Internet dans les bibliothèques : rien n’oblige à filtrer les contenus ni identifier les gens !

Je suis ravi de vous proposer aujourd’hui la réponse à la question suivante :

Pourquoi, aujourd’hui, alors que les bibliothécaires revendiquent la liberté et la gratuité d’accès à la consultation des documents sur place et que celle-ci est quasi-unanimement appliquée, faut-il encore demander aux usagers non-inscrits de décliner leur identité pour bénéficier d’un simple accès à internet ?

La réponse figure dans un texte rédigé par Michèle Battisti de l’ADBS (voir aussi ici sur son blog) et amendé par d’autres professionnels proches de l’IABD avant publication. Vous trouverez aussi un commentaire sur le blog SIlex. Extrait :

Nulle obligation [pour les bibliothèques] d’identifier les personnes ni même de filtrer les accès à l’internet ! En cas de réquisition, les bibliothèques, les services d’archives et d’information abonnés à des FAI doivent remettre aux enquêteurs les logs de connexion et toute autre information habituellement recueillie. Il leur est recommandé de remettre aussi les chartes communiquées aux usagers et les informations destinées aux personnels.

Vous avez bien lu ! Oubliez les fichiers excel pour inscrire les noms des internautes occasionnels, oubliez la gêne (réciproque) d’exiger le nom et le prénom des personnes qui viennent consulter internet dans les bibliothèques, tout ça ne repose sur aucune obligation légale ! Pour vous en convaincre et trouver toutes les références juridiques à jour, lisez le texte sur le site de l’IABD !

Il me semble que l’on vit dans une société déjà suffisament sécurisée pour ne pas que dans les bibliothèques publiques un geste aussi banal que celui d’enter pour aller consulter ses emails exige de s’identifier…

Le Conseil Constitutionnel lors des débats autour d’Hadopi a consacré l’accès à internet comme un droit fondamental, n’est-il pas temps le rendre concret dans les bibliothèques ?

Bibliothécaires, simplifiez vos procédures ! (1072)

This work, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-ShareAlike 3.0 France License.

Silvae

Je suis chargé de la médiation et des innovations numériques à la Bibliothèque Publique d’Information – Centre Pompidou à Paris. Bibliothécaire engagé pour la libre dissémination des savoirs, je suis co-fondateur du collectif SavoirsCom1 – Politiques des Biens communs de la connaissance. Formateur sur les impacts du numériques dans le secteur culturel Les billets que j'écris et ma veille n'engagent en rien mon employeur, sauf précision explicite.

34 Responses

  1. Synt4XX_3rr0r dit :

    Je pense que vous vous lancez un peu trop hâtivement dans une interprétation toute personnelle …
    La bibliothèque n’est peut-être pas contrainte de vérifier les identités, mais elle est néanmoins responsable de l’usage qui est fait de sa connexion à Internet, donc si elle l’ouvre à ses usagers, ça sera elle qui sera poursuivie en cas d’abus … SAUF si elle arrive à prouver que cet abus a été commis par un utilisateur qui n’a pas respecté la charte qu’il avait signé, et pour pouvoir prouver cela il faut des logs qui comportent une trace de l’authentification du fautif.
    Autrement dit : vous n’êtes pas obligé de fliquer vos usagers, mais alors s’ils font des bêtises, c’est vous qui en subirez les conséquences …
    Alors bien sûr, il y a relativement peu de chances que vous finissiez en prison, en revanche si la HADOPI vous coupe la ligne pour 6 mois à cause d’un usager indélicat, vous n’aurez plus que vos yeux pour pleurer … (et les autres usagers du même coup).

    • Bonjour,
      On a précisé qu’il fallait conserver les logs et expliqué comment procéder à cet effet. Il nous appartient aussi de remettre lors d’une enquête, tous les documents dont on dispose. Par ailleurs, on s’engage à éviter tout débordement (chartes, contrôle, diligence, etc .).
      Les enquêteurs sont capables d’interpréter les logs pour retrouver la personne à l’origine de l’usage illicite. C’est ce qui nous a été clairement indiqué lors des travaux menés  sur la responsabilité des EPN dans le cadre du Forum des droits sur l’internet, dont les recommandations figurent  parmi les références bibliographiques indiquées dans la  communication de l’IABD.
      Bien cordialement,
      Michèle Battisti

  2. Synt4XX_3rr0r dit :

    « Les enquêteurs sont capables d’interpréter les logs pour retrouver la personne à l’origine de l’usage illicite. »
    => OUI, à condition que les utilisateurs soient obligés de s’authentifier, sinon c’est impossible dans le cadre d’un réseau privé tel que des postes en libre accès ou points d’accès wifi (cas classiques dans les bibs). Donc l’étape login/motdepasse n’est peut être pas légalement obligatoire mais fortement recommandée pour la tranquillité des responsables de l’établissement. Moi, j’appelle cela identifier les gens (pas surveiller ni filtrer : juste identifier … au cas où).
    Enfin bref, chacun fait bien comme il veut du moment que c’est en connaissance de cause … mais à la lecture de ce billet on a l’impression que l’authentification des utilisateurs est superflue, ce qui me semble particulièrement trompeur et dangereux pour quelqu’un ne comprenant pas les risques encourus.

  3. Synt4XX_3rr0r dit :

    PS : même si ce n’est pas rendu obligatoire par la loi, ça peut très bien l’être par le le contrat ou la charte qu’à la bib avec son fournisseur d’accès (qu’il soit privé ou public).
    Par exemple, pour les BUs reliées au réseau RENATER, ça serait clairement une grave violation du règlement que de laisser des postes ou du wifi en libre accès sans aucun système d’authentification.
    Et je pense qu’il doit en être de même pour pas mal de BMs dont la connexion est fournie par les services municipaux.

    • Attention, dans le titre du billet je me place du point de vue du service rendu par le bibliothécaire à l’usager.
      Ce qui est lourd pour les équipes et entrave le libre accès des utilisateurs à internet c’est bien le fait de devoir être identifié par un bibliothécaire manuellement sur un fichier informatique complété à la main, à chaque fois qu’ils viennent quand ils ne sont pas inscrits à la bibliothèque !

