Google Apps

Google Apps : tel est le nom du service que nous serons désormais contraints à utiliser à Paris 3, que nous soyons étudiants ou personnels de l’université. Derrière une adresse de type prenom.nom@sorbonne-nouvelle.fr, nous devrons en réalité faire passer toutes nos données par les serveurs de Google. Et non seulement nos données mais aussi celles de nos correspondants, qui ne sauront pas qu’en écrivant à un étudiant ou à un personnel de notre université, ils envoient en fait leurs messages et leurs pièces jointes à Google.

Ce site est destiné à apporter une information complémentaire à celle que l’administration de Paris 3 a choisi de nous fournir et qui est, pour l’essentiel, la propagande de Google.

Qu’on en juge en consultant la page du site de Paris 3 consacrée à un service qui a été baptisé Num@ pour faire oublier qu’il s’agit en réalité de Google : toute l’information a été fournie par Google, les « ambassadeurs » bénévoles qui seront chargés de nous former aux nouveaux services recevront une formation dispensée « par un organisme spécialisé dans les applications Google ».

Nous vous proposerons ici d’autres informations. Et un autre point de vue sur la déontologie d’un établissement public d’enseignement supérieur et de recherche.

Publicités

Google et Paris 3 : fin de partie ?

Il semble que l’opération de migration des comptes de messagerie de Paris 3 vers les serveurs de Google soit arrêtée depuis cet été. La raison mise en avant par l’administration est une note des ministères de l’Intérieur et de la Culture interdisant le stockage des archives nationales sur des plateformes extérieures au territoire national.

Cela semble en effet assez raisonnable… La note en question a été envoyée le 5 avril dernier aux préfets par la Directeur général des collectivités locales et la Direction du Patrimoine (voir le texte ici). L’argumentation du texte est sans appel, même si celui-ci ne s’adresse pas directement aux universités :

• « Les archives sont l’ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité. » (article L.211-1 du Code du patrimoine)
• Toutes les archives publiques sont des « trésors nationaux » (article L111-1 du Code du patrimoine)
• « Cela recouvre aussi bien les dossiers sur support papier numérisés que les documents bureautiques issus d’un logiciel de traitement de texte, le contenu d’une base de données ou encore les courriels transmis ou reçus […] »
• Or, « un trésor national ne peut pas sortir du territoire douanier français, sinon à titre temporaire […] Tous les autres traitements doivent avoir lieu sur le territoire national. »

Par conséquent :

« L’utilisation d’un cloud non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques […] »

 

 

Une déclaration de la CGT FERC Sup de Paris 3

Nos données chez Google sans aucun regard autorisé sur leur utilisation !

L’université a décidé de transférer sa messagerie à Google et elle est en train de mettre en place le processus de migration. La migration commence par la messagerie mais ce sont l’ensemble de nos données qui risquent à terme d’être hébergées sur les serveurs de Google.

Garder la messagerie sur nos serveurs coûtait, d’après les documents donnés en CA, un ETP (équivalent temps plein d’ingénieur) de plus que la solution Google. C’est pour cette économie que la direction de l’université a décidé cette sous-traitance.

Google propose ce service à 8 euros par boîte mail par mois aux entreprises et l’offre gratuitement aux universités. Où est le gain pour Google ? Habituer les étudiants à leurs services pour leur vendre plus tard le service ? Est-ce là une mission de l’université ?

Nous n’avons aucune information à ce jour sur le contrat qui aurait été signé entre Google et Paris 3. Nos élu.e.s au CA ont demandé à avoir accès au contrat. Il leur a été répondu que Google avait exigé le secret et qu’il n’était donc pas possible d’obtenir ce contrat. Le document n’a été mis à disposition ni des élus, ni des personnels de la DSIC, ni des collègues qui le demandaient…

Récemment, une circulaire interdisait aux collectivités locales l’utilisation de cloud non souverain « en prenant soin de prévoir les clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système« .

