IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Polémique en Belgique : un logiciel Microsoft utilisé pour consulter des données publiques

Le , par dourouc05

267PARTAGES

22  0 
La Belgique poursuit ses efforts d’informatisation et de maintenance de ses plateformes. Pour le grand public, le grand bond a eu lieu en 2002, avec le début de la délivrance de cartes d’identité électroniques, avec une puce mémorisant toute une série d’informations. Celle-ci est utilisable pour accéder à une grande partie des services en ligne (plusieurs certificats RSA sont générés et stockés sur chaque carte), mais aussi pour le système de soins, par exemple.

Cependant, cette informatisation ne se fait pas toujours dans les meilleures conditions. Récemment, le portail d’accès aux données fiscales, FisconetPlus, a entièrement fait peau neuve. Officiellement, cela a permis d’améliorer fortement le site : une interface plus conviviale, une recherche plus performante, etc. Le problème ? Le système est réalisé avec Sharepoint, un outil de Microsoft. De fait, bon nombre de services fédéraux belges disposent de licences pour les logiciels Microsoft : le SPF Finances a utilisé la sienne pour réaliser ce site. Il semblerait qu’il n’y ait pas eu de réelle réflexion à ce sujet : pas de vraie mise en compétition des solutions possibles, notamment les logiciels libres.

D’autres problèmes se posent. Pour accéder au site, il faut se créer un compte : selon le ministre de tutelle, c’est une contrainte technique imposée par Microsoft. Le site précédent était au contraire en libre accès. Il s’agit évidemment… d’un compte Microsoft, c’est-à-dire que la société américaine peut récupérer une bonne quantité de données sans grand problème. Le site belge ne contient pas vraiment d’informations à ce sujet, renvoyant uniquement vers la déclaration de Microsoft. L’avis de Marco Van Hees, député PTB, est que Microsoft a le beurre (l’argent des licences) et l’argent du beurre (les données des visiteurs). Cette création ne semble de plus pas si simple, tant pour des journalistes que des politiciens.



Sources : Quand le SPF Finances se lie à Microsoft (accès payant, dont photo), Overheidswebsite met fiscale regelgeving enkel toegankelijk via Microsoft-account, Fallait-il privatiser l’accès à la base de données fiscales du SPF Finances ? (PTB, parti politique belge à tendance communiste).

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Joass
Membre à l'essai https://www.developpez.com
Le 08/04/2018 à 10:59
Cependant, cette informatisation ne se fait pas toujours dans les meilleures conditions. Récemment, le portail d’accès aux données fiscales, FisconetPlus, a entièrement fait peau neuve. Officiellement, cela a permis d’améliorer fortement le site : une interface plus conviviale, une recherche plus performante, etc. Le problème ? Le système est réalisé avec Sharepoint, un outil de Microsoft. De fait, bon nombre de services fédéraux belges disposent de licences pour les logiciels Microsoft : le SPF Finances a utilisé la sienne pour réaliser ce site. Il semblerait qu’il n’y ait pas eu de réelle réflexion à ce sujet : pas de vraie mise en compétition des solutions possibles, notamment les logiciels libres.
Je réagis sur ce point parce qu'il me semble en effet très préoccupant. Quand j'étudiais en Suisse, à Genève, tous les PC de l'université utilisaient des solutions fournies par Microsoft. A notre époque, il existe de nombreuses alternatives open-source...Je pense que nos institutions peuvent faire un effort et éviter de donner nos impôts des à multi-nationales qui se gavent déjà bien assez et qui n'hésitent pas à voler nos données (vous avez dit Facebok ?!...)
8  0 
Avatar de MarieKisSlaJoue
Membre expert https://www.developpez.com
Le 08/04/2018 à 14:31
Ce qui est très étrange c'est que l'accès anonyme à un site créé sur SharePoint est parfaitement supporté. Donc vraiment on se demande ce que les développeurs on foutu.
Quand à la GDPR je ne suis pas sur qu'il ait de problème. Les services Microsoft respectent les normes, que ça soit le produit professionnel ou le compte Microsoft que l'ont crée nous même.
8  0 
Avatar de François DORIN
Expert éminent sénior https://www.developpez.com
Le 08/04/2018 à 13:55
Bonjour,

