Lors des débats sur le projet de loi sur le renseignement, la question "Si les données sont mal utilisées..." a été soulevée.
La députée Isabelle Attard a corrigé : "Quand les données seront mal utilisées..."
Voilà un exemple concret : l'étude Nutrinet Santé.
Je m'y suis inscrite il y a quelques années à cette étude. Au début, j'ai rempli les questionnaires régulièrement. Par exemple, tous les 6 mois, trois dates sont tirées au hasard et le participant doit noter tout ce qu'il mange dans la journée en précisant quantité, marque, etc... Inutile de dire que ces jours là, j'ai fait beaucoup plus attention à ce qu'il y avait dans mon assiette, ne serait-ce que pour réduire la durée du questionnaire.
Au fil des années, j'ai donc confié des informations très sensibles à ce site. Comme 271324 autres personnes, je faisais confiance aux chercheurs, développeurs et administrateurs systèmes de l'équipe du professeur Hercberg.
En moyenne une fois par mois, je recevais un mail de ce type :
En moyenne une fois par mois, je recevais un mail de ce type :
Received: from volprwb71 (unknown [80.12.15.20]) by mx3.medpassport.net (Postfix) with ESMTP id 4EF9814161D
From: =?utf-8?Q?Nutrinet-Sant=C3=A9?=Date: 1 Feb 2015 06:05:26 +0100
Le message part de medpassport,net, un site qui a l'air de proposer des services pour la relation de patient à médecin.
Récemment, une association a été créée. J'ai reçu un premier message m'informant de la création de l'association et m'invitant à adhérer.
Récemment, une association a été créée. J'ai reçu un premier message m'informant de la création de l'association et m'invitant à adhérer.
Received: from volprwb71 (unknown [80.12.15.20])
by mx3.medpassport.net
From: =?utf-8?Q?Nutrinet-Sant=C3=A9?=
Date: 22 May 2015 07:41:18 +0200
Je n'en voyais pas l'intérêt, mais comme je savais que les communautés d'utilisateurs étaient sans doute plus efficaces quand elles se réunissaient, qu'il y avait un lien social, etc, etc... Pourquoi pas...
Bug informatique imprévu
Le problème est vite apparu... J'ai reçu ce mail samedi 23, dimanche 24... Ça commence à ressembler à du harcèlement. Lundi 25, même message... ça devenait lourd... J'ai pensé à une "crontab" mal programmée qui exécute un programme tous les jours au lieu de tous les mois.
Comme le canard de Robert Lamoureux, le mardi matin, nouveau message :
Received: from volprwb71 (unknown [80.12.15.20])
by mx3.medpassport.net (Postfix) with ESMTP id 87646141620
From: =?utf-8?Q?Nutrinet-Sant=C3=A9?=
Date: 26 May 2015 07:31:55 +0200
J'ai donc cliqué sur le lien de l'association, utilisé le formulaire de contact à 8h18, pour leur demander d'arrêter ces envois intempestifs.
A 14h, j'ai reçu un message de "Maria" de SUVIMAX m'assurant qu'aucune donnée de Nutrinet Santé ne leur a été transmise... En effet, à chaque fois, le message vient bien de Nutrinet-Santé et partent de la machine volprwb71.
Et ce matin... Nouveau message :
Received: from volprwb71 (unknown [80.12.15.20])
by mx2.medpassport.net (Postfix) with ESMTP id 3319A12113E
From: =?utf-8?Q?Nutrinet-Sant=C3=A9?=
Date: 27 May 2015 07:38:37 +0200
Inutile de dire que le capital confiance envers Nutrinet Santé a chuté d'un coup... C'est la même machine que d'habitude qui envoie les messages. Pourquoi tout d'un coup y aurait-il un bug imprévu alors que ce message n'a rien de spécial par rapport aux autres, et par conséquent que l'algorithme doit être le même ?
Imaginant que "Maria" de SUVIMAX avait mal compris, ou mal lu mon message, je lui ai fait suivre ce septième opus... Là, j'ai constaté l'ampleur du problème, en voyant sur le site web de l'association :
J'aime beaucoup le concept de bug informatique imprévu. Que dire si le bug avait été prévu ?
En lisant ce message, on a l'impression que c'est l'association qui a géré l'envoi massif de mail, et non l'équipe de Nutrinet Santé. Aurait-elle eu nos données contrairement à ce qui est annoncé ? Ou alors, est-ce cette mystérieuse SUVIMAX qui aurait mal géré le tout ?
Autant l'erreur humaine (par exemple un espace de trop dans /etc/crontab) me semble plausible et excusable, autant là, le "bug informatique imprévu" ne sent pas très bon. L'erreur peut se réparer en une minute une fois que le problème a été signalé. Si l'association a peu de moyen, pourquoi vouloir contacter 271325 personnes alors que tout n'est pas en place ?
Si ce sont les scientifiques de Nutrinet Santé qui ont envoyé les messages sans transmettre nos informations à l'association, pourquoi celle-ci s'excuse-t-elle sur son site ? Outre l'aveu du manque de compétence de la part de SUVIMAX le mélange des responsabilités génère un certain flou dans le "qui fait quoi ?"
Ce n'est pas dramatique. Le site de Nutrinet Santé comporte un formulaire pour quitter l'étude. Je l'ai rempli en indiquant la raison et en demandant l'effacement des données me concernant. J'ai reçu un message de confirmation, venant cette fois d'une autre machine, appartenant à France-Telecom (ces-out.ft-hebergement.com).
Received: from ces-out.ft-hebergement.com ([127.0.0.1]) by localhost (ces-out.ft-hebergement.com [127.0.0.1]) (amavisd-new, port 10024) Wed, 27 May 2015 18:54:22 +0200 (CEST) MIME-Version: 1.0 From: =?utf-8?Q?Nutrinet-Sant=C3=A9?=Date: 27 May 2015 18:54:22 +0200
A quand un bug imprévu dans les algorithmes ?
Ce bug informatique imprévu ne concerne "que" 271325 individus. N'y aura-t-il pas de bug informatique imprévu dans les algorithmes du projet de loi renseignement ? Combien de millions de personnes verront leurs données sensibles confiées à des structures qui se mettent en place avec peu de moyens ?
Commentaires