Pourquoi l’université peut-elle choisir un cloud non souverain alors que c’est interdit dans les collectivités territoriales ?
Comment, sans rendre public le contrat, peut-on s’assurer que les données sont et restent en France ?
Comment peut-on faire confiance à Google sur le fait que nos données ne seraient pas scannées alors que l’entreprise américaine refuse, avec la direction de l’université, de rendre public son contrat ?
Comment s’assurer de l’auditabilité, puisque le contrat est secret ?
Comment être sûr que l’on pourra revenir en arrière en cas de problème ?
Que se passera-t-il le jour où Google décidera de faire payer l’université pour ses services ?

Nous nous associons aux motions et courriers qui demandent à ce que le contrat soit rendu public et ou qui dénoncent le choix fait par l’université.

Un retour en arrière est encore possible et nécessaire.
Une messagerie qui fonctionne avec des logiciels libres, hébergée à Paris 3, c’est possible !

La CGT FERC Sup Paris 3

Une motion du département d’Études germaniques

Nous, membres du conseil de département et personnels du département d’études germaniques, sommes consternés par le choix fait par le CA de Paris 3 de confier à Google la gestion de notre messagerie électronique professionnelle et tous les services associés (agenda, partage de fichiers etc.) par un contrat qui n’a pas été rendu public à ce jour.

Rappelons que nous sommes un établissement public, (sous-)financé par le produit des impôts. Il nous semble inacceptable, à ce titre, de passer un contrat avec une multinationale spécialiste de l’évasion fiscale, dans le collimateur des autorités européennes pour ces mêmes raisons, visée par une enquête pour fraude fiscale en France même et qui fait l’objet d’une procédure de sanction de la part de la CNIL.

Le choix du CA a pour conséquence de nous mettre dans une relation de dépendance envers un prestataire extérieur qui stocke les données sur des serveurs qui ne sont pas sur le territoire français, qui tire profit financièrement de l’exploitation de toutes nos données, hors du respect de la vie privée et qui est susceptible de changer ses conditions commerciales à tout moment. Tout ceci a été rappelé dans une lettre ouverte au CA par des collègues spécialistes de ces questions(voir la lettre ouverte au CA de Franck Rebillard et Fabrice Rochelandet du 23 mars 2016), et nous nous associons à leurs objections. Nous souhaitons également souligner qu’il est absurde et préoccupant que Paris 3 emploie des chercheurs internationalement reconnus et dont les recherches portent sur ces questions, et ne tienne aucun compte de leur avis pourtant éclairé sur ces mêmes questions.

Nous demandons donc que l’on revienne sur la décision prise par le CA et que l’on utilise une messagerie électronique qui ne soit pas liée à Google.

Cette motion a été adoptée à l’unanimité (13 voix) le 23 juin 2016.

Une motion du département du Monde anglophone

Motion votée le 20 juin 2016 par le Conseil du département du Monde Anglophone:

Les élu-e-s du conseil du département du Monde Anglophone prennent acte de la décision du Conseil d’Administration d’une prise en charge de la messagerie des étudiant-e-s et des personnels de l’université par le service Google Apps. La mise en fonction de ce service est en cours, sous le nom de Num@.

Les termes du contrat avec Google n’ayant à ce jour pas été rendus publics, ils/elles demandent qu’ils soient diffusés auprès des personnels et des étudiant-e-s de la Sorbonne Nouvelle, notamment en ce qui concerne la protection et l’utilisation des données des usager-e-s par Google. Nous estimons indispensable que l’université accompagne le passage à cette nouvelle messagerie par une formation sur la protection des données qui serait proposée à tous les personnels et les étudiant-e-s de l’université.

Motion adoptée par 16 voix et 2 abstentions.