      Après effectivement il doit être possible d’imposer une inscription faite par l’utilisateur lui même pour pouvoir garder des traces, c’est ce qui se passe très souvent lorsque le wifi est proposé.

      Mais là encore, pourquoi (en dehors des obligations contractuelles que vous mentionnez à juste titre, à ne pas négliger oui) prendre toutes ces précautions alors que la loi ne l’impose pas ? On ne pourra pas reprocher à un directeur de bib ayant bien affiché les obligations dans une charte dans le lieu d’accès au web de n’avoir pas facilité le travail de la police, puisque la loi n’est clairement pas faite pour les points d’accès publics à internet !

      Pourquoi se croient-on obligés d’être sytématiquement du côté de la sécurité maximum au détriment de la facilité d’accès des usagers à Internet ?

      Il me semble moi qu’il s’agit d’un vrai choix de service public, et que la tendance politique actuelle est de clairement jouer sur ces peurs de déviances d’internet en passant d’une logique de libre accès à une logique de contrôle et de filtrage des réseaux.

      Au delà des aspects techniques et juridiques, ce qui se joue là c’est bien lea capacité des bibliothèques à exister pour leurs missions dans un environnement où l’internet doit être librement accessible à l’image des entreprises qui en ont bien compris l’intérêt de proposer du wifi à gogo et sans inscription (intérêt commercial, là encore si le risque juridique était si fort, ces entreprises s’abstiendraient, et ce n’est pas le cas) Starbuck ou macdo sont de fait des points d’accès à l’information pour tous, contrairement aux services publics que sont les bibliothèques !

      Et si l’on mettait autant d’énergie et d’engagement à défendre les libertés fondamentales dans la société de l’information à l’heure du filtrage des réseau et des menaces sur la neutralité du Net qu’on a pu en mettre pour défendre la gratuité, le libre accès, les espaces citoyens et non-marchand que sont les bibliothèques d’aujourd’hui ?

  4. B. Majour dit :

    Bonjour Michèle

     » Les enquêteurs sont capables d’interpréter les logs pour retrouver la personne à l’origine de l’usage illicite. »

    Là, j’aimerais savoir comment ils peuvent faire.

    Sauf à être devin, je vois mal comment on peut tracer une personne non inscrite, qui utilise un poste en libre accès dans une bibliothèque, pour un surf anonyme.
    Surtout avec une ligne partagée entre plusieurs machines.

    Même si on peut concevoir que l’accès à des comptes Facebook, Twitter, mail ou autre, offre déjà une excellente identification de la personne. Donc de 98-99 % des personnes connectées.

    Et en même temps, on peut se demander, dans ces conditions, à quoi peut bien servir :
    « Comme l’indique le Forum des droits sur l’internet [7], la conservation des logs peut se faire de trois manières différentes » (http://www.iabd.fr/spip.php?article96)

    Car, à quoi bon… le provider les a par défaut tous ces logs.
    Certes, la police doit chercher un peu plus si la bibliothèque est importante, mais ça n’a rien d’insurmontable, ni ne justifie la coûteuse mise en place de l’un des trois services préconisés à l’intérieur de la bibliothèque.

    Après, restera le 1 % qui vient à la bibliothèque pour « nuire », en sachant ce qu’il fait, sans laisser de trace… si c’est vraiment possible. Et de manière répétitives ???

    Quelque part cela vide complètement de sa substance l’obligation de conserver les logs ou l’identité des personnes… pour une bibliothèque.

    Et il serait bon d’en discuter avec les forces de police et les responsables de l’Etat, pour mesurer l’utilité/l’intérêt/la pertinence pour la police de cette obligation légale. Coûteuse et complexe à mettre en oeuvre pour les bibliothèques !

    Je ne pense pas que cette discussion ait eu lieu.
    Une démonstration à ce sujet s’est-elle déroulée quelque part ?

    Peut-on saisir le Conseil Constitutionnel sur cette problématique ?
    Seul le savoir permet de répondre avec bonne mesure.

    Dans le même ordre d’idée, je me demande aussi comment s’engager à éviter tout débordement (chartes, contrôle, diligence…).
    De manière concrète, qu’est-ce que ça donne ?!

    Un usager non inscrit n’a rien signé, au contraire des inscrits.
    Il n’est donc pas tenu, juridiquement parlant, d’avoir lu les chartes (souvent longues et compliquées). Aucun engagement de sa part.
    Il aura beau jeu de dire, s’il est pris sur le fait : « je ne savais pas ! »

    Pour ce qui est du contrôle, cela veut-il dire un bibliothécaire en surveillance permanente ?
    Un point bien plus contraignant qu’une inscription pour la réservation (dont on tire d’autres avantages, entre nous soit dit, dont celui de la limitation du temps sur une machine… vous avez dit « libre accès » ? ;-)… ici, rien que pour chipoter sur les mots.)

    En surveillance diligente = derrière les usagers, ou bien au contrôle sur les connexions, en direct.
    Ce qui suppose des postes plus tout à fait en libre accès.

    Nouveau coût pour la bibliothèque, ce « libre » accès surveillé.

    Toute cela, faute de savoir comment les services de police travaillent.
    Parce que s’ils peuvent surveiller les logs de milliers de personne, nous sommes proprement ridicules dans les bibliothèques avec nos dizaines de connexions simultanées, dans le meilleur des cas.
    Et s’ils sont capables de discriminer X postes par ligne, ça me semble une information importante pour les bibliothécaires afin de diminuer leurs frais.

    A-t-on, encore une fois, oublié de poser la question aux policiers chargés de ces opérations ?
    Les seuls gens capables de nous renseigner sur ce qu’il en est vraiment !

    Etaient-ils présent sur le Forum des droits sur l’Internet ?
    Ont-ils été conviés ?

