Sabine Glauser
Interventions parlementaires

Pour sortir de notre dépendance numérique américaine et reconstruire une informatique de confiance, locale et résiliente

Postulat

Le terme GAFAM provient des cinq plus grandes multinationales du numérique (Google, Amazon, Facebook, Apple et Microsoft). Les services de ces dernières, sont tous basés sur la dématérialisation des outils dans le « nuage » (« cloud » en anglais). Physiquement, les centres de données (« datacenters » en anglais) qui forment ce cloud ne sont pas nécessairement situés sur sol helvétique et ne sont donc pas soumis aux lois de notre pays. S’agissant de multinationales américaines, elles sont en sus soumise à des lois restreignant drastiquement la protection des données. C’est le cas notamment du CLOUD Act (« Clarifying Lawful Overseas Use of Data Act », H.R. 4943), une extension du PATRIOT Act (« uniting and strengthening america by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act » H.R. 3162). Ces lois autorisent l’administration américaine à consulter nos données et métadonnées, à travers nos courriels, photos, chats audio et vidéos, historiques de navigation et de recherche. Les outils techniques ont été publiés par Shoshana Zuboff 1 et surtout Edward Snowden 2.

Cette période de semi-confinement est propice à l’observation de notre utilisation accrue des services et outils des GAFAM, malgré les critiques qui leur sont adressées et leur hégémonie sur le marché des services et outils numériques.

Prenons l’exemple du choix d’un outil de visioconférence, le dilemme est posé entre avoir recours à l’un des outils appartenant aux GAFAM ou à des solutions élaborées pour garantir la protection des données des utilisateurs, mais n’offrant qu’une qualité d’échange insuffisante pour une utilisation en grands groupes. L’enseignement à distance s’est également vu utiliser plusieurs outils de communication qui ne sauraient respecter les données des élèves et de leurs enseignants (Whatsapp, Zoom, Skype, TeamUp,…). Même le système de visioconférence choisi pour les commissions du Grand Conseil appartient à un grand groupe informatique américain (CISCO) et donc, ne garantit pas forcément la confidentialité des séances.

La transmission de données de géolocalisation au Conseil Fédéral par Swisscom pourrait également constituer un précédent quant à l’exploitation indue de données personnelles. Un des risques étant d’arriver à une politique de surveillance large, non transparente et sans contrôle au nom de la sécurité et de la santé.

Même en temps normal, les possibilités des GAFAM de tracer des internautes sont omniprésentes, puisque la grande majorité des entreprises, mais aussi des services publics ont recours aux services de Google, par exemple, pour améliorer les fonctionnalités de leurs sites. Les GAFAM ont su se rendre omniprésentes pour tout le monde, qui ont recours à leurs services et outils. Ceci rend très difficile de s’en soustraire, même si les condamnations pénales et les choix de ces entreprises peuvent scandaliser une partie de la population.

Dans sa stratégie numérique de 2018, le Conseil d’État s’est engagé dans une politique forte de protection des données personnelles et à doter le canton d’infrastructures sécurisées, disponibles et respectueuses de l’environnement. La stratégie d’accompagnement aux entreprises veut appuyer le développement de solutions locales et la réduction de la dépendance du canton à l’égard des systèmes proposés par les entreprises occupant une position dominante sur le plan mondial.

Dans la perspective de supprimer notre dépendance aux GAFAM, notre canton devrait promouvoir le développement d’alternatives à leurs services, par exemple en développant un pôle de recherche à la HEIG-VD qui s’axerait sur des outils en source ouverte ou libre FOSS (« Free and Open Source Software »), ou en soutenant des initiatives déjà en cours comme les outils Framasoft ou Meet d’Infomaniak. Ces services offrent l’avantage de ne pas collecter les données des utilisateurs, contrairement à ceux des GAFAM.

Il pourrait mettre en place une campagne de sensibilisation auprès des entreprises et des privés concernant les mesures pouvant être prises pour éviter le traçage (les services et outils open source, les bloqueurs de traceur ou le cryptage, le renoncement aux interfaces applicatives externes (API) de Google et d’autres lors du développement d’applications). La population a besoin de prendre conscience que le choix d’utilisation de services des GAFAM implique non seulement sa propre surveillance (comme mentionnée dans les conditions d’utilisations, rarement lues3) , mais aussi celles de ses contacts, consentants ou non, également au-delà des médias personnels.

