Outils de sécurité
La technologie que nous choisissons d'utiliser n'est pas neutre quant à la garantie de nos propres droits ou de ceux d'autrui. Chacun a le devoir de ne pas divulguer les informations personnelles d'autrui sans son consentement. L'Université, en tant qu'administration publique, a le devoir de veiller à ce que, dans l'exercice de ses pouvoirs publics, elle ne porte pas atteinte illégalement aux droits des personnes qu'elle sert.
La réalité, c'est que nous utilisons la technologie sans nous demander si elle est appropriée du point de vue de la sécurité, ni si elle respecte les droits d'autrui ou les nôtres. Nous avons pris l'habitude de céder, en nous disant : « Tout est public, et on n'y peut rien ; après tout, je n'ai rien à cacher. » Nous ne nous demandons pas (alors que nous avons l'obligation de protéger la vie privée d'autrui) quelles données concernant d'autres personnes nous téléchargeons sur « mon cloud », c'est-à-dire « l'ordinateur de quelqu'un d'autre », lorsque nous enregistrons un numéro de téléphone sur notre appareil mobile, lorsqu'une photo est sauvegardée, et surtout lorsque nous mentionnons quelqu'un sur les réseaux sociaux… même si nous ne publions rien.
La vie privée est toutefois une valeur intimement liée au libre développement de la personnalité de l'individu, qui Article 10 notre Constitution la considère comme le fondement de notre société, et que le RGPD Elle vise à rétablir des conditions appropriées, permettant un usage harmonieux des technologies dans le respect du libre épanouissement de chaque individu. Des lignes directrices sont fournies ici pour faciliter cet usage.
Le courrier électronique n'est pas sécurisé. À moins d'être chiffré, il ne faut jamais inclure dans un courriel des informations que l'on ne inclurait pas sur une carte postale. Il ne faut pas non plus présumer de l'identité de l'expéditeur sans signature électronique. Le courrier électronique ne saurait remplacer les notifications officielles dans les procédures administratives. Il sert tout au plus de rappel qu'une notification est disponible par un autre moyen (généralement, en se présentant à un bureau électronique).
La communication par courrier électronique repose sur un vaste réseau d'ordinateurs (serveurs) qui acheminent le message jusqu'à son destinataire final et son arrivée dans sa boîte de réception. L'idée était de pouvoir envoyer un message depuis n'importe où vers une boîte de réception spécifique ; c'est sa raison d'être, et il remplit parfaitement cette fonction. Par conséquent :
À moins que le service de messagerie ne soit fourni directement par une administration publique ou une organisation à but non lucratif, les courriels sont soit promotionnels pour d'autres services payants, soit leur modèle économique repose sur la collecte de données utilisateur à des fins de marketing. Les exemples les plus connus relèvent de ce dernier modèle (génération de profils pour des décisions individuelles automatisées, une pratique risquée au regard du RGPD). Parmi les premiers, on trouve souvent des entreprises qui mettent en avant le respect de la vie privée dans leurs communications, comme… Clôture postale (Belge), Tutanota (Allemand), Poste (Allemand, pas de traduction), ou Protonmail (Suisse).
Du point de vue de la protection de la vie privée et de la conformité réglementaire, le recours aux entreprises dont le modèle économique repose sur la collecte de données est déconseillé, tandis que celui des entreprises dont le modèle économique est basé sur la collecte de données est recommandé. Même si, hypothétiquement, une entreprise spécialisée dans le premier modèle (analyse de données à des fins marketing) convenait avec un organisme gouvernemental de proposer son service sans analyse de données à des fins de profilage – et que nous n'ayons donc aucune raison de soupçonner qu'elle le fera (c'est-à-dire qu'elle accepte de fournir le service selon le modèle promotionnel) –, elle promouvrait néanmoins un modèle de partage de données, ce qui semble peu compatible avec les objectifs que devraient poursuivre les administrations publiques. Dans ce cas, la légalité de la mesure peut être justifiée par une stricte protection des données, mais non par l'intérêt public, qui ne saurait être entièrement laissé à la discrétion des autorités.
Le chiffrement ne résout pas entièrement le problème de l'utilisation des données par les fournisseurs à des fins marketing et de prise de décisions automatisées basées sur ces profils. Ce problème ne peut être résolu qu'en s'assurant que ni l'expéditeur ni le destinataire n'utilisent ces « transporteurs de messages », car ces services, se basant uniquement sur leur connaissance de l'expéditeur et du destinataire, établissent des probabilités quant au contenu. Cela leur suffit pour « étiqueter » l'utilisateur. Néanmoins, la cryptographie atténue quelque peu le problème, du moins tant que le chiffrement reste inviolable (tout chiffrement finit par être compromis en raison de l'évolution technologique ; ainsi, si des messages chiffrés sont stockés, il sera possible à terme de les traiter et de les déchiffrer, afin d'en extraire des informations pertinentes pour le profilage des utilisateurs).
Outre l'utilisation de plateformes sécurisées, telles que celles recommandées ci-dessus, pour la messagerie personnelle, les programmes suivants sont recommandés pour la messagerie institutionnelle (et personnelle), car ils permettent la signature et le chiffrement. La signature atteste que le courriel provient bien de nous (le destinataire, utilisant l'une des techniques suivantes, verra une barre verte indiquant que l'identité de l'expéditeur a été vérifiée). Le chiffrement garantit que seul le destinataire prévu peut lire notre message (nous aurons besoin de connaître sa clé publique, que ces programmes gèrent facilement pour l'utilisateur). Trois solutions, bien expliquées et documentées en ligne, sont présentées ci-dessous :