    Bien cordialement
    B. Majour

    P.S. : et puis, si par la même occasion, quelqu’un pouvait m’expliquer la phrase sur le site de l’IABD: « enjoignant l’abonné de sécuriser son poste ». Que signifie le mot sécuriser ?
    Surtout dans le cadre de la loi Hadopi où on parle de téléchargements d’oeuvres !
    Donc que veut dire « sécuriser » un poste ? ou une entrée Wi-Fi ? dans ces conditions.
    Fermer le téléchargement ???  :-)

  5. Synt4XX_3rr0r dit :

    ” Les enquêteurs sont capables d’interpréter les logs pour retrouver la personne à l’origine de l’usage illicite.”
    Là, j’aimerais savoir comment ils peuvent faire.
    Sauf à être devin, je vois mal comment on peut tracer une personne non inscrite, qui utilise un poste en libre accès dans une bibliothèque, pour un surf anonyme.
    Surtout avec une ligne partagée entre plusieurs machines. »
    => Ben justement, dans ce cas de figure, c’est impossible, d’où la nécessité d’authentifier les utilisateurs.
    « Car, à quoi bon… le provider les a par défaut tous ces logs. »
    => Eh NON ! Justement … le fournisseur d’accès n’a que les logs du trafic Internet, pas ceux du réseau interne de la bib, or c’est justement là que l’on trouve les traces d’authentification qui permettent de relier ce trafic à un nom.
    « Certes, la police doit chercher un peu plus si la bibliothèque est importante, mais ça n’a rien d’insurmontable, ni ne justifie la coûteuse mise en place de l’un des trois services préconisés à l’intérieur de la bibliothèque. »
    => Eh si ! Pour la raison que je viens d’expliquer, c’est insurmontable sans les logs internes de la bib, d’où l’obligation de conservation qui est parfaitement justifiée.
    « Après, restera le 1 % qui vient à la bibliothèque pour “nuire”, en sachant ce qu’il fait, sans laisser de trace… si c’est vraiment possible. Et de manière répétitives ??? »
    => C’est en effet peu probable, mais possible : il suffit de pas avoir de bol pour que ça vous tombe dessus et vous pouvez aller au devant de problèmes plus ou moins sérieux (de l’explication embarrassante au témoignage au tribunal en passant par la HADOPI).
    Après, chacun fait ce qu’il veut (s’il n’est pas soumis à une obligation autre que légale, du style contractuelle par exemple), à vous de voir si c’est un risque que vous acceptez de prendre ou pas au vu du bénéfice attendu …
    « Et il serait bon d’en discuter avec les forces de police et les responsables de l’Etat, pour mesurer l’utilité/l’intérêt/la pertinence pour la police de cette obligation légale. Coûteuse et complexe à mettre en oeuvre pour les bibliothèques ! »
    => Pour l’utilité, pas besoin de leur demander : les raisons techniques sont évidentes pour n’importe quel informaticien. Quand à la pertinence face aux inconvénients, je n’ai pas d’avis là-dessus : c’est le choix qui a été fait par le législateur, je ne sais pas si c’est le meilleur mais en tout cas il se défend.
    « Dans le même ordre d’idée, je me demande aussi comment s’engager à éviter tout débordement (chartes, contrôle, diligence…). »
    => C’est justement parce que c’est impossible à garantir que connaître le coupable peut vous donner un minimum de protection si ça arrive.
    « Toute cela, faute de savoir comment les services de police travaillent.
    Parce que s’ils peuvent surveiller les logs de milliers de personne, nous sommes proprement ridicules dans les bibliothèques avec nos dizaines de connexions simultanées, dans le meilleur des cas. »
    => Ils travaillent comme les autres informaticiens, leur techniques ne sont pas secrètes ni miraculeuses et ils ne surveillent pas les gens (à part peut-être pour des enquêtes sur des grosses affaires avérées) par contre en cas de plainte, ils récupèrent les logs et les analysent.
    « Et s’ils sont capables de discriminer X postes par ligne, ça me semble une information importante pour les bibliothécaires afin de diminuer leurs frais. »
    => Non, ils ne le peuvent pas : sans les logs du réseau de la bib, c’est techniquement impossible.
    « A-t-on, encore une fois, oublié de poser la question aux policiers chargés de ces opérations ? »
    => Je pense que c’est précisément parce qu’on leur a posé la question que la conservation des logs est apparue comme indispensable aux enquêteurs.
    « Les seuls gens capables de nous renseigner sur ce qu’il en est vraiment ! »
    => Non, encore une fois : les informaticiens sont parfaitement au courant de « comment ça marche » et de ce qu’il est techniquement possible de faire ou non. Les informaticiens de la police n’utilisent pas de techniques inconnues des autres informaticiens, ils ont juste des droits et des accès que les autres n’ont pas (ce qui est normal).
    « et puis, si par la même occasion, quelqu’un pouvait m’expliquer la phrase sur le site de l’IABD: “enjoignant l’abonné de sécuriser son poste”. Que signifie le mot sécuriser ? »
    => C’est justement un gros problème, et une des principales critiques faites à la loi HADOPI : la sécurisation absolue n’existe pas ! Donc faute de définir précisément des critères permettant d’évaluer un niveau de sécurité jugé acceptable, tout le monde est potentiellement sanctionable sur ce point !
    « Surtout dans le cadre de la loi Hadopi où on parle de téléchargements d’oeuvres ! »
    => Dans la pratique, il semble que ce soit le seul cas de figure ou cette histoire de sécurisation sera utilisée pour condamner : c’est un peu compliqué et d’une évidente mauvaise foi, mais ils n’ont pas réussi à trouver meilleure base légale pour punir les téléchargeurs.
    « Donc que veut dire “sécuriser” un poste ? ou une entrée Wi-Fi ? dans ces conditions.
    Fermer le téléchargement ???   »
    => En gros, oui : selon les vagues indications données, il semble qu’il faudra utiliser des logiciels de filtrage (vous avez dit libre accès) « homologués » pour se protégér des poursuites pour téléchargement illégal.
    A noter qu’on ne sait pas sur quels critères sera effectué le dit filtrage ni même s’il y en aura de définis (vous avez dit libre accès ?) ni s’ils seront disponibles pour tous les types d’équipements, tous les systèmes d’exploitations (vous avez dit ? … bof, non rien).
    Et puis de toutes façons cela ne concernera que le téléchargement illégal (cela dit, c’est déjà pas mal, c’est le risque le plus probable) en cas d’utilisation de votre réseau pour tout autre délit (diffamation, hacking, escroquerie, pédophilie, j’en passe et des meilleures) on en reviendra aux logs et à la question : qui est responsable ?