Panoptique

Une collègue, Jacqueline Authier, nous rappelle cette citation du philosophe anglais Bentham, qui, en 1791, écrivait :

« Si l’on trouvait un moyen de se rendre maître de tout ce qui peut arriver à un certain nombre d’hommes, de disposer tout ce qui les environne, de manière à opérer sur eux l’impression que l’on veut produire, de s’assurer de leurs actions, de leurs liaisons, de toutes les circonstances de leur vie, en sorte que rien ne pût échapper ni contrarier l’effet désiré, on ne peut pas douter qu’un moyen de cette espèce ne fût un instrument très-énergique et très-utile que les gouvernements pourraient appliquer à différents objets de la plus haute importance. »

Ce « panoptique« , qui a inspiré Foucault dans Surveiller et punir, n’est-il pas la meilleure préfiguration du système Google ?

Se débarrasser de Google ? un parcours du combattant

Vous avez un compte Gmail ? un téléphone sous Android ? Vous utilisez Google maps ? le navigateur Chrome ?

Que se passerait-il si vous vouliez sortir de ce piège à données personnelles et couper tout contact avec l’écosystème Google ? Ce n’est pas si simple, et Google a tout mis en oeuvre pour que cette exfiltration constitue un véritable casse-tête. Voici quelques récits de l’opération :

• Le témoignage d’un informaticien qui a cherché à remplacer Google dans toutes ses applications
• Une série d’articles (en anglais) de Bryan Lunduke : « Kicking Google out of my life« 

Bref, pas très facile d’en sortir. Une autre bonne raison de ne pas nous contraindre à utiliser les services Google…

Rencontre-débat sur le contrat Google-Paris 3

Contrat Google-Paris 3 : le coût de la gratuité

Le Conseil d’administration de l’université Sorbonne Nouvelle – Paris 3 a voté, le 18 décembre 2015, le principe de la prise en charge de la messagerie des étudiants et des personnels de l’université par le service Google apps. La mise en fonction de ce service est en cours, sous le nom de Num@

Ainsi, non seulement nos courriers et ceux de nos correspondants mais aussi nos carnets d’adresses, nos agendas, nos visioconférences, nos documents seront hébergés et transmis par les services de Google. Cette situation a amené deux enseignants-chercheurs spécialistes des questions du numérique, Fabrice Rochelandet et Franck Rebillard, à interpeller publiquement, le 23 mars, les membres du CA sur les dangers que faisait courir leur décision. Il s’agit en effet de confier nos données professionnelles à une entreprise qui n’est pas spécialement connue pour son souci de la confidentialité et du bien commun. Des affaires récentes (révélations d’Edward Snowden, condamnations par la CNIL et la Cour de justice de l’Union européenne, procédure en cours pour évasion fiscale, plainte des étudiants de Berkeley contre Google, etc.) n’inspirent pas confiance dans cette multinationale dont on sait qu’elle tire ses bénéfices de l’exploitation commerciale des données de ses usagers.

Il est vrai que beaucoup d’entre nous utilisent à titre individuel les services de Google mais la décision qui a été prise nous met dans la situation d’être contraints à leur utilisation, ce qui est très différent. Comment un service public en est-il arrivé là ? Quels sont les termes du contrat passé avec Google ? Comment pouvons-nous nous protéger contre cette mesure agressive ? Existe-t-il des recours judiciaires, des alternatives techniques ? La CNIL a-t-elle été informée ? Comment se fait-il que le contrat passé avec Google soit encore secret ?

Nous vous proposons de nous retrouver le 9 juin 2016, de 12 h à 14 h, en salle 127 (centre Censier), pour nous informer et discuter des moyens d’action pour défendre notre droit à l’autodétermination informationnelle.

