégique.

L’histoire racontée par Sarah Arnquist du New York Times est exemplaire du pouvoir qu’Internet permet à un groupe de se donner.  En 2005, Amy Farber apprend qu’elle est atteinte de lymphangioleiomyomatose (LAM), une maladie complexe, encore sans remède, qui conduit ultimement à la mort et touchant surtout des femmes. Or, la LAM est une maladie très rare. Elle est donc peu étudiée. Amy Farber décide de consacrer ce qui reste de sa vie à développer les moyens susceptibles d’augmenter et d’accélérer la recherche d’un traitement. Elle fonde donc le LAM Treatment Alliance afin de lever des fonds et réseauter des chercheurs à travers la planète. Se rendant aussi compte que la rareté des cas de LAM est en elle-même un obstacle à la recherche, Farber suscite la création du portail Web LAMsight qui permet aux patientes du monde entier de partager leurs expériences et d’alimenter des bases de données au service des chercheurs, des professionnels de la santé et des patientes elles-mêmes.

Amy Farber est d’avis que la création de communautés de patients en ligne est susceptible de transformer la recherche médicale, tout particulièrement dans le cas de maladies rares dont les patients sont dispersés, difficiles à recruter et ne constituent pas un marché potentiellement lucratif susceptible d’intéresser les compagnies pharmaceutiques à investir. Ces communautés peuvent augmenter le pouvoir des patients qui contribuent activement à l’activité de recherche, soumettent des questions à élucider et participent à l’orientation des travaux.  D’autant plus que l’expérience et les observations quotidiennes des patients constituent une source de données précieuses largement sous-utilisées jusqu’ici.

Cependant, la journaliste confond les différentes formes que peuvent prendre ces communautés en ligne de patients en les associant toutes à une sorte de « démocratisation » de la recherche. Une grave erreur. Tout particulièrement lorsqu’elle réfère à d’autres « communautés en ligne » mises en place par des compagnies pharmaceutiques ou des entreprises offrant des services de tests génétiques. Ne faut surtout pas mêler les pommes, les carottes et la mauvaise herbe. Derrière la vitrine des conviviales interfaces du Web 2.0 et les mots « communauté en ligne » on peut trouver,  en arrière-boutique, des réalités et façons de faire fort différentes.

Qui contrôle quoi… et donc qui

La formule « l’information, c’est le pouvoir » est bien connue.  Dans les mondes de la gestion et de l’informatique, la formule « l’information est une ressource » n’en est qu’une variante. La question de qui contrôle effectivement « la ressource » est capitale, car elle détermine les rapports entre les individus, les groupes et les organisations.

En recherche biomédicale, les acteurs intéressés peuvent être nombreux : les patients et leurs associations, les chercheurs et les centres de recherches, les professionnels de la santé et les établissements, les entreprises commerciales du domaine biomédical ou autre. Les structures de communication, de collaboration et de pouvoir entre eux peuvent s’organiser de bien des manières, avec des effets tout aussi différents.

La recherche

Dans une infrastructure de recherche biomédicale universitaire classique, ce sont les chercheurs qui sont en contrôle des bases de données. Les chercheurs s’approprient les informations produites sur les patients, même celles que ces derniers ont produites eux-mêmes. Dans beaucoup de cas, les chercheurs gardent jalousement pour eux ces données qui représentent un avantage concurrentiel sur leurs concurrents.

Dans le cas de grosses et coûteuses banques de données financées largement par des fonds publics, un regroupement beaucoup plus large de chercheurs et d’établissements peut contrôler l’infrastructure et en permettre l’accès éventuellement à tout chercheur ayant un projet de recherche crédible.

Aujourd’hui, se développe également diverses variantes de la philosophie de recherche ouverte (open data) où il s’agit d’ouvrir largement l’accès aux banques de données à toute personne intéressée, y compris par leur publication directement sur le Web.