    • Dom dit :

      Bonjour Synt4XX_3rr0r ,
      Nous avons eu le souci dans notre bibliothèque. Les logs ont permis de remonter jusqu’au poste utilisé. La structure n’a pas été en mesure de fournir le nom de l’utilisateur (malgré la présence d’un planning!!).
      Mais une fois le poste trouvé les policiers procèdent par recoupement. il consulte l’historique de consultation sur ce poste durant la période. Il suffit que la personne se soit connectée (pour envoyer un mail de menace elle la forcément fait) pour qu’elle laisse des indices. La police va ainsi recouper tous les indices laissés par les visites effectuées par la personne et, peut-être, la localiser.

      • Merci pour ce commentaire, c’est bien ce que je disais, non seulement on s’emm… avec des procédures et des plannings, mais en plus quand c’est sensé servir ça sert à rien !

        Laissons donc la police faire son travail, faisons le notre, celui de faciliter l’information la formation et la diffusion des savoirs !

  6. blog photo dit :

    La question qu’il faudrait se poser c’est : pourquoi consulter ses mails dans une bibliothèque ? S’agit il de servir de cyber café ?

    • Ah ben voilà qui fait avancer le débat ! soupir.

    • B. Majour dit :

      Non, ça suffit juste à un espagnol pour rassurer sa famille, après deux cents kilomètres à vélo, avant de repartir chez lui, toujours en vélo.
      Ou à un élu d’une autre commune de vouloir consulter un email important… s’il n’avait pas oublié son mot de passe pour consulter sa boîte Yahoo !
      Là, on peut sourire sur le libre accès  :-)
      B. Majour
       

  7. B. Majour dit :

    Bonjour Synt4XX_3rr0r

    Oui, on peut avoir le même raisonnement que vous.
    Je l’avais en me basant sur le côté pur informaticien, sauf que ce côté-là n’est pas celui du policier.

    Et je vais vous expliquer pourquoi tout me paraît inutile, si on ne se base pas sur la finalité attendue pour ces mesures.

    « Surtout avec une ligne partagée entre plusieurs machines.”
    => Ben justement, dans ce cas de figure, c’est impossible, d’où la nécessité d’authentifier les utilisateurs.

    Bien, supposons que je suis le méchant. (pourquoi pas)
    Comment vais-je m’y prendre  (comment s’y prennent les hackers) ?

    Je vais exploiter une faille.

    A ce niveau du problème, on peut en trouver de deux sortes :
    – techniques
    – humaines

    D’après vous qu’elle est la plus facile à franchir ?
    La réponse est évidente.

    Que veut dire faille humaine lorsqu’il s’agit d’authentifier un utilisateur ?

    En tant que méchant, vais-je vous fournir mon vrai nom ?
    – La réponse est non.

    Allez-vous me demander ma carte d’identité ?
    – De quel droit ?
    – Si oui, j’en ai une fausse (oui, dans mon hypothèse je suis vraiment très méchant… mais pas thon ! :-) ). Et puis, si je suis un terroriste, j’en ai toujours une ou plusieurs fausses, c’est la base de mon « action ». (pour rappel, cette loi de conservation des logs vient de la loi anti-terroriste)

    La question se pose alors : comment peut-on vraiment authentifier une personne ?<br>

    Catastrophe, j’ai été maladroit, j’ai laissé des traces, la police remonte jusqu’à moi.
    Dénoncé par vos logs, je passe devant le juge…

    Il me dira : « A telle heure, tel jour, vous avez téléchargé tel titre protégé par le droit d’auteur sur le poste X de la bibliothèque ».
    Moi, innocent et candide, je répondrai alors au juge : « désolé, mais à ce moment-là, j’ai été faire pipi/consulter un document. »
    <br>
    Même si c’est mensonger, qui va prouver que je mens ?
    (Quel bibliothécaire est capable de se souvenir de qui a été consulter un document, ou de faire pipi à l’heure dite ? Ceci, rien qu’au bout d’une journée de travail !)

    Sauf à me prendre en flagrant délit, vous n’avez aucune preuve.

    Une preuve.
    Car, c’est bien la justice qui est en bout de ligne. Et la justice s’appuie sur des preuves réelles et/ou des faisceaux de présomptions. On doit, quelque part, prouver le délit, faute de quoi le jugement tourne court.
    <br>

    => Eh si ! Pour la raison que je viens d’expliquer, c’est insurmontable sans les logs internes de la bib, d’où l’obligation de conservation qui est parfaitement justifiée.

    A part que, au bout du compte, ça n’a aucune valeur juridique !  :-)

    Ce sont des présomptions qui peuvent orienter les policiers sur l’une ou l’autre personne présente sur la machine, mais pas plus.

    En supplément, comme je suis méchant mais pas con, je vais tout simplement attendre qu’une personne me laisse sa machine allumée. Mieux, qu’elle me donne son code d’accès et son mot de passe… en accès public, on peut le faire, il suffit d’attendre derrière la machine. Ou d’aider un gamin, une mamie à taper son code, mais là on laisse des souvenirs.

    Derrière, ça ne veut pas dire : collé. ;-)
    Et qu’on ne me dise pas qu’il faut un quart d’heure pour rentrer un mot de passe.
    Avec un simple téléphone portable qui fait caméra, j’obtiens les renseignements que je veux en quelques secondes, tout en faisant semblant de consulter mes mails, des photos, etc.

    Génial, l’accès d’une personne innocente !
    <br>
    L’exploitation de la faille humaine est sans limite.

    Et on pourra mettre toutes les protections techniques que l’on souhaite, la faille humaine sera toujours là.

    Au bilan, les logs ne servent à rien.
    Sauf peut-être à réduire, un peu, le champ de recherche des policiers. (mais de combien ?)
    Et ça n’apporte aucune preuve tangible.

    Si c’est la seule finalité… je trouve qu’on gaspille beaucoup d’argent en bibliothèque pour quelques cas isolés, qui n’apportent rien à la procédure judiciaire.

    Ce qui me ramène à dire : il faut contacter les forces de police pour connaître l’utilité de cette conservation des logs, afin d’ajuster les connexions Internet en fonction de leur potentiel (celui des policiers) de recherche et de croisement d’information.

    Pas la peine d’avoir une ligne par poste, s’il suffit d’en avoir une par dix postes.

    Premier bilan : l’authentification ne sert à rien.
    Les logs probablement à rien non plus.

