edel
Temps de lecture : 12 minutes


Bonjour ! Dans ce nouvel article, je vais revenir en détail sur un cheminement intellectuel qui m’a fait prendre conscience de certaines problématiques éthiques, ainsi que les mesures que j’ai prises pour y remédier. Il va être question de souveraineté numérique, de GAFA et donc des Etats-Unis, et je vais plus particulièrement aborder ici la messagerie électronique et le stockage de documents en ligne, mais aussi, dans une moindre mesure, les réseaux sociaux.

Un peu de contexte

A l’origine de cette réflexion et des démarches qui ont suivi, 2 éléments déclencheurs :

  • Une nouvelle d’actualité que j’avais déjà vu passer mais à laquelle je n’avais pas à ce moment prêté plus d’attention que çà, concernant une pratique douteuse opérée par Microsoft
  • L’évolution de l’administration américaine, avec un contexte politique glissant dans une direction qui n’est pas conforme à mes idées

Et donc on peut considérer que c’est la somme des 2 éléments qui m’aura décidé à franchir le pas.

Ce pas, c’est de rapatrier une petite partie de mes données personnelles en Europe, celles qui concernent toute ma messagerie et mes documents stockés dans le cloud, qui étaient alors hébergés sur la plateforme Office 365 de Microsoft.

Avant de rentrer dans les détails, je me dois de préciser la notion de souveraineté numérique : ce terme désigne la capacité d’un État, d’une organisation ou d’un citoyen à contrôler ses infrastructures, ses technologies et ses données dans le cyberespace. Donc dans mon cas de figure, moi, simple citoyen, cherche à contrôler mes données dans le cyberespace. Contrairement à la souveraineté traditionnelle, elle pose des défis nouveaux liés à la dépendance envers des acteurs technologiques étrangers, à la maîtrise des données personnelles et à la sécurisation des systèmes d’information.

A la réflexion, en écrivant cet article, je me rends compte que j’ai déjà commencé à effectuer cette démarche sur d’autres aspects, à savoir mon gestionnaire de mots de passe, pour lequel j’ai choisi d’utiliser une application certes développée par une société américaine, mais dont les données sont stockées dans un centre de données en Europe.

De même avec les réseaux sociaux, dont tous les grands noms sont américains (à part TikTok, mais que je n’utilise pas). J’ai arrêté d’utiliser Instagram et Twitter/X, j’ai réduis ma présence sur Facebook, et j’utilise avec parcimonie Bluesky, qui est également un réseau social américain avec des pratiques pas très claires concernant l’utilisation des données personnelles. Le seul réseau social que j’utilise, qui soit vraiment éthique avec les données personnelles, c’est Mastodon. Celui-ci a pris pendant un temps la lumière, lorsqu’Elon Musk a racheté le réseaux social Twitter, mais son mode de fonctionnement décentralisé, jugé trop complexe par le grand public, l’a renvoyé dans l’ombre. Et pourtant, cette décentralisation permet, pour les utilisateurs avertis qui en maitrisent le fonctionnement, de s’inscrire sur l’instance de son choix. Pour ma part, j’ai choisi une instance hébergée en Islande, régie par le droit européen. Et l’application que j’utilise pour y accéder indique ne collecter aucune donnée personnelle.

Avant de rentrer dans le cœur du sujet de cet article, il me faut préciser un point très important, particulièrement mis en avant par Apple dans les applications de son App Store depuis fin 2020 : les labels de confidentialité. Ce sont des informations qui précisent la manière dont les données personnelles des utilisateurs sont exploitées par le développeur d’une application.
En voici plusieurs exemples :


Ici, le développeur se fait plaisir, en collectant pas mal de données, mais il n’y a pas le pire, qui est dans la capture suivante…


Et oui, certes il y a moins de lignes, mais une entrée est particulièrement problématique : la collecte du contenu utilisateur. Cela signifie que le développeur peut piocher dans les données que l’utilisateur a entré ou utilisé dans l’application (par exemple, ses posts sur un réseau social, ou le contenu de ses mails), et en faire ce qu’il veut…


Enfin, le cas le plus vertueux, là c’est simple, aucune données personnelle n’est collectée.