Jusqu’à ce jour, les rôles et pouvoirs que pouvaient exercer les patients sur les informations demeuraient cependant marginaux.

Le commerce

Dans une infrastructure à fin commerciale classique, l’entreprise a intérêt à conserver un maximum de contrôle sur les informations, leurs utilisations et leurs communications. On sait aujourd’hui à quel point les compagnies pharmaceutiques vont chercher à filtrer le plus possible la publication des données et des résultats afin de mousser la réputation et la valeur commerciale de leurs produits. Quitte à cacher leur dangerosité. Elles vont aussi éviter de partager des informations qui risqueraient de donner un avantage stratégique à leurs concurrents. Quitte à étouffer l’avancement des connaissances.

Les patients peuvent avoir quelque pouvoir ici s’ils représentent un marché solvable (c’est-à-dire capable de payer un produit profitable).

L’information peut même être ce produit, comme pour ce service de tests génétiques vendus aux patients à 99 $ US.

Les patients

Arrivent soudain les patients qui peuvent désormais compiler eux-mêmes des quantités importantes d’informations précieuses grâce à des formulaires en ligne, des forums de discussions ou des branchements directs d’appareils médicaux à leur ordinateur ou téléphone.

Si ces patients s’organisent entre eux pour contrôler collectivement leurs informations, ils peuvent en négocier l’accès en échange un certain pouvoir d’influence sur le développement de la recherche ainsi que de certaines compensations financières ou en nature.

Par contre, si ce sont des centres de recherches ou des compagnies pharmaceutiques qui tentent de les recruter un à un en leur offrant de participer à une « communauté en ligne », le pouvoir effectif des patients pourrait être nettement moins grand, voire simplement symbolique, ou même carrément nul.

À moins, que les patients utilisent précisément leur « communauté » pour s’organiser et négocier collectivement…

Bref, par delà des étiquettes et du jargon du fameux Web 2.0, il faut savoir détecter qui, derrière les interfaces, contrôle effectivement l’information.Tablette d'écriture cunéiforme

Catégories : Observations
Mots clés: , , , ,

“Predictive Policing” to Stop Crime Before It Is Committed

In Brief: About Obama Administration’s Lone Wolf Initiative against Solo Hate Attacks

ObservationsWere you among those who believed that the transition from Bush to Obama would put an end to the paranoia fuelling ever increasing surveillance? Sorry. The election of a centrist president of mixed ancestry is way too much for many amongst racist or anti-state right-wing extremist fringes who, since, raged in hate speech and rushed to buy weapons. So much that, shortly after Obama’s inauguration, the federal administration launched a program to detect isolated individuals who want to resort to violence, as have recently done the killers of a Kansas physician who practiced abortions or of a security guard at the Holocaust Memorial Museum in Washington.

Book Cover

This operation, known as Lone Wolf Initiative, aims, not at known organizations, but rather at isolated individuals who could secretly be preparing an attack in order to thwart them before they act. An objective that some say is reminiscent of the predictive policing of the Precrime department in The Minority Report, Philip K. Dick’s novel in which one character says that “punishment was never much of a deterrent and could scarcely have afforded comfort to a victim already dead”. However, instead of relying on clairvoyance, Lone Wolf Initiative handles personal information.

According to the few bits obtained by USA Today, this operation would involve records’ collection, analysis and cross-referencing. USA Today mentions:

  • review of existing investigation files on terrorism in order to identify new suspects;
  • detection and analysis of suspicious purchases (such as of chemical fertilizers that can be used to make a bomb);
  • checking lists of prisoners to be released who could have links with extremist groups.

Details are kept secret. However, it is easy to imagine use of surveillance about who visit websites of extremist groups or pages explaining how to plan attacks as well as other habits or behaviours predicted by offender profiling techniques. But with some kind of “reverse profiling”.  Indeed, offender profiling usually starts from the clues about an already committed crime of unknown origin to produce a social and psychological personality profile consistent with the conduct. In preventive policing, the profile is of people who might commit one among many imaginable assaults (from direct suicide attacks to assassination attempt made from a distance). The sheer size of the range of possibilities opens again the door to widespread surveillance.