    Bien cordialement
    B. Majour

  8. B. Majour dit :

    <p>
    => C’est en effet peu probable, mais possible : il suffit de pas avoir de bol pour que ça vous tombe dessus et vous pouvez aller au devant de problèmes plus ou moins sérieux (de l’explication embarrassante au témoignage au tribunal en passant par la HADOPI).

    Quels problèmes ?
    Les textes de lois mentionnent-ils les sanctions prévues face aux contrevenants ?
    Que risque-t-on réellement pour les logs absents ?

    Les bibliothécaires de l’établissement de Dom ont-ils été sanctionnés pour leur planning défaillant, ou bien les policiers s’en sont-ils passés ?

    => Pour l’utilité, pas besoin de leur demander : les raisons techniques sont évidentes pour n’importe quel informaticien. Quand à la pertinence face aux inconvénients, je n’ai pas d’avis là-dessus : c’est le choix qui a été fait par le législateur, je ne sais pas si c’est le meilleur mais en tout cas il se défend.

    Raisons techniques pour l’informaticien. Nous sommes d’accord.
    Mais à part « pour l’informaticien » ???

    Et qu’en est-il pour la véritable finalité de la conservation de ces logs ?

    Là, au contraire de vous, il me semble légitime de le demander aux forces de l’ordre concernées pour en évaluer la pertinence !

    Surtout que, si j’étais policier, je ne contrôlerais pas un seul poste, mais tous les postes alentour à la même heure.  Des fois que vos copains soient avec vous, et moins discrets que vous.

    Sur le Net, vos amis sont plus bavards que vous à votre sujet.
    Même quand vous effacez vos traces, celles de vos amis restent en place.

    “Et s’ils sont capables de discriminer X postes par ligne, ça me semble une information importante pour les bibliothécaires afin de diminuer leurs frais.”
    => Non, ils ne le peuvent pas : sans les logs du réseau de la bib, c’est techniquement impossible.

    Là, c’est comme si on me disait. Il y a un voleur dans un immeuble, sans noter les entrées et sorties des individus, je ne peux pas y arriver.

    Sauf si on a la patience des policiers, et leur façon d’enquêter.
    Enquête de voisinage, filature, recoupement d’information, c’est leur lot quotidien.

    “A-t-on, encore une fois, oublié de poser la question aux policiers chargés de ces opérations ?”
    => Je pense que c’est précisément parce qu’on leur a posé la question que la conservation des logs est apparue comme indispensable aux enquêteurs.

    Je crois me souvenir que ça n’a pas été le cas.
    Donc, il serait bon de s’en assurer… et de voir si le problème n’a pas été traité uniquement du côté technique, en croyant qu’on peut identifier formellement un individu à travers son IP.
    Chose fort amusante pour un informaticien.

    Mais pourtant une base pour la Loi Hadopi !

    Vous comprenez pourquoi j’ai des doutes, de gros doutes sur l’implication des policiers chargés de ces missions particulières.
    </p>

    Responsable ?

    « Sécuriser » son poste.
    Qu’est-ce que ça veut dire ?

    <p>
    Si je vous dis de sécuriser votre porte… qu’est-ce que ça veut dire ?
    Que vous devez empêcher qu’on puisse vous glisser une feuille sous la porte ou de blinder la porte si fort que les pompiers ne peuvent plus intervenir chez vous ? (ce qui revient à vous mettre en danger)

    Ou alors, suffit-il de mettre un cadenas, style : on ne peut brancher aucune clef USB ou support amovible sur le poste ? (sans mot de passe)
    Ce qui empêche la finalité du téléchargement !
    Soit la récupération du document illégal par l’usager.
    Le but final ?

    Sécuriser, ça ne veut rien dire en soi-même.
    La loi est donc vide à ce niveau. Car il me suffit de prouver que j’ai fait quelque chose pour m’en dédouaner.
    </p>

    Et j’aime bien quand vous donnez de l’eau à mon moulin.
    => En gros, oui : selon les vagues indications données, il semble qu’il faudra utiliser des logiciels de filtrage (vous avez dit libre accès) “homologués” pour se protéger des poursuites pour téléchargement illégal.

    Selon de « vagues indications données ».
    Vous n’avez pas l’impression que la loi s’est avancée plus vite que la technique ?

    On a écrit une loi, passée aux forceps, sans se préoccuper de ce qui s’ensuit. Et même de savoir si elle est applicable.
    Plus grave, si c’est aux bibliothécaires de la faire respecter.
    Au nom de quel principe ?
    <p>
    Si des gens dans la rue ramassent des poubelles publiques et se battent avec, va-t-on rendre les éboueurs responsables ?
    Parce qu’ils ont mis un outil public dans les mains de délinquants, ils seraient responsables faute d’avoir mis des cadenas sur les poubelles.
    Pire, dans l’obligation d’intervenir physiquement si les gens se battent devant eux avec les poubelles ?
    </p>
    La réponse est non. En cas d’infraction, ils sont tenus d’alerter les services d’ordres.

    C’est la même chose si les gens se livrent à des activités illégales dans la bibliothèque.
    Si des usagers s’échangent du shit, s’ils font l’amour sous une table/dans les toilettes contre de l’argent, s’ils s’invectivent et sortent des couteaux… en quoi la responsabilité des bibliothécaires pourrait-elle être engagée ?
    <p>
    Doit-on mettre en place des systèmes de filtrages :
    – Des chiens policiers pour le shit
    – Des vérifications imprévues dans les toilettes,
    – Ou des détecteurs de métaux ?
    </p>
    Pour avoir lu plusieurs règlements de bibliothèque, je n’ai pas vu ces cas évoqués.
    Car on ne peut être responsable de tout.
    Et ce n’est pas parce qu’on met à disposition des gens un outil public que ça les rend irresponsables devant la loi…
    … et nous responsables de leurs actes ou, encore, responsables des moyens que nous n’avons pas mis en place pour les empêcher de mal agir !

    Après nous ne sommes pas habilités à appliquer la loi, c’est aux forces de l’ordre que revient cette question.
    <p></p>

    Alors qui est responsable ?
    Le responsable, c’est celui qui édicte une loi sans vous en donner les modalités d’application.