Du fait de l’article 13 de la Constitution suisse « Protection de la sphère privée », le renoncement aux outils et services de GAFAM par l’État et ses services semble incontournable autant pour la protection des données du personnel que parce que l’État détient de nombreuses informations sensibles sur la population. Cette démarche est la suite logique du renoncement aux outils externes Google pour le site de l’État de Vaud qui est actuellement en cours et aux orientations stratégiques du Conseil d’État en matière de système d’information 4 .

Une planification de sortie des GAFAM axée sur la Stratégie numérique du Conseil d’État, commençant par le renoncement à tout investissement alimentant le capitalisme de surveillance mis en place par les GAFAM serait ainsi une mesure de poids, avec de nombreux intérêts pour favoriser la résilience de notre économie, ainsi que l’égalité des chances, dans un contexte de durabilité environnementale.

Ces mesures permettraient au canton de Vaud de se démarquer dans son rapport au numérique en axant la qualité vaudoise sur un stockage local et des outils « open source », respectueux de la vie privée, proposant des conditions d’utilisation claires et accessibles à toutes et tous.

Il est clair, dans l’esprit des postulants, que toutes les mesures demandées dans cet objet parlementaire ne sauraient entrer en quelconque concurrence avec la volonté d’offrir un maximum de données sous format ouvert (« Open Access ») à la population. Ceci basé sur la devise de l’initiative « Public Code » pour qui argent public signifie code public5

Ainsi, nous avons l’honneur de demander au Conseil d’État d’étudier un projet ambitieux visant à sortir de notre dépendance aux services et outils propriétaires ne respectant pas la législation suisse (notamment en matière de protection des données), et de promotion alternative d’outils numériques locaux, éthiques, résilients et respectueux des données et de la vie privée des utilisateurs.

Sabine Glauser

Art. 13. Protection de la sphère privée

1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.
2. Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent.

Art. 11. Protection des enfants et des jeunes

1. Les enfants et les jeunes ont droit à une protection particulière de leur intégrité et à l’encouragement de leur développement.
2. Ils exercent eux-mêmes leurs droits dans la mesure où ils sont capables de discernement.

Extrait de la Constitution suisse:

1The Age of Surveillance Capitalism : The Fight for a Human Future at the New Frontier of Power, Shoshana Zuboff, Public Affairs, 2019, 704 p.

2  Mémoires vives, Edward Snowden, Seuil, 2019, 378 p.

3 En plus d’être longues et fréquemment renouvelées, les conditions d’utilisation des outils et services des GAFAM sont incompréhensibles pour la grande majorité de la population. Une étude, analysant 500 conditions d’utilisation, a montré que seules deux d’entre elles étaient accessibles à une personne lambda et qu’il fallait en moyenne 14 ans d’études pour comprendre les autres. Ceci explique que la plupart des utilisateurs renonce simplement à les lire (https://papers.ssrn.com/sol3/papers.cfm? abstract_id=3313837 ).

4 https://www.vd.ch/toutes-les-autorites/departements/departement-des-infrastructures-et-des-ressources- humaines-dirh/direction-generale-du-numerique-et-des-systemes-dinformation-dgnsi/les-logiciels-libres- et-standards/

5 https://publiccode.eu

Interventions parlementaires

Les polices cantonale et régionales participent-elles à la collecte de données du Service de renseignement de la Confédération (SRC) ?

Question orale

Une délégation des commissions de gestion du Parlement estime que le SRC outrepasse ses droits en collectant des renseignements sur les élues et élus, les partis et des mouvements sociaux qui respectent le cadre démocratique. Son rapport a été publié le 30 janvier 2020. La conseillère fédérale Viola Amherd a ordonné une expertise. 7.7 millions de documents s’accumulent dans le système du SRC sans justification légale, puisqu’il n’y a pas de soupçons d’activités terroristes. Une ex-conseillère nationale apparaît plus de 70 fois dans cette banque de données pour son activité citoyenne et sa participation à des conférences internationales, en pleine contradiction avec la loi fédérale sur le renseignement (art. 5). La délégation parlementaire juge problématique l’exercice du droit d’accès aux données.

Comment la police cantonale et les polices communales ou intercommunales participent-elles à la collecte de données du Service de renseignement de la Confédération et avec quelles consignes?

Pierre Zwahlen

Interventions parlementaires

Blockchain : le web 3.0 peut changer les rapports entre l’administration et les administrés

Postulat

Issue de la technologie qui a permis l’essor des bitcoins, la blockchain représente probablement les prémisses de la prochaine étape du développement du web. Construite sur une chaîne de blocs, la base de données est ainsi décentralisée, transparente et ultra-sécurisée. Avec une telle approche, les données concernées sont impossibles à falsifier.