Especially in such cases, the boundary between criminal and political profiling remains porous and easy to cross. Moreover, two of the requirements of “predictive policing” are the surveillance of many people and the preservation of secrecy about the information sources and the kinds of processing performed on it. Thus, it becomes difficult to democratically verify the necessity, scope and effectiveness of these operations.

Prevention against actions of criminal or state organizations is more or less possible by conventional methods of targeted intelligence, espionage, infiltration and use of informers. All methods that are ineffective with lone individuals. Hence the idea of using alternative methods for identification and monitoring of suspicious behaviours as well as of individuals who represent a risk. All means that would be impossible to envision if we did not already live in a computerized information society in which there are files and records to be found everywhere and thus can be obtained, matched and processed by machines facilitating the intellectual work of hundreds of police investigators and analysts.Tablette d'écriture cunéiforme

Catégories : Brèves, Observations
Mots clés: , , , ,

« Police prédictive » afin de stopper le crime avant qu’il ne soit commis

Brève : Du Lone Wolf Initiative de l’administration Obama contre les attentats politiques haineux en solo

ObservationsÉtiez-vous de ceux qui croyaient que le passage de Bush à Obama mettrait fin à la paranoïa alimentant l’usage de la surveillance ? Désolé. L’élection d’un président métis centriste est déjà beaucoup trop pour toute une frange d’extrémistes d’extrême droite racistes ou anti-étatiques qui, depuis, se déchainent en discours haineux et se ruent acheter des armes. Au point, que peu après l’investiture d’Obama, l’administration fédérale a lancé un programme visant à détecter les individus isolés qui voudraient passer aux actes, comme l’ont fait récemment les meurtriers d’un médecin du Kansas qui pratiquait des avortements ou d’un gardien de sécurité au musée de l’Holocauste à Washington.

Book Cover

Cette opération, connue sous le nom de Lone Wolf Initiative, vise donc à repérer, non pas les organisations connues, mais les individus solitaires qui prépareraient en secret un attentat afin de les déjouer avant qu’ils ne s’exécutent. Objectif qui, selon certains, n’est pas sans rappeler le travail de police prédictive du Service de Précrime dans Rapport minoritaire, une nouvelle de Philip K. Dick qui faisait d’ailleurs dire à un de ses personnages que « la punition n’a jamais constitué une dissuasion efficace et apporte un fort mince réconfort à une victime déjà morte » (ma traduction). Cependant, au lieu de recourir à la voyance, le Lone Wolf Initiative recourt au maniement d’informations.

Selon les bribes obtenues par USA Today, cette opération impliquerait donc la collecte, l’analyse et le recoupement de dossiers. USA Today mentionne :

  • le réexamen de dossiers d’enquête existants sur le terrorisme afin d’identifier de nouveaux suspects;
  • le repérage et l’analyse des cas louches d’achats de matériel (tels engrais chimiques pouvant servir à la fabrication de bombes);
  • la vérification des listes de prisonniers à être libérés qui auraient d’éventuels liens avec des groupes extrémistes.

L’essentiel des activités est gardé secret. Cependant, on imagine aisément le recours à la surveillance de qui fréquente les sites web de groupes extrémistes ou de pages expliquant la préparation d’attentats ainsi que d’autres habitudes ou comportement prédites par la technique du profilage criminel. Mais profilage à rebours. Car ordinairement, on part des indices liés à l’acte criminel déjà commis dont on ne connaît pas l’auteur pour produire un profil sociopsychologique de personnalité compatible avec l’acte en question. En prévention, il s’agit du profil des personnes qui pourraient être susceptibles de commettre un type de crime donné parmi toute une série d’attentats imaginables (de l’attaque-suicide à l’assassinat à distance). L’immensité de l’éventail des possibles ouvre encore une fois la porte à la surveillance généralisée.