    C’est comme si on disait : sur la route, ne doublez jamais… et que l’on oublie « lorsqu’il y a une ligne continue ».

    Faute de substance, le mot « sécuriser » (un poste) me paraît sujet à caution, et même vide de sens. On peut imaginer tout et n’importe quoi… ce qui ne devrait pas être le cas d’une loi.
    Et même, cela invite à violer d’autres droits : « cet accès constitue une liberté publique consacrée par le Conseil constitutionnel [5]. », sans oublier les atteintes à la vie privée toujours possible si on exploite les logs.

    Délinquant informatique, c’est un cas pour 50 000 ou 100 000 ? Plus ?
    Combien d’incidents de ce genre face aux nombres de visiteurs dans les bibliothèques ?

    Ce serait intéressant d’avoir des statistiques à ce niveau, pour les confronter aux sommes engagées par les bibliothèques et tous les EPN.

    Ensuite de voir à quoi ça mène au niveau judiciaire.
    Combien de cas épinglés en bibliothèque/EPN et uniquement en bibliothèque/EPN !

    Là, on aurait un joli moyen de prouver à un juge (aux députés ?) que l’investissement supporté par l’ensemble des citoyens l’est en pure perte et qu’il devrait être financé par ceux qui en demandent l’application. Après tout, on n’est jamais mieux servi que par soi-même, toujours dans le respect de nos missions !

    Bien sûr, on leur présentera les mêmes chiffres, et ils évalueront alors les « risques ».

    On leur dira aussi que nos postes publics sont ouverts à la vue de tout le monde, et que c’est déjà là une sécurisation par le public lui-même.

    A-t-on, par ce biais, déjà répondu à la « sécurisation » des postes ?  :-)

    Faut-il aller plus loin ?
    Seul un cas de jurisprudence pourrait nous le dire… encore faut-il qu’un juge ait les moyens de prononcer un jugement, donc qu’il définisse le niveau de sécurisation d’un poste.
    Sur quelles bases ?

    Et là, on s’amuse, puisque le juge ne peut être juge et partie.
    Mieux, de vous accuser d’une loi qu’il est en train d’écrire !

    Pour ceux qui voudraient vraiment se couvrir, il suffit de demander des explications (avec AR) à son ministère de tutelle. Si le ministère ne sait pas, comment le bibliothécaire pourrait-il savoir ?

    Mais bizarrement, j’ai l’impression que ce sont les bibliothécaires eux-mêmes qui sont en train d’écrire la loi et les niveaux de sécurisation requis. Ce qui permettra à un juge de dire : étant d’usage que dans les bibliothèques suivantes le niveau requis est celui-là, vous deviez appliquer le même !

    Condamné… par la profession elle-même.  :-(

    Certains doivent déjà se frotter les mains devant tant de diligence.

    Et si, au lieu d’écrire cette loi, on posait la question au Conseil Constitutionnel pour savoir ?
    Puisque maintenant, on peut le saisir.

    Deuxième bilan : non seulement, ça ne sert à rien, mais en plus on scie nous-mêmes la branche où on est assis.
    Est-ce vraiment la bonne solution ?

    Bien cordialement
    B. Majour

  9. decembre dit :

    Merci pour cette analyse :
    Oui en bib on a trop tendance à trop en faire….. sans souvent se donner la peine de débattre sereinement (comme ici).
    Je me souviens de ces réticences:
    – quand on a (enfin) informatisé nos outils, sans véritable formation ni débat , et que nous gardions nos fiches cartonnées .
    – quand on a voulu utiliser internet en interne ( sans parler de Optenet (L’Opus Dei à l’assaut du net) qui encore actuellement filtre nos connexions!).
    – quand on a ouvert nos services multimédias sans permettre d’utiliser la lecture des mails… et autres mesure restrictives ( pas de jeux , filtrage débile, navigateur Ultra Sécurisé (bof) et Ultra Pas pratique et moche (c’est publique alors pourquoi faire beau et pratique)
    – quand on accuse Firefox (logiciel libre…) de mettre la pagaille sur nos postes.
    – quand on ne peux pas discuter avec son service informatique ( par manque de moyens, de temps, de motivation, respect des « procédures » et protection de prés carrés, faites vos choix.)
    Bref , voici un panorama un tantinet conservateur que l’intelligence des propositions lues ici où là dans Bibliobsession (par exemple) rend encore plus insupportable….
     
    Finalement , a bien y réfléchir , nous sommes surement en avance sur notre temps :
    L’internet fliqué , à 2 vitesse, et marchand est en passe de faire force de loi…et cela sans que nos établissements (de façon générale) n’interviennent soit par information, alerte, débats….
     
    Donc, encore une fois merci de permettre des échanges intelligents au sein de notre profession.
     
     
     
     

  10. PK dit :

    Salut,

    J’ai pas tout lu. Comme d’hab. Et comme tt le monde.
    Du coup, ton post est vraiment dangereux. De même que le billet de l’IABD. Tu fais un commentaire qui nuance, mais justement ce n’est qu’un commentaire.
    A te lire (vite), on a l’impression qu’on (et nos DSI) nous ment depuis tt le temps.
    Moi, ce que j’ai pas bien compris, c’est pourquoi une BU doit faire ces efforts et pas une BM ? Pourquoi une mairie ne serait-elle pas considérée comme un FAI ???
    cf:
    « · Remettre des informations nominatives ?
    C’est une obligation qui ne s’impose, au titre de la loi Hadopi, qu’aux organisations qui opèrent en tant que FAI (les services informatiques des universités, par exemple).  »
    http://www.iabd.fr/spip.php?article96
    ***
    Y’a 3-4 ans, la BM de Tlse a été pris ds la même histoire q celle relatée par Dom. Suite à quoi, je sais pas pourquoi, le maire : il a plutôt eu envie qu’on répare notre faille, plutôt qu’on s’ouvre à tout vent.
    Les récits hypothétiques narrés ne me paraissent pas très bons. C’est moins des terroristes qu’on traque que des diffameurs ou des racistes, pas très futés qui ne se savent pas suivis.
    Je pense aussi qu’un bib’ a des moyens d’offrir ce service intelligemment. Tu parles du point de vue de la BPI. Dans une BM, tu peux faire une carte annuelle gratuite d’accès a Internet.
    Les mecs entre 2 trains qu’ont une heure à tuer ? Demande aux élus s’ils sont une cible prioritaire de son action.
    La wifi et la 3G, avec des appareils personnels présentent une autre facon d’avoir un service proche, avec ou sans sécurisation.
    *
    Bref : je pense qu’on est des cyber-cafés.
    Mais je pense qu’on est des cyber-cafés différents : vieilles bécanes, pas de clés USB, pas comme à la maison, certaines ressources mises en avant, ET authentifiés, MAIS c’est gratuit.
    *
    NB : l’authentification nous permet aussi de limiter les temps de session me semble t-il…

    • @PK : je ne sais quoi répondre à ton commentaire, sinon que si tu ne lis pas tout le débat, et que tu considères ça comme normal (de pas tout lire et de lire vite en diagonale), ben on a pas fini de se reposer les mêmes questions….