Lettre ouverte aux membres du Conseil d’Administration de l’Université Sorbonne Nouvelle Paris 3

Paris, le 23 mars 2016

Mesdames, Messieurs les membres du Conseil d’Administration,

Nous avons récemment pris connaissance du procès verbal de la séance du Conseil d’Administration du 18 décembre 2015. Le compte rendu des débats concernant le point n°6 à propos de l’évolution du service de messagerie de l’Université, et la décision d’opter pour la solution Google Apps pour l’éducation – Cloud Google, nous laisse penser que certains arguments cruciaux n’ont pas été pris en considération. Nous estimons par conséquent nécessaire, en tant que membres du personnel et spécialistes de la socioéconomie du numérique, de vous alerter sur les conséquences d’une telle décision, conséquences dangereuses à de nombreux égards.

La décision de confier les principaux services de l’environnement numérique de travail de l’Université (messagerie, agendas, documents partagés, …) à cette firme transnationale fréquemment épinglée par diverses institutions à travers le monde, et de voir les données afférentes hébergées sur des serveurs situés « dans le monde » (Projet de communication numérique annexé au PV de la séance du CA), nous semble totalement infondée dans le contexte actuel et à contresens par rapport aux orientations politiques françaises actuelles, notamment celles visant à préserver la souveraineté numérique. La prise en compte du seul critère d’économies pour les finances de notre institution (un montant de 150 000 euros est évoqué) nous semble relever d’une logique comptable qui n’est pas à la hauteur des enjeux géopolitiques et de libertés fondamentales générés par une telle décision.

Pourquoi confier nos données professionnelles et, par croisement de données, personnelles, à un tel acteur ? Il est de notoriété publique que son modèle économique est fondé sur l’exploitation de telles ressources informationnelles et que, de surcroît, ses activités relèvent d’un cadre juridique garantissant moins les libertés fondamentales en matière de vie privée que la loi française. Le traitement de nos informations -celles du personnel de l’université et celles des étudiant.e.s- permet ainsi de profiler chacun d’entre nous assez finement à partir des informations que nous délivrons (analyse sémantique du contenu de nos messages, de notre localisation, de nos réseaux sociaux, etc.). Ces données peuvent être certes non exploitées directement à partir des services offerts directement sur la plateforme de Paris 3 -à ce sujet, nous espérons tout de même qu’il n’est pas question de transférer à Google jusqu’aux dossiers administratifs de l’actuel ENT contenant Numen, numéros de comptes bancaires et renseignements biographiques sur les membres de la famille des personnels-, mais indirectement à partir de données cédées à des tiers, et sous la forme de publicités (soi-disant contextualisées, en réalité ciblées) sur les sites et les applications que nous utilisons par ailleurs. Une vaste littérature (à laquelle nous avons contribué) montre les risques importants associés à de telles exploitations.

En particulier, en prenant une telle décision, vous exposez également les personnes physiques et morales extérieures à notre établissement et avec lesquelles nous travaillons, échangeons régulièrement des informations, parfois sensibles, (les équipes de recherche et les entreprises avec lesquelles nous sommes liés, les autres services administratifs), ce qui peut engendrer des risques majeurs en matière d’atteinte à la vie privée, au secret des affaires, à la sécurité publique, etc. Il peut arriver que nous soyons en relation avec une entreprise prestataire, un laboratoire ou un syndicat, qui ne souhaitent pas voir leurs données et propos identifiables et susceptibles d’être exploités par une entreprise qui a fait l’objet de multiples rappels à l’ordre de la part des institutions françaises (à commencer par la Commission nationale de l’informatique et des libertés) et européennes. Google est une entreprise connue pour ses dérives en matière de respect de la vie privée (qui, encore une fois, ne se résume pas à de la publicité contextuelle sur son service de messagerie gmail ou les pages de recherche de son moteur, mais consiste en une traque systématique des usagers de ses services via le croisement des données collectées), et dont les données ont été exploitées par la NSA et le FBI comme l’ont confirmé The Guardian et The Washington Post dès 2013, à la suite des révélations d’Edward Snowden.