D’autant plus qu’ici, la frontière entre le profilage criminel et le profilage politique demeure poreuse et aisée à franchir. Et qu’en outre, deux des exigences d’un travail de « police prédictive » sont la mise sous surveillance de larges groupes de la population ainsi que la préservation du secret sur les sources d’informations et la nature des traitements effectués sur ces dernières. Il devient alors difficile de vérifier l’efficacité et la nécessité des opérations en regard de leur étendue.

La prévention à l’égard d’actions d’organisations criminelles ou étatiques est plus ou moins possible par des méthodes classiques ciblées de renseignement, d’espionnage, d’infiltration et d’incitation à la délation. Autant de méthodes sans grande efficacité à l’égard d’individus se préparant isolément et discrètement. D’où l’idée de recourir plutôt à des méthodes d’identification et surveillance d’« individus à risque » ou de comportements louches qu’il serait impossible d’employer si nous ne vivions pas déjà dans une société de l’information informatisée où partout se retrouvent des dossiers et des registres qu’on peut obtenir, échanger, coupler et traiter à l’aide de machines facilitant le travail intellectuel de centaines d’analystes policiers.Tablette d'écriture cunéiforme

Catégories : Brèves, Observations
Mots clés: , , ,

Plus de 300 millions de dossiers personnels égarés. Et puis après ?

Brève : Les secteurs de l’éducation, des services gouvernementaux, de la santé et des services financiers sont les plus touchés

ObservationsDurant les années 2005, 2006 et 2007, il y aurait eu aux États-Unis et au Canada plus de 976 pertes ou vols de données personnelles touchant plus de 313 millions de dossiers. Ce constat résulte d’une analyse des statistiques publiée en juin 2009 par Benoît Dupont, titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie, et Benoît Gagnon, chargé de cours à l’École de criminologie, tous deux de l’Université de Montréal. Les nombres réels sont probablement beaucoup plus élevés, notamment pour le Canada où, contrairement aux États-Unis, il n’existe pas d’obligation légale de divulgation des incidents par les organisations. « L’exemple le plus médiatisé au cours des derniers moins (sic) a sans aucun doute été l’affaire TJX. Cette entreprise, qui possède au Canada les enseignes Winners et HomeSense, s’est fait dérober en 2006 les numéros de carte de crédit de 94 millions de clients nord‐américains et anglais. » Plus de la moitié de ces incidents sont attribuables, soit à des vols de matériel informatique (ex. : ordinateurs portables), soit à la négligence d’employés (ex. : erreur humaine dans le paramétrage d’un système). Le piratage informatique ne touche que 22,7 % des incidents.

Wiki Commons Logo

Aucun secteur d’activités ne serait épargné. Cependant, ceux de l’éducation (29,0 %), des services gouvernementaux (17,1 %), de la santé (15,6 %), ainsi que les institutions financières (15,6 %) sont les quatre principaux « pourvoyeurs d’incidents ». Les auteurs sont particulièrement préoccupés par le secteur de la santé où on investit actuellement dans l’implantation des dossiers de santé électroniques, « sans avoir véritablement communiqué aux citoyens les risques associés à une telle démarche d’informatisation et les moyens mis en oeuvre pour garantir la sécurité des données médicales et personnelles des patients. Il nous apparaît par conséquent impératif que les discours des organisations publiques soient revus, et ce, afin d’informer correctement les citoyens sur les implications de la numérisation grandissante des dossiers gouvernementaux. En effet, alors que bon nombre d’organisations prônent l’informatisation totale de leurs activités en invoquant à la fois des critères d’efficacité et de sécurité, force est d’admettre que le second argument est mis à mal lorsqu’il est confronté à la réalité. » Ce que les auteurs ne soulignent pas, en outre, est le fait que les secteurs des finances et de la santé obtiennent un mauvais score identique alors que le premier est celui dont l’informatisation est la plus achevée et le second la plus embryonnaire !