      • PK dit :

        Touché !   :-)
        Cpdt, je dis 2 choses précises :
        – mets la nuance ds tes titres et ds tes gras. Le titre de ton post gagnerait à se voir greffer un conditionnel ou un pt d’interrogation, me semble t il…
        – personne n’a répondu à ma question concernant lepost de l’IABD qui fait soit disant le tour et est si décisif. Pourquoi une BU serait un FAI et pas une mairie ?

        • B. Majour dit :

          Mais le terme FAI s’applique à tous ceux qui offrent en accès Internet !!!  :-)
          Fournisseur d’Accès Internet = FAI.
          Donc une mairie aussi.
          Et c’est d’autant plus vrai si sa bibliothèque offre ce service.
          Ce n’est pas réservé aux seules BU !
          Bien cordialement
          B. Majour

          • Roger J. dit :

            Une BM (via le réseau de la commune) se raccorde à Internet via un prestataire de service : le FAI.
            Dans le cas de certaines BU, l’Université se connecte directement à internet sans intermédiaire et est donc considéré comme un FAI.

  11. Dilvich dit :

    Bonjour,
    j’ai lu toute les lignes de l’article et des commentaires. Je travaille dans une médiathèque qui offre un service multimedia ouvert, à mon sens. pas de liste blanche, noire, jaune.., pas de logiciel de blocage de site, possibilité, même recommandation, d’utiliser des clé usb. .. je nettoie les postes journellement..
    Sur ces poste, on y travaille sur openoffice, on y regarde des vidéo, des émissions de cuisine en replay, des manga,  ses mails, on chat (pas sur msn, désolé, trop d’emmerde technique), on y joue sur le web, même si je déconseille fortement haboo, et que j’explique pourquoi…
    On demande de ne pas télécharger, de ne pas changer la config des postes… évidemment, il y a toujours quelqu’un pour faire le contraire, mais bon, je considère que le temps à remettre un poste en état fait partie de mon travail, par rapport  à la liberté que cela apporte au plus grand nombre… bien sur, de savoir qui était sur le poste incriminé me permet de faire savoir à l’utilisateur pourquoi nous demandons cela. Que ce n’est pas pour le restreindre, le fliquer, mais simplement pour que les postes restent fonctionnels pour tous.. Il y a très peu de .. récidives…
    Pour que chacun puisse profiter de tout ça, le règlement, voté en conseil municipal, stipule que l’accès est limité à une heure… et qu’il doit respecter des textes bien abscons..
    Pour ce qui est du temps d’utilisation, bien sur, cela dépend de l’affluence… on inscrit les utilisateurs, ce qui permet, pour commencer, de gérer l’affluence pour que chacun en profite au maximum.. Personnellement, je n’y vois aucun flicage, et nos utilisateurs non plus.. peut-être sont-ils déjà trop polis et policés.
    Cela me permet aussi de faire des statistiques, bien utile, pour demander une ou deux poste supplémentaires…
    Oui, nous avons une liste d’utilisation des postes (merci Cybercommune :-) )
    Mais , en bibliothèque, nous ne prêtons pas que des accès aux multimedia, à internet.. mais aussi des documents physiques, des livres des cd… et nous flicons nos usager, en leur demandant de s’inscrire,  d’enregistrer leur livres, leur cd leur documents… et personne n’en fait (ou pas beaucoup) tout une histoire.
    Pour finir, oui  il y a aussi « cette  lecture » des textes. Moi, personnellement et  professionnellement, j’attends de nos organismes une texte précis qui dise ce que nous devons faire, ou ne pas faire.
    Mais je jurerais que beaucoup de nos espace continuerons à inscrire qui utilise quoi, simplement pour pouvoir fonctionner, ou respecter une charte, comme on enregistre les livres, les cd…
    Claude

    • « Moi, personnellement et professionnellement, j’attends de nos organismes une texte précis qui dise ce que nous devons faire, ou ne pas faire. » c’est précisément que que l’IABD a essayé de faire dans ce texte, et ce dont nous discutons ici.

  12. Dilvich dit :

    Désolé pour les fautes.. il y en a un tas :-(… (on en peut pas éditer ses messages.. grrr)

    • B. Majour dit :

      Le message est plus important que les fautes !  :-)
      Comme je dis toujours : les fautes, c’est cause d’avoir tapé vite !!! :o)
      Bien cordialement
      B. Majour
       

  13. Yvonnic dit :

    Débat technique passionnant, qui me rappelle un peu les débats sur la ceinture de sécurité.

    D’accord avec Bernard Majour quand il dit  » Mais bizarrement, j’ai l’impression que ce sont les bibliothécaires eux-mêmes qui sont en train d’écrire la loi et les niveaux de sécurisation requis. » On est en train de poser les bases d’une jurisprudence qui nous retombera dessus.