Cette longue introduction de contextualisation étant faite, je vais maintenant pouvoir rentrer dans le vif du sujet, avec la manière dont j’ai traité le cas de ma messagerie personnelle et de mes documents personnels stockés sur le cloud.

La situation initiale

A l’origine donc, j’utilisais la solution logicielle Office 365 de Microsoft, simplement pour avoir une démarche de simplification (et pour le coup, une très relative étanchéité) entre mes données personnelles et mes données professionnelles. En effet, depuis quelques années, mon employeur utilise lui aussi les services d’Office 365, en version entreprise. Ceci me permettait d’avoir tous mes messages sur la même application (Outlook), et tous mes fichiers dans le même cloud et via la même application (OneDrive).

Mais, et je reviens là sur le fait d’actualité concernant Microsoft, j’ai appris il y a quelques temps que Microsoft, donc, avait instauré plus ou moins récemment une très mauvaise pratique en matière de données personnelles, à savoir qu’ils enregistrent les informations de connexion de l’utilisateur de l’application ou du webmail Outlook, pour se servir allègrement dans les données utilisateurs, soit à des fins commerciales, soit pour entrainer leur IA maison, Copîlot. Et, cerise sur le gâteau, cette pratique ne se limite pas aux données des comptes de messagerie gérés par Microsoft (Outlook ou Hotmail), mais bien à tous ceux renseignés dans l’application ou le webmail, y compris ceux provenant d’autres fournisseurs de messagerie. Plus de détail à ce sujet dans cet article.

D’ailleurs, on peut effectivement vérifier cette pratique à partir de la fameuse fiche de confidentialité de l’application (ici pour iOS) :

Beaucoup de données récupérées donc, parmi lesquelles le contenu utilisateur… Exit donc pour moi l’utilisation de cette application avec mes comptes personnels; Toutefois, je continue à l’utiliser pour mon compte professionnel, étant donné que c’est l’outil de base pour cet environnement.

Qu’en est-il de OneDrive ?

C’est moins pire, mais il y a toujours cet épouvantail que constitue la collecte du contenu utilisateur : donc les fichiers versés par l’utilisateur dans son OneDrive ! De ce fait, comme pour la messagerie, il n’est plus question de l’utiliser pour mes documents personnels, mais toujours pour les documents professionnels, étant l’outils de référence dans cet environnement.

Nous allons voir, à partir de ces 2 exemples, qu’il y a moyen de faire bien mieux en matière de respect des données personnelles des utilisateurs, avec un niveau fonctionnel quasiment équivalent.

Les choix des nouveaux services

Pour reprendre le contrôle sur mes données personnelles, il m’a donc fallu trouver à la fois de nouveaux prestaires de service, mais aussi une nouvelle application de messagerie, car pour celle-ci, le fournisseur du service et le développeur de l’application utilisée sont 2 entités distinctes.

Pour la messagerie, après une étude des différentes offres disponibles, auprès de fournisseurs exclusivement européens, mon choix s’est porté sur celle de MailFence. C’est un service fournis par la société Contactoffice Group, opérant en Belgique. Il y a différents niveaux de service, du gratuit, suffisant pour un usage basique, à d’autres payants à différents niveaux de prix. Pour ma part, j’ai pris l’offre à 3,50€/mois, ce qui reste très abordable, dans le cadre de cette démarche. Les mails sont recueillis et stockés exclusivement par les serveurs et l’infrastructure de Contactoffice Group, en Belgique, et sont donc régis par le droit européen, ce que l’entreprise explicite sur cette page.