La blockchain trouve de plus en plus de débouchés. Non seulement au niveau du secteur privé, en premier lieu la finance, pour la traçabilité des produits et pour les échanges de bien et de services, mais également au niveau des administrations publiques.

En Europe, l’Estonie se distingue particulièrement par son engagement à offrir une véritable numérisation des actes entre son administration et sa population. Ses habitants ont ainsi une identité numérique qui leur permet de signer des contrats, payer des impôts, voter, accéder à leur dossier médical, créer une entreprise, intervenir en justice, échanger avec l’administration, …

Toute cette architecture est basée pour l’essentiel sur la technologie blockchain qui est aussi utilisée par d’autres institutions, telles que l’OTAN, le Département de la défense ou celui de l’énergie aux Etats-Unis, et bien d’autres.

En Suisse, le canton de Schaffhouse vient de débuter un partenariat avec la start up «Procivis» pour mettre en place une identité numérique qui permet à ses citoyens, de payer ses impôts, de s’inscrire au contrôle des habitants et à terme de voter de façon électronique.

Par ailleurs Procivis vient d’annoncer fin septembre un partenariat avec l’Université de Zürich pour la mise en place d’une solution de e-voting basée sur la technologie Blockchain.

Cette technologie représente de nombreux intérêts :

  • économique – en fluidifiant les relations entre l’administration et les administrés, y.c. les entreprises, ce qui permet un gain en compétitivité et une réduction des coûts
  • social – cela démocratise l’accès au service et promeut aussi un rapport plus décentralisé et horizontal
  • sécuritaire – cette technologie représente une réponse sérieuse et efficace aux risques de cybercriminalité et à la protection de la sphère privée
  • écologique – elle permet une très bonne traçabilité des produits.

L’application d’une telle technologie dans le canton de Vaud nous permettrait d’être véritablement à la pointe de l’innovation.

Ainsi, par ce postulat, nous demandons au Conseil d’Etat d’étudier les possibilités d’utiliser la technologie blockchain dans les services que le canton pourrait offrir en matière de cyberadministration et de e-voting.

Vassilis Venizelos

Interventions parlementaires

Courriels des députés : sommes-nous en sécurité?

Interpellation

Les députés sont appelés à communiquer entre eux et avec d’autres instances de manière soutenue. Ils sont priés d’utiliser leurs courriels privés ou une boîte aux lettres spécialement créée à cet effet pour pouvoir travailler convenablement.

Les députés se transmettent parfois des documents avec une certaine confidentialité, et les boîtes aux lettres privées ne semblent pas offrir une sécurité optimale.

En effet, en guise d’exemple, jusqu’en juin de cette année, le service «gmail» lisait nos courriers électroniques pour pouvoir faire de la publicité ciblée. Depuis cette date, il semblerait que les lectures systématiques ne soient plus d’actualité, mais quelles garanties ?

Pourtant, bien des communes, petites ou grandes proposent des boîtes courriels à leurs conseillers communaux. De même au niveau fédéral, les élus ont des emails sécurisés

Ainsi, nous avons l’honneur de poser les questions suivantes au Conseil d’État:

1 . Le Conseil d’État a-t-il déjà envisagé de mettre en place un tel système?
2. Si oui, pourquoi ne l’a-t-il pas mis en place ?
3. Quel est le degré de sécurité de la manière de fonctionner actuelle ?
4. Quelles seraient les conséquences financières et organisationnelles d’une boîte aux lettres individuelle et sécurisée pour chaque député ?

Maurice Mischler

Interventions parlementaires

Les établissements médicaux vaudois sont-ils immunisés contre les virus informatiques ?

Interpellation

Plusieurs articles parus récemment, notamment en Suisse alémanique, font état d’une augmentation de l’utilisation de logiciels malveillants verrouillant les données (rançonlogiciels) et d’autres modes de piratage dans le domaine de la santé.

En décembre dernier, le chef de la centrale d’enregistrement et d’analyse pour la sûreté de l’information de la Confédération (MELANI), Pascal Lamia, mettait en garde le monde médical contre ces logiciels de chantage dans les colonnes du Bulletin des médecins suisses. Il y a une semaine, la NZZ am Sonntag, puis le Tages Anzeiger revenaient sur cette problématique et relataient les déboires d’un hôpital suisse piraté par l’envoi d’un simple mail de candidature qui semblait répondre à la mise au concours d’un nouveau poste dans l’établissement : un piratage aussitôt suivi d’une demande de rançon en échange de la clé nécessaire au décryptage des données médicales bloquées.

