L’Université peut-elle épier votre navigation sur Internet ? Oui, mais à condition d’avoir une bonne raison de le faire et de vous en avertir. À l’heure où le gouvernement conservateur s’apprête à assouplir largement les conditions de la cybersurveillance avec le projet de loi C-30, Quartier Libre fait le point.
Si vous piratez un site Internet à partir d’un poste informatique de l’UdeM ou en passant par son réseau sans fil, vous risquez de vous retrouver dans le collimateur de la Direction générale des technologies de l’information et des communications (DGTIC). «Ce qui serait possible, c’est de noter les identifiants d’ordinateurs ou de portables qui se connectent sur le WiFi de l’UdeM. C’est tout à fait plausible que ça se fasse de façon automatique. Ce sont des données qui, dans des situations d’enquête, pourraient être réclamées par les forces de police», explique Pierre Trudel, professeur de droit à l’UdeM et spécialiste en protection de la vie privée.
«Dans un lieu donné, c’est techniquement possible que quelqu’un puisse voir tout ce qui se passe sur les ondes du réseau WiFi», confirme Michel L’Heureux, directeur des télécommunications à la DGTIC. Mais je peux assurer qu’il n’y a aucune ressource de l’UdeM qui passe son temps à faire ça.» Et pour cause. «C’est absolument impossible de faire une cybersurveillance sur un groupe d’individus aussi vague que les étudiants, il y a trop de monde, précise M. L’Heureux. On enregistre 30000 connexions par jour, et, pour ce qui est des courriels, il y en a des millions par semaine. Sur le WiFi de l’UdeM, la seule chose qui est faite, c’est une filtration à l’entrée pour éviter les virus ou autres. Et c’est, comme je le dis, une filtration, pas une surveillance.»
Flavie Côté, conseillère principale du Bureau des communications et des relations publiques de l’UdeM, affirme qu’aucune cybersurveillance n’est effectuée au sein de l’Université. «De façon générale, ce qui est fait, c’est une traçabilité, c’est-à-dire qui a fait quoi en ligne, mais l’information reste dans l’équipe qui suit le réseau», précise-t-elle. Une traçabilité notamment assurée par le service de courriel institutionnel, selon les Directives relatives à l’utilisation du courrier électronique. «Sachez que même si vous supprimez un courriel à partir de votre poste de travail, une copie pourrait exister et demeurer intacte pendant un certain temps dans les copies de sécurité des serveurs de courrier électronique de l’Université », explique le document officiel.
Une surveillance sous surveillance ?
Selon M. L’Heureux, l’UdeM n’aurait d’ailleurs aucun intérêt à surveiller les communications électroniques de ses étudiants. Il considère ce scénario comme «assez farfelu». Une opinion que partage M. Trudel. «C’est loin d’être évident, selon moi, que l’Université se mette à collectionner ces données-là si elle n’a pas de motif. Ces données-là existent, mais ce n’est pas pour ça que l’Université peut s’en servir comme elle le souhaite, ce serait une atteinte à la vie privée», considère-t-il.
« L’Université de Montréal, comme toute autre entité, n’a pas en soi le droit de surveiller ses employés et ses étudiants sans raison, affirme Pierre Trudel. Elle peut le faire dans la mesure où elle a des soupçons, ou qu’elle a constaté des comportements dommageables. » Cependant, ces raisons sont déterminées par l’Université elle-même, ce qui lui confère un pouvoir arbitraire sur ses éventuelles actions de cybersurveillance. Selon M. Trudel, l’UdeM déclenchera une enquête interne dans les cas graves, s’il y a harcèlement ou menace , par exemple. En revanche, elle ne pourra conserver et exploiter légalement les éléments trouvés que s’ils servent à prouver des dommages, explique M.Trudel.
Mme Côté confirme ces propos en se référant à la politique de sécurité informatique et d’utilisation des ressources informatiques de l’Université de Montréal, qui stipule que «le responsable de ressources informatiques ne peut accéder aux données d’un usager que sous réserve d’une autorisation préalable des autorités compétentes et selon les règles de l’Université. Dans tous les cas, ces interventions et leurs motifs sont consignés. » Ce document, disponible sur le site de l’UdeM, explique en outre que «lorsque la gestion de ressources informatiques exige qu’une surveillance de leur utilisation impliquant l’accumulation de données personnelles soit exercée, les usagers en sont informés à l’avance.»
Le déclenchement d’une cybersurveillance peut aussi découler de demandes extérieures à l’Université. « L’UdeM peut partager des informations obtenues sur son réseau s’il y a un mandat très clair », confirme Flavie Côté. Comme pour les enquêtes internes, c’est la DGTIC qui est responsable du traitement de ces demandes extérieures. «Les adresses IP de l’UdeM sont facilement reconnaissables. Les individus ou les entreprises nous adressent leurs plaintes en cas d’actes illégaux, comme le téléchargement de matériel protégé, ou en cas d’actes juste nuisibles, comme lorsque quelqu’un lance un pourriel ou pirate un site depuis l’UdeM», explique M. L’Heureux. Au final, nos enquêtes sont [presque toujours] en réaction à des plaintes de ce type.»
La DGTIC en traite plusieurs dizaines par semaine, pour la plupart relatives à des infractions au droit d’auteur (téléchargement de films ou de musique). «On nous dit alors que tel jour, telle adresse IP a fait telle action. Nos enquêtes se limitent alors à chercher les éléments nécessaires pour déterminer le local ou le poste utilisé. C’est un processus long et fastidieux. Mais on ne vise jamais une personne physique », précise M. L’Heureux.
S’il est exact que toute donnée personnelle prise à l’insu d’une personne peut être considérée comme une atteinte à la vie privée, « les tribunaux acceptent toute captation et toute donnée si c’est de la surveillance légitime, qui illustre des comportements dommageables pour l’Université ou pour autrui. Dans ces cas-là, ce n’est pas considéré comme une violation », résume M. Trudel. Par conséquent, si la cybersurveillance sur le campus est bien encadrée d’un point de vue légal, il est en revanche illusoire de penser que ce pare-feu juridique est infranchissable.
Projet de loi C-30: les universités passent au travers des mailles de la Toile
S’il est adopté, le projet de loi C-30 sur la protection des enfants contre les cyberprédateurs déposé le 15 février dernier par les conservateurs, obligera sur demande écrite les fournisseurs de services Internet à transmettre à la police, au Service canadien du renseignement de sécurité et au Commissaire de la concurrence, des informations à propos de leurs clients. Présenté par le gouvernement comme un outil pour contrer la pédophilie, le projet de loi dérange les défenseurs des libertés civiles, qui craignent un décuplement des capacités de surveillance des individus par les autorités.
«C’est très inquiétant, car ce projet lève l’obligation de passer devant un juge afin d’obtenir un mandat de perquisition pour être autorisé à chercher des données personnelles », explique Pierre Trudel, professeur au Centre de recherche en droit public (CRDP) de l’UdeM spécialisé en protection de la vie privée.
Stéphane Leman-Langlois, titulaire de la Chaire de recherche du Canada en surveillance et construction sociale du risque, juge quant à lui le projet de loi «complètement ridicule». Il souligne sur son blogue qu’à peu près «n’importe qui» pourrait être autorisé à fouiller dans les données des citoyens puisque, dans sa forme actuelle, le projet de loi stipule que «le ministre [pourrait] désigner toute personne comme inspecteur […] pour l’exécution et le contrôle d’application de la présente loi».
Toutefois, ce projet de loi devrait rester à la porte des campus. «Les universités, les institutions publiques et les organismes sans but lucratif (OSBL) ne seraient pas visés par C-30. Le gouvernement ne pourrait pas, par exemple, demander des renseignements qui proviennent des connexions Internet des universités », explique M. Trudel en ajoutant que l’université a l’obligation fondamentale de garantir la protection des données confidentielles. Les universités ne pourront pas plus les utiliser en interne à leur guise si la loi C-30 est adoptée. «Certes, il y a beaucoup d’imprécisions dans le projet de loi. Mais l’université devra toujours obtenir le droit de surveiller les agissements des gens. Si elle le fait sans mandat, elle s’expose à des sanctions », assure-t-il.
FRANCIS HALIN
Surfez, vous êtes filmés
À l’ère où nous sommes plus épiés que jamais par des caméras, comment réagissons-nous lorsque nous savons que nous sommes surveillés ? Le Laboratoire de surveillance virtuelle (LSV) propose d’étudier ces comportements dans le cadre d’un jeu en réseau.
Parcs, rues, centres commerciaux et bureaux composent cette microsociété hyperréaliste. Mais attention, ce qui a toutes les apparences d’une nouvelle version de SimCity est en réalité un terrain d’expériences sociologiques orchestré par Stéphane Leman-Langlois, professeur de criminologie à l’Université Laval et titulaire de la Chaire de recherche du Canada en surveillance et construction sociale du risque, et son équipe de chercheurs-étudiants.
Une fois à l’intérieur du jeu, les participants doivent effectuer des missions, comme porter une valise d’un point A à un point B. Les chercheurs notent leurs réactions par rapport aux caméras de surveillance et aux agents de sécurité qui les observent ou qui les interpellent. Leurs déplacements et leurs actions sont suivis pas à pas. Le gouvernement fédéral a investi près d’un million de dollars dans cette aventure inspirée en partie des simulateurs de sous-marins de l’armée canadienne. « On est encore au point où certains s’accrochent dans le décor et ont de la difficulté à bouger, mais ça va changer », prédit M. Leman-Langlois.
Pour l’instant, l’objectif principal du professeur et de son équipe est de faire participer le plus grand nombre d’internautes possible à cette aventure.
C’est en partie pour recruter des acteurs dans la communauté universitaire de l’UdeM que Stéphane Leman-Langlois est venu présenter le projet du LSV au Centre d’ études et de recherches internationales (CÉRIUM) le 21 février dernier.
Un retour aux sources pour le chercheur, puisqu’il a fait son baccalauréat, sa maîtrise et son stage postdoctoral à l’UdeM.
FRANCIS HALIN