Les individus sur lesquels portaient les dossiers étaient principalement :

  • des usagers des services publics (35,1%),
  • des employés des organisations concernées (22,8%), et
  • des clients des entreprises (20,9%).

Malheureusement, l’étude ne donne aucune indication sur le type de conséquences sur les personnes qu’ont eu ces incidents. En effet, ce n’est pas la même chose si des dossiers ont simplement été perdus sans aucune séquelle notable ou si un vol d’identité a plongé des personnes dans un enfer kafkaïen qui a bouleversé sa vie pendant des semaines. Il s’agit manifestement d’une faiblesse de ce type de recherche qui « a pour objectif de mesurer la quantité d’informations personnelles compromises (…) afin de comprendre quelles étaient les principales vulnérabilités auxquelles étaient exposées les organisations. » Les vulnérabilités et vécus des individus restent dans l’ombre. Il est d’ailleurs notable que le jargon du domaine parle de sécurité de l’information ou de protection des renseignements personnels plutôt que de sécurité et de protection des êtres humains.Tablette d'écriture cunéiforme

Catégories : Brèves, Observations
Mots clés: , , , , , , ,

More than 300 million personal records compromised. So what?

In brief: Sectors of education, government, health care and financial services are the most affected

ObservationsDuring the years 2005, 2006 and 2007, there would have been in the United States and Canada more than 976 losses or thefts of personal data affecting over 313 million records. This finding results from an analysis of statistics published (in French, a short press release available in English) in June 2009 by Benoît Dupont, who holds the Canada Research Chair in Security, Identity and Technology, and Benoît Gagnon, a lecturer at the School of Criminology, both of University of Montreal. The actual numbers are probably much higher, particularly for Canada, where, unlike in the United States, there is no legal requirement for organizations to disclose incidents. “The most publicized in recent months has undoubtedly been the TJX case. This company, which owns in Canada the Winners and HomeSense brands, was stolen the credit card numbers of 94 million North American and UK customers in 2006.” More than half of these incidents results from either to stolen hardware (e.g. laptops), or of the negligence of employees (e.g. human error in setting up a system). Computer hacking is involved in only 22.7% of incidents.

Wiki Commons Logo

No sector of activities is spared. However, those of education (29.0%), government (17.1%), health (15.6%) and financial institutions (15.6%) are the four main sources of reported incidents. The authors are particularly concerned about the health care sector which is currently investing in the implementation of electronic health records “without having actually communicated to the public the risks associated with this computerization process and the means to ensure the security of the medical and personal information of patients. It is therefore imperative that the discourse of public organizations be reviewed, in order to properly inform citizens about the implications of the growing digitization of government records. While many organizations promote the full computerization of their activities by invoking both the criteria of efficiency and security, we must admit that the second argument is undermined when confronted to reality. “What the authors do not emphasize, moreover, is that the financial and health sectors have identical bad scores while in the first is the most comprehensively computerized and the second the least!

Individuals about whom the compromised files were mainly:

  • users of public services (35.1%),
  • employees of organisations (22.8%), and
  • customers of businesses (20.9%).

Unfortunately, the study gives no indication of the type of impacts on people that these incidents had. Indeed, this is not the same thing if files have simply been lost without any significant sequel or whether identity thefts has plunged individuals in a Kafkaesque hell that disrupted their life for weeks. This is clearly a weakness of this type of research which “aims to measure the amount of personal information compromises (…) to understand what were the key vulnerabilities to which organizations were exposed.” Individuals’ vulnerabilities and life experiences remain in the shadows. One also notes that the jargon of the field talks about information security and personal data protection rather than about security and protection of human beings.Tablette d'écriture cunéiforme

Catégories : Brèves, Observations
Mots clés: , , , , , ,

Billets suivants »