    Sauf que nous ne cherchons pas véritablement une sécurisation. Au fond nos chartes d’utilisateurs ne servent qu’à nous protéger nous-mêmes (et nos élus, qu’il faut convaincre, sachant, c’est vrai, qu’ils seront la premiere cible des diffameurs anonymes). Nous ne fuyons pas nos responsabilités mais nous cherchons à organiser soigneusement notre irresponsabilité. Franchement, qu’est-ce qu’on en a à battre qu’un gamin se soit fait surprendre sur un site interdit par les bonnes moeurs, voire même raccoler par un pédophile, du moment qu’on est couvert et sachant que de toutes façons on n’y peut rien ? Le principal c’est quand même de pouvoir ouvrir son parapluie quand il pleut, non ? Je rappelle qu’il y a des structures où l’accès libre internet est carrément interdit aux mineurs ! Un choix courageux pour la défense de nos chères têtes blondes. Et je ne parle pas des « collègues » qui refusent tout simplement le risque de l’EPN, avec une panoplie de beaux arguments pédago-cultureux (ou parce qu’il y a deja un cybercentre en ville, ou des cybercafés etc…). Il serait interessant de battre le rappel de la diversité de nos pratiques.

    Décidément je préfère parfois une pointe d’honnête cynisme à la montagne d’hypocrisie qui sous-tend nos fameuses chartes, aussi vertueuses qu’inefficientes.

  14. MCtweeto dit :

    Petit retour sur expérience dans une médiathèque du sud qui à pris l’option du filtrage des usagers au sérieux :
    -Avant la mise en place de du super fédérateur Euris (de la société Pulcra) nous nous contentions de noter les noms des utilisateurs sur une feuille sans réclamer de papier d’identité, et ce dans le seul but de réguler les flux les jours de rush >>
    -depuis la mise en place de Euris, la consultation nécessite d’avoir sa carte (être inscrit) pour s’identifier et la consultation est mécaniquement limitée et chronométrée .
    >> résultat :
    le turn-over tant attendu s’est plutôt transformé en game over.
    Les populations les plus en marge et les plus fragilisées (usager non inscrits issus du foyer de réfugiés voisin, minots du quartiers (zep)etc..) ont considérablement réduits leur fréquentation de la médiathèque.
    En bref, les populations les plus assujetties à la fracture numérique ont été victimes de cette nouvelle orientation technique.
    Alors je me pose la question suivante :
    la médiathèque n’est elle pas une force d’intégration ?? Le contrôle, le filtrage du web ne me parait pas adaptét lorsque qu’on évolue dans un ‘milieu pathogène’, qu’on grandit dans un quartier difficile, ou lorsqu’on qu’on est exilé politique.
    Je précise que le Wi-Fi n’est toujours  pas à l’ordre du jour dans notre structure et que les postes informatiques gérés par Euris font partie des rares accès à internet public de la ville avec certains centres sociaux et bien sur :Mc Donalds.
    Bravo Silvère, je retrouve dans votre article (et assez généralement dans votre blog)  les motivations qui m’ont fait choisir cette profession : L’égal accès pour tous au savoir et à la connaissance !
    J’espère que cet article et l’étude de l’IABD feront avancer les choses dans l’intérêt de tous.
    PS : j’apprends par ailleurs aujourd’hui que la société Pulcra est en liquidation judiciaire.
     

  15. Dom dit :

    Alors on fait quoi ?
    Dans notre bibliothèque, un p’tit jeune, au comportement bizarre, sur un poste internet ….
    Il s’avère qu’il consultait des sites « Olé Olé » et ceci malgré le logiciel de filtrage.
    Ce p’tit gars bien sympathique au demeurant n’a pas été pris sur le fait mais après consultation de l’historique (vu son comportement).
    Nous avons donc contacté notre service informatique qui nous a dit que nous n’avions pas le droit de consulter l’historique de consultation … Mouai, c’est vrai ça, je n’ai trouvé aucun texte l’interdisant … à moins que ce soit de la vie privée (CNIL)?
    notre charte d’accès internet demande :
    1 – l’inscription en bibliothèque
    2 – L’accord des parents pour les moins de 14 ans
    3- Avoir des consultations « adaptées à l’endroit dans lequel on se trouve. » On ne peut pas faire dans une bibliothèque comme si on était dans son salon.
    Le planning sert à gérer « le prêt » des postes de consultation à la consultation. Prêt autorisé aux personnes identifiées à la bibliothèque.
    Nous avons également des accès Wifi. Ces accès sont entièrement gérés par un portail captif et les bibliothécaires ne s’occupent de rien.
    L’avenir est peut-être là.
    La bibliothèque sera un HotSpot pour les personnes ayant des portables et il ya aura toujours des points d’accès pour les autres mais accessibles via un portail captif après inscription sur un planning d’occupation.
    PS : Suite à la défaillance du planning, dans l’enquête de police, aucun reproche ne nous a été fait.

  16. Bonjour,
    A la recherche, sur le site de la CNIL, d’informations produites (sur un tout autre sujet), j’ai remarqué une fiche pratique ayant trait à la « conservation des données de trafic » rédigée en août 2009 <http://www.cnil.fr/dossiers/internet-telecoms/fiches-pratiques/article/557/conservation-des-donnees-de-trafic/&gt;.
    A la question de savoir s’il « existe-t-il une obligation d’identifier l’utilisateur de  l’ordinateur », elle apporte la réponse suivante :
     » Non. Le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion.
    En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche  d’inscription par exemple, il a l’obligation de conserver ces données pendant un an. (…) »
    … Ce qui correspond tout à fait à ce que l’IABD avait affirmé dans sa déclaration.
    Il serait, bien évidemment, tout à fait inopportun que les bibliothèques fassent l’objet de mesures plus drastique que les cybercafés.
    Michèle Battisti
    Pour l’IABD

  1. 26 mars 2010

    [...] offrent sur place des accès Internet à leurs usagers. L’information a été relayée sur Bibliobesession et [...]

  2. 26 mars 2010

    [...] offrent sur place des accès Internet à leurs usagers. L’information a été relayée sur Bibliobsession et [...]

  3. 6 septembre 2010

    [...] Nous devenons des lieux d’accès à un web payant (payé par le contribuable), au risque de n’avoir à l’avenir que cette seule valeur ajoutée d’autant plus que nous persistons à proposer du contenu payant dans de beaux systèmes informatiques sécurisés et à filtrer l’accès au web gratuit… [...]

  4. 22 septembre 2010

    [...] Nous devenons des lieux d’accès à un web payant (payé par le contribuable), au risque de n’avoir à l’avenir que cette seule valeur ajoutée d’autant plus que nous persistons à proposer du contenu payant dans de beaux systèmes informatiques sécurisés et à filtrer l’accès au web gratuit… [...]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>