Il ne s’agit pas là d’un cas isolé. Selon Urs Achermann, chef expert en sécurité auprès de la société Hint à Lenzburg (une société qui gère la sécurité informatique de 15 établissements médicaux), les cliniques suisses sont régulièrement la cible des hackers : chaque établissement subirait entre 2 et 3 attaques par mois.

Or, une seule attaque, même rapidement maîtrisée, peut coûter très cher. Plusieurs cas sont cités en exemple. Tout d’abord, celui de cet établissement de Los Angeles qui, l’année dernière, a fini par débourser quelques 17’000.- dollars pour obtenir la clé lui permettant de récupérer les données de ses patients. Plus coûteux, et plus grave aussi, le cas d’une clinique de quelques 500 lits à Neuss en Allemagne, dont les 800 ordinateurs et 100 serveurs ont été entièrement paralysés pendant plusieurs jours. Suite à cette attaque, la clinique a été contrainte de réduire les examens effectués dans ses laboratoires, de refuser de prendre en charge les blessés graves et de limiter ses interventions cardiaques, ainsi que les radiothérapies destinées à traiter les patients cancéreux. Dans ce cas, une somme d’un montant évalué à 6 ou 7 chiffres a été nécessaire pour réparer les dégâts – et c’est sans compter sur l’atteinte à l’image de l’établissement et la mise en danger des patients.

Pour ces derniers, le risque ne réside d’ailleurs pas seulement dans le vol ou le blocage de leurs données, mais aussi dans la prise de contrôle des appareils médicaux. Ainsi, on apprend dans la NZZ que, depuis 2015, l’autorité américaine de contrôle FDA (Food and Drug Administration) a déjà mis en garde le corps médical contre l’usage d’une pompe à insuline, d’un défibrillateur et d’un pacemaker pouvant facilement être piratés, puis contrôlés à distance par des tiers malveillants.

Au vu de ses différents éléments, des coûts et des risques susceptibles d’être engendrés par les rançonlogiciels et autres modes de piratage, nous nous permettons de demander au Conseil d’Etat (CE) de bien vouloir répondre aux questions suivantes :

  1. Comment le CE évalue-t-il la qualité de la sécurité informatique qui prévaut aujourd’hui au sein des établissements médicaux vaudois (tout type d’établissement confondu) ?
  2. Existe-il à l’heure actuelle un inventaire des outils ou instruments médicaux connectés sensibles et susceptibles d’être piratés par des hackers?
  3. Quels outils (sensibilisation des utilisateurs, systèmes de protection, etc.) et moyens financiers le CE met-il à disposition pour :
    • prévenir le piratage des systèmes informatiques des établissements hospitaliers publics vaudois?
    • soutenir les cliniques, hôpitaux ou cabinets privés dans leur lutte contre le piratage ?
  4. Quelles sont les procédures d’urgence existantes au sein des établissements médicaux vaudois pour répondre aux situations d’urgence médicales susceptibles d’être engendrées par une attaque informatique ?
  5. Ces mesures, outils, moyens et procédures sont-ils jugés suffisants ? Le CE entend-il en développer d’autres ? Et si oui, lesquels ?

 Céline Ehrwein Nihan

Interventions communales

Quelles données des Prilléran-e-s sont-elles transmises au BVA ?

Question écrite

Le 14 mars 2016, l’émission de la Première «On en parle» révélait que les données personnelles de deux Vaudois sur trois sont transmises par leur commune de résidence à des fins de publicité ciblée via la fondation BVA à Lausanne. Prilly ne fait pas (malheureusement) exception à la règle. Se posent donc les questions suivantes :

1.       Quelles données précises sont-elles transmises au BVA ?

2.       La Municipalité facture-t-elle un émolument pour la transmission de ces données ?

3.       Les habitants, et plus particulièrement les nouveaux arrivants, sont-ils informés de la pratique communale ? Peuvent-ils s’y opposer le cas échéant ?

4.       La Municipalité envisage-t-elle de poursuivre ou, au contraire, de cesser cette pratique ? Pourquoi ?

En vous remerciant de l’attention que vous accorderez à cette question écrite, je vous prie de croire, Monsieur le Syndic, Madame la Municipale, Messieurs les Municipaux, à l’assurance de mes sentiments dévoués.

David Boulaz