Par contre, si ce service s’accompagne d’une application et d’un webmail pour accéder à sa messagerie (qui ne collectent aucune donnée personnelle), ces solutions ne me conviennent pas pour un usage quotidien : interface trop austère, fonctionnalités plus limitées qu’avec une application de messagerie spécialisée. Je me suis donc mis en quête de l’application qui serait la plus à même de remplacer Outlook, en terme d’ergonomie et de fonctionnalités. Après là encore une phase de recherche, j’ai choisi l’application Canary Mail, éditée par une société de Singapour. S’il peut y avoir, dans certains cas d’usage, une collecte de données, celle-ci se fait de manière anonyme, sans rapprochement entre le profil utilisateur et ses données, et ne concerne pas le contenu des mails eux-mêmes.


L’interface de Canary Mail sur les différents environnements supportés. Pour les smartphones, Android et iOS sont tous les 2 supportés.

Pour les documents stockés dans le cloud, c’est vers la Suisse que je me suis tourné, à savoir la société Infomaniak. Celle-ci propose toute une gamme de services et est, en premier lieu, un hébergeur de sites web et un bureau d’enregistrement de noms de domaine. Mais, dans l’optique de fournir une alternative au cloud des GAFA (Microsoft, Apple et Google), elle a développé puis commercialisé une offre de cloud en tout point similaire à OneDrive, appelée kDrive. Tout comme pour MailFence, il existe différents niveaux de services à différents prix, l’offre de base coutant moins de 2€/mois pour 15 Go de stockage. Et comme pour MailFence, j’ai pris une offre intermédiaire comprenant 3 To de stockage pour 6 €/mois, ce qui reste extrêmement raisonnable au vu de la capacité de stockage incluse.

kDrive s’accompagne d’une interface web et de clients pour ordinateurs, smartphones et tablettes, qui fonctionnent sur la même logique que OneDrive, avec, entre autres, la possibilité de télécharger les fichiers à la demande sur ordinateur, ou de rendre accessibles hors connexion des fichiers importants, sur smartphone. Quant à la fiche de confidentialité de l’application, si celle-ci n’est pas complètement vierge de toute collecte de données, elle est tout de même très nettement plus légère que l’application OneDrive de Microsoft illustrée précédemment :


Les données collectées sont bien moins nombreuses et sensibles que celles collectées par OneDrive

De plus, dans la même logique que MailFence pour les mails, les données sont stockées exclusivement dans le pays du fournisseur, ici la Suisse. Infomaniak indique par ailleurs que ce service respecte le RGPD, le règlement général européen pour la protection de données.

La migration des données

Bien, après avoir fait tous les choix précédemment exposés, il reste une tâche ardue à mener, sauf à repartir de 0, d’une feuille blanche : la reprise des données existantes. Si cela s’est avéré très simple dans le cas du cloud, kDrive proposant un service de récupération des données en provenance de OneDrive, en ce qui concerne la messagerie, ce fut un peu plus laborieux…

Déjà, parce que la messagerie, ce n’est pas un service, mais 3 : en plus des courriels, il faut aussi prendre en compte le ou les agendas, et les contacts. Et la difficulté, c’est que je venais de chez Microsoft, avec l’utilisation de technologies propriétaires (liées à Exchange). Il m’a donc fallu bricoler avec plusieurs composants logiciels pour tout récupérer : si ce fut au final assez simple et rapide pour les contacts, et assez simple mais plus fastidieux pour les courriels, ce fut beaucoup plus laborieux pour reprise des données du calendrier. J’ai en effet du passer par le client lourd Outlook sur Windows, y adjoindre un complément (heureusement gratuit), Outlook Caldav Synchronizer, et paramétrer ce dernier pour qu’il récupère toutes les entrées existantes de mon agenda Outlook et les recopie tel quel dans l’agenda de mon nouveau fournisseur de messagerie.

Cela peut paraitre un peu effrayant, et en effet, pour un utilisateur lambda n’ayant pas mes connaissances en informatique (mon secteur d’activité professionnelle), ce n’est pas chose aisée. Mais j’étais dans le pire cas d’usage, avec donc des technologies propriétaires et fermées, conçues entre autre pour rendre toute migration vers un autre fournisseur peu aisée. Mon nouveau fournisseur utilisant des standards ouverts, toute future migration sera bien plus aisée et rapide à mener : il sera possible d’exporter simplement toutes les données, et de les importer ensuite chez le nouveau fournisseur.