En outre, plus la masse de données collectées sur les membres du personnel et les étudiant.e.s augmentera, plus grande sera la dépendance à l’égard de Google et moindre sera la capacité de discuter de nouvelles conditions commerciales si cet acteur en décidait ainsi, comme il l’a déjà fait par le passé avec de nombreuses autres entreprises et institutions, autrement plus puissantes que notre Université. L’économie immédiate réalisée en recourant à ce service qui présente aujourd’hui tous les atours de la gratuité pourrait entraîner un verrouillage informationnel, classique dans le secteur de l’informatique mais ici décuplé par la position oligopolistique de Google, et possiblement lourd de conséquences financières sur le long terme. Vous êtes évidemment bien plus légitimes que nous pour décider des orientations de l’Université et nous n’ignorons pas non plus les contraintes qui pèsent sur vos arbitrages budgétaires. Sauf que en fin de compte, il nous semble que le coût du recours aux services de Google surpasse très largement l’économie de quelques euros par usager de l’université (pour des services qui sont utilisés au quotidien par tou.te.s) et l’offre d’outils, certes séduisants mais au fond empoisonnés, et surtout face auxquels il existe une offre d’outils sécurisés, tout aussi performants et garantissant à la fois la souveraineté numérique et le respect de nos libertés fondamentales et de celles de nos partenaires.

Nous avons ainsi souhaité avec cette lettre insister sur l’importance d’une telle décision en apportant quelques éclairages complémentaires. En vous alertant aussi de façon plus prospective sur les risques juridiques induits à l’ère numérique, à commencer par celui de soustraire les membres du personnel, en raison de leurs obligations professionnelles, et les étudiant.e.s, en raison de leurs obligations scolaires, au droit à l’autodétermination informationnelle proposé par le Conseil d’Etat en 2014 et repris dans le rapport de l’Assemblée Nationale sur le droit et les libertés numériques en 2015. Permettez-nous, par conséquent, de vous demander solennellement de réexaminer une telle décision et, le cas échéant, d’opter pour une solution qui permette de conserver, juridiquement et techniquement, un contrôle effectif sur nos données et celles de nos partenaires.

Nous vous prions d’agréer, Mesdames et Messieurs les membres du Conseil d’Administration, l’expression de nos respectueuses salutations.

Franck Rebillard

Professeur à l’Institut de la Communication et des Médias

Chercheur au laboratoire Cim (Communication, information, médias)

Fabrice Rochelandet

Professeur au Département Médiation culturelle

Chercheur à l’Ircav (Institut de recherche sur le cinéma et l’audiovisuel)

Des étudiants de Berkeley poursuivent Google

Un article du Washington Post du 1^er février dernier nous apprend que quatre étudiants de l’université de Berkeley poursuivent Google devant la justice parce qu’ils estiment que leurs courriers sont utilisés par Google à des fins publicitaires. La situation est la même qu’à Paris 3 : l’université a souscrit aux services de Google Apps et contraint ses étudiants à les utiliser pour disposer d’une adresse officielle.

Il est intéressant de lire le texte de leur recours. Quelques-uns de leurs arguments font réfléchir :

• Si le service est gratuit pour l’université, c’est que Google tire forcément ses bénéfices d’une autre manière, au moins en augmentant la notoriété de ses produits auprès des futurs jeunes diplômés.
• Les plaignants avancent que Google n’affiche pas de publicités sur les comptes de l’université (comme il s’y engage par contrat) mais qu’il recueille quand même des informations sur les étudiants, dont il se sert pour afficher des publicités sur d’autres applications Google, comme le moteur de recherche.
• Le contrat entre l’université et Google prévoit que l’université doit obtenir l’accord de chaque utilisateur pour l’utilisation des services. Qu’en est-il à Paris 3 ? Méfions-nous de tout ce que nous aurions à valider dans les prochains jours…
• L’université assure aux usagers que leurs données « ne seront pas analysées » (déclaration de Paris 3) : quelle serait la responsabilité juridique de Paris 3 si tel n’était pas le cas ?