Ce qui me choque le plus ici n'est pas l'usage d'une solution Microsoft. Je suis en France et je pense qu'on est mal placé pour donner des leçons à se sujet à travers les contrats open-bar réalisés sans appels d'offres

Non, ce qui me choque le plus, surtout à la veille de la mise en oeuvre du RGPD, c'est d'avoir retenu une solution avec obligation de création d'un compte Microsoft (donc hors UE). Alors que l'ensemble des institutions (entreprise, organisation, gouvernement, etc) sont censées faire des efforts pour garantir la sécurité et protéger nos données personnelles d'ici le 25 mai, cette décision est pour le moins... étonnante !

Je me demande d'ailleurs comment cela peut être justifié et justifiable du point du vue du RGPD, car je doute fortement que l'excuse "c'est une contrainte technique" soit valable.
6  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 08/04/2018 à 16:22
Je pense aussi qu'il devrait y avoir des solutions techniques pour éviter ce problème, la c'est le service informatique qui est responsable pas Microsoft.

Microsoft a des serveurs en Europe, exemple : Microsoft ouvre officiellement quatre datacenters en France, et prévoit d'en ouvrir d'autres en Allemagne, en Suisse et aux EAU.

Et pour rappel : Accès aux données privées : Microsoft remporte un autre appel - Les données stockées en Europe ne seront pas transmises au gouvernement américain.

Je suis certain que Microsoft en aucun cas ne ferais l'erreur de ne pas suivre le RGPD, après c'est surtout aussi aux sociétés qui utilisent les logiciels ou services de Microsoft d'être conforme au RGPD. Comme on le voie dans cette étude : Gartner : Les entreprises ne sont pas encore prêtes pour la réforme européenne sur la protection des données, qui va entrer en vigueur en 2018 c'est très loin d'être gagné.
D'après ce que je peux en constater, certains grands groupes font actuellement des efforts énormes pour devenir conforme RGPD, par contre il y a un tas de petites entreprises qui n'ont même pas débuté le processus et qu'on même pas ni les moyens (trésorerie dans le rouge) ni les ressources humaines pour travailler sur le sujet, ça veux dire que en fait la très grande majorité des entreprises en Europe ne sont actuellement absolument pas conforme RGBD. D'autre part pour beaucoup de sociétés de Marketing (en plein dans le désormais célèbre Big Data ! ), appliquer le RGBD impliquerais de mettre de suite la clef sous la porte étant donné que le fondement même de leur activité n'est pas conforme au RGDP, et ce au moment même ou des investisseurs y ont investi des centaines de millions, je me demande comment donc tout cela va finir
6  0 
Avatar de François DORIN
Expert éminent sénior https://www.developpez.com
Le 08/04/2018 à 14:56
Citation Envoyé par MarieKisSlaJoue Voir le message
Les services Microsoft respectent les normes, que ça soit le produit professionnel ou le compte Microsoft que l'ont crée nous même.
Tout à fait. J'aurais dû être plus précis dans mes propos. Le problème pour moi ici ne vient pas de Microsoft, mais du portail d'accès aux données fiscales.

Dans le cadre du RGPD, on ne peut collecter que les données nécessaires et utiles aux traitements. Ici, l'identifiant (compte Microsoft, donc externe) est une donnée à caractère personnel dont le recueil est justifié par "on n'a pas le choix techniquement". Si cette justification passe, c'est une porte ouverte et un affaiblissement du RGPD car il sera alors facile de trouver/créer des contraintes techniques pour justifier le recueil de données.