Enfin, dans mon cas de figure, il y avait également un point important à prendre en compte : depuis de nombreuses années, j’utilise une adresse mail se finissant avec mon nom de domaine (edelzone.fr), sans pour autant héberger moi-même ma messagerie. Ceci est possible en paramétrant des entrées spécifiques dans le DNS de mon domaine. Voici pour information la procédure de mon fournisseur de messagerie, étant entendu que celle-ci peut varier d’un fournisseur à un autre. Certes, cela demande des opérations supplémentaires, et une bonne maitrise technique pour s’assurer que tout est bien paramétré, car sinon il y a un risque de ne plus recevoir du mail du tout. Mais dans mon cas de figure, la transition s’est bien passée, et s’est même révélée plus rapide que je ne pensais dans l’application des nouveaux paramètres, ceux-ci ayant été pris en compte dans le quart d’heure qui a suivi le paramétrage. Et, gros avantage, dans cette opération, mon adresse mail n’a pas changé, je n’ai eu à prévenir personne, ni à modifier mon email de compte ou de contact dans aucun service et site tiers.

Conclusion

A travers cet article, j’ai illustré 2 exemples concrets de services que j’ai transféré d’entreprises américaines à d’autres européennes, avec un niveau de service et fonctionnel quasiment identique, et une bien meilleure sécurité sur la confidentialité de mes données. Et finalement, ce sont les données parmi les plus confidentielles qu’on puisse être amené à utiliser, et donc les plus importantes à protéger.

Au passage, je constate que mon employeur ne semble pas accorder autant d’importance à cette notion de souveraineté numérique que moi, confiant le stockage d’une grande quantité de données au cloud de Microsoft. Avec tout de même une garantie contractuelle de stockage des données en Europe, ce qui n’est possible que pour des offres réservées aux professionnels (et donc pas avec un OneDrive grand public). Ce qui n’empêche à priori pas la collecte de données par Microsoft, notamment dans le cas d’usage de leur client de messagerie Outlook. Mais c’est le problème de mon employeur avant toute chose, mes données personnelles sont concentrées sur mon stockage personnel. Le stockage de mes données professionnelles ne relève pas de ma responsabilité.

Dans la même logique, il pourrait être tentant de poursuivre la démarche avec d’autres services. Mais je suis une personne pragmatique : pour moi, le côté fonctionnel a une très grande importance. Je n’ai pas pour objectif de migrer, à court et moyen terme, la totalité des services américains que j’utilise sur Internet. D’abord parce que toutes les sociétés américaines ne sont pas toutes des voleuses d’informations personnelles. Et puis, certes, tout n’est pas parfait, loin de là, dans d’autres services que j’utilise. Mais j’estime que le niveau fonctionnel d’un certain nombre d’entre elles est imbattable et non égalé, et/ou qu’il n’y a pas d’alternative européenne au niveau. C’est ainsi le cas des services de streaming musicaux (y compris Deezer, détenu à ce jour à 40% par des fonds financiers américains) et vidéos, et de Google Maps. Oui il y aura des fonds cartographiques ailleurs, mais qui ne seront pas accompagnés de compléments de service tels que les avis des internautes. De même, possédant plusieurs appareils Apple, il m’est difficilement concevable de ne plus utiliser iCloud du jour au lendemain, cassant ainsi tous les services offerts par Apple dans le cadre de l’utilisation de leurs produits.

Mais qui sait, dans de futures années, pourquoi pas aller plus loin, à la vitesse à laquelle les technologies évoluent, tout est possible !

PS : pour finir, je tiens à préciser qu’à l’heure de rédiger cet article, mon site internet et donc le contenu de ce blog est hébergé dans un datacenter en Europe, piloté par une société Canadienne, dont la politique est conforme au RGPD. Tout à fait en phase donc avec mes attentes et le thème de cet article 🙂

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *