Nous sommes rarement confrontés à des problèmes éthiques à l’agu3l. La plupart du temps nous essayons de convaincre les gens de quitter les logiciels privateurs et de passer sur du libre, ou nous les aidons à le faire. Ça fait longtemps que nous avons tranché sur le côté éthique de notre action principale, et nous sommes convaincus de l’aspect positif de cette activité à la fois sur les individus et sur la société.

Nous avons certaines règles qui nous mettent en général à l’abri de mauvaises surprises :

  • respecter la volonté des personnes qui viennent nous voir, ne pas forcer les gens. Au pire nous refusons de les aider à installer Windows, mais en aucun cas nous ne faisons de libération surprise 1.
  • être honnêtes sur les avantages, les inconvénients et les capacités des logiciels libres. Oui, vous risquez d’avoir des soucis avec vos macros excel si vous passez sous libre office (ne faites pas de macros excel…).
  • être désinteressés. Nous n’avons pas d’intêret financier personnel dans nos activités associatives. Nous ne nous faisons pas payer individuellement, et les cadeaux en nature sont partagés.

On nous a cependant soumis un cas plus litigieux, et qui a entrainé certaines discussions très intéressantes.

Le cas “Josiane”

Josiane2 nous a contactés sur TMS pour nous demander de l’aide :

J’ai une demande particulière : j’ai trouvé un ordinateur, sans doute volé dans une voiture. Après avoir appelé le 17, être passée à la gendarmerie, à la police municipale… visiblement ils ne sont pas très intéressés pour retrouver le propriétaire. Moi oui ! Pensez-vous pouvoir trouver le propriétaire si je vous l’apporte ?

Josiane est très bien notée sur TMS et semble à première vue être digne de confiance.

Le contre

Deux arguments ont été formulés pour refuser : « Je vole le PC de qqn, je prétends que je l’ai apporté à la gendarmerie et qu’ils s’en foutent. Et je cherche les données sur la personne pour des raisons personnelles… ». Autrement dit, un mensonge de la part de la demandeuse pour faire une intrusion informatique.

Et « En plus si c’est pas un Linux à la base, autant aller chez Blondi dépa' PC au coin de la rue… » Soit : notre tasse de thé c’est le libre.

Et enfin : l’intrusion sur un système informatique sans l’accord du propriétaire est illégale.

Le pour

Le respect des principes fondamentaux est primordial en sécurité de l’information. Si nous les respectons, alors l’action est légitime :

  • Licéité : nous nous basons ici sur l’intêret légitime du propriétaire. Le but est de lui restituer son bien. En passant c’est ça le vrai intêret légitime suivant le RGPD, celui de la personne, pas celui de la régie publicitaire.
  • Finalité : le but est exclusivement de retrouver les coordonnées du propriétaire pour le contacter et lui rendre son matériel. Il n’y a pas d’autres finalité, même pas de lui proposer de passer sous Linux.
  • Proportionnalité : nous recherchons un nom, une adresse postale, une adresse mail ou un compte facebook. Nous ne fouillerons pas dans les autres données qui ne correspondent pas à la finalité.
  • Exactitude : tout doit être fait pour que les données traitées soient exactes (par exemple un service de notation des particuliers pour les crédits ne doit pas stocker de fausses informations). Ce n’est pas vraiment applicable ici puisque nous ne conserverons pas les données, et donc il n’y a pas de raison qu’elles soient corrigées dans le futur.
  • Limitation de conservation : nous ne conserverons rien de plus que les données de contact jusqu’à la restitution, puis plus rien après.
  • Sécurité : nous devons nous assurer que les données (et en particulier les données personnelles) soient en sécurité. Étant donné le type des données (adresse email, adresse postale, nom) et le peu de données, ne pas les rendre publiques et conserver une diffusion restreinte devrait être suffisant (par exemple je ne les mettrai pas ici). Il ne faudra pas donner d’informations sur ce que nous avons trouvé à d’autres personnes que le propriétaire.
  • Responsabilité : il faut documenter comment et pourquoi nous traitons les données. C’est ce que fait cet article.

Tous ces points sont discutables. On pourrait arguer que peut-être le propriétaire met la valeur de sa vie privée au-dessus de la valeur de son bien. Mais la réflexion a été faite de bonne foi.

Est-ce que Josiane a volé le PC de son voisin pour combler sa curiosité, ou même lui nuire ? Nous ne pouvons pas savoir avec certitude. Mais nous ne sommes pas la police, ce n’est pas notre travail d’enquêter sur Josiane et ses motivations. Bien entendu, s’il était évident que c’était du matériel volé, nous refuserions d’y toucher. Mais en l’espèce, il n’y a aucun indice dans ce sens. Nous n’allons pas commencer à demander les factures de tous ceux qui nous demandent une install linux.

Pour l’argument du libre, il y a effectivement de bonnes chances que ce soit un Windows. Mais nous allons utiliser des outils libres, et surtout les valeurs du libre : entre-aide, solidarité.

Enfin, pour l’argument légal, c’est plus compliqué. Si le propriétaire porte plainte, c’est répréhensible. Quelqu’ait été le but, les conditions, etc… Il va falloir compter sur sa compréhension, sur l’absence de préjudice.

Mise en pratique

Finalement, j’ai décidé de le faire.

Comme le PC ne démarrait même pas, nous avons connecté le disque sur une autre machine.

Honnêtement, la pêche a été maigre.

Pas de documents officiels qui auraient pu contenir un nom et une adresse. Pas de pdf téléchargés, pas de favoris contenant un nom de login.

Nous avons obtenu trois adresses mails utilisées pour se connecter à Facebook dans l’historique de navigation. Nous avons trouvé et regardé une photo, pour que Josiane puisse voir si c’était un de ses voisins et qu’on puisse comparer avec les photos de profil facebook.

Finalement, le PC n’a été que peu utilisé (ou nettoyé peu de temps avant), et surtout les derniers fichiers dataient de 2014… C’était une vieille machine, présentant peu de valeur, et contenant peu de données. Nous avons donc jugé que l’intêret du propriétaire de retrouver son PC était finalement assez limité et nous n’avons pas beaucoup insisté.

Josiane est partie avec les trois adresses mail et va les contacter.

Conclusions

Il est facile de partir avec plein de bonnes intentions, et de les oublier et se faire embarquer lorsque vient le moment de la mise en pratique.

Par exemple, nous sommes allé voir des photos et l’historique de navigation, alors que pendant la réflexion, nous nous étions dit que seuls les pdf officiels devrait suffire pour avoir un nom et une adresse. Mais ne trouvant rien, nous sommes allés plus loin, petit à petit… Je ne suis pas très à l’aise avec le déroulement des recherches.

Mais même sans chercher très loin, nous sommes vite tombés sur des choses personnelles, comme des préférences sexuelles ou des options politiques/philosophiques, à travers des noms de fichier ou des urls explicites. Je ne m’attendais pas à trouver ce genre d’information aussi exposées. Je n’aurais pas ouvert un dossier nommé ‘porno’, mais là c’était simplement dans les téléchargements. Apparemment le propriétaire avait l’usage exclusif du PC et n’a pas pris la peine de cacher quoique ce soit. Ce n’est pas sa faute, c’est la mienne.

Finalement, si c’est interdit, c’est peut-être pour une bonne raison. Comme quoi on peut avoir tout un tas de raisonnements théoriques et logiques, mais que l’expérience et la pratique viennent mettre en défaut. Je n’avais pas anticipé d’en apprendre trop par accident.


  1. Sauf quand des lamas sont impliqués. Mais c’était une mauvaise manip', promis. ↩︎

  2. Le prénom a été changé ↩︎