De plus, en liant fortement leur service à la possession d'un compte Microsoft, quid du droit d'opposition ? Si un utilisateur ne veut pas que ses données soient traités par un tiers (en l'occurence ici Microsoft) comment fait-il ?
5  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 08/04/2018 à 17:15
Vu les polémiques actuelles sur le problème des données privées, je ne pense pas que ce ministère ait eu une bonne idée d'imposer à ses administrés de se créer un compte Microsoft, d'autant que c'était possible avec une technologie non Microsoft, et d'autant que c'était même possible avec une technologie Microsoft mais en bossant mieux.
4  0 
Avatar de Bono_BX
Membre confirmé https://www.developpez.com
Le 09/04/2018 à 9:34
Depuis quand Sharepoint oblige-t-il à avoir un compte Microsoft ????!!!!
Ce serait pas plutôt de l'incompétence de gens aillant mis en place la solution ?
2  0 
Avatar de MarieKisSlaJoue
Membre expert https://www.developpez.com
Le 17/04/2018 à 9:56
Citation Envoyé par henryII Voir le message
"Ce qui est très étrange c'est que l'accès anonyme à un site créé sur SharePoint est parfaitement supporté. Donc vraiment on se demande ce que les développeurs ont foutu"

On ne parle pas de développeurs lorsqu'on évoque des utilisateurs de SharePoint.
Personne ne développe quoi que ce soit sur cette horrible plate-forme..
C'est juste du clic clic Windows et on peut pas faire que ce que Microsoft autorise.
On est loin des outils WEB habituels.

Je trouve très dommage que les gens qui décident d'utiliser ce type de plate-forme soient vraiment des naïfs qui s'imaginent avoir fait un choix intelligent.
Bien sur que si on parle de développez quand on parle de SharePoint, SharePoint est une plateforme qui permet la configuration et le développement de ton site web. Si tu ne le faisait pas tu te retrouvera iavec un template de site totalement basique.

Et on est très proche de développement Web standard, la différence est le framework que tu vas utiliser pour que ton site soit sur SharePoint et la configuration que tu vas faire, comme si tu configurais ta basse de données ou ton serveur Web.

Donc si il à bien des développeurs SharePoint, tous comme des utilisateurs standard et ce qu'on appelle des Power User
2  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 09/04/2018 à 9:14
La vente de données doivent rapporter plus que le matériel.
1  0 
Avatar de sinople
Membre chevronné https://www.developpez.com
Le 09/04/2018 à 9:42
Dans le cadre du RGPD, on ne peut collecter que les données nécessaires et utiles aux traitements. Ici, l'identifiant (compte Microsoft, donc externe) est une donnée à caractère personnel dont le recueil est justifié par "on n'a pas le choix techniquement". Si cette justification passe, c'est une porte ouverte et un affaiblissement du RGPD car il sera alors facile de trouver/créer des contraintes techniques pour justifier le recueil de données.
On va probablement l'entendre très souvent le "on n'a pas le choix techniquement", il se situe entre le "on n'a pas le choix légalement" et le "le département marketing nous a pas laissé le choix".

Est-ce qu'on doit s'empêcher de mettre en place une authentification à double facteur par code SMS parce récolter le numéros de téléphone c'est pas GPRD compliance ? Et si on décide d'utiliser Google authentificator à la place parce que c'est plus simple (et probablement plus efficace que la solution de Roger le stagiaire) et que Google garanti être GPRD approved sur ce service ?

La GPRD n'interdit pas la collecte de données ni la transmission, elle t'oblige à la documenter, la justifier et te rend corresponsable de leur utilisation par de tierce partie.

Ici le problème, c'est surtout que le "on n'a pas le choix techniquement" serait un faux justificatif boiteux... Qu'il aurait mis un CMS open-source avec obligation de créer un compte local, ça aurait été la même chose. Si l'autorité responsable de la surveillance de l'application de la GPRD accepte "c'est mon premier jour" comme justificatif, le problème est ailleurs.
1  0