Discussion :

[dourouc05]

La Belgique poursuit ses efforts d’informatisation et de maintenance de ses plateformes. Pour le grand public, le grand bond a eu lieu en 2002, avec le début de la délivrance de cartes d’identité électroniques, avec une puce mémorisant toute une série d’informations. Celle-ci est utilisable pour accéder à une grande partie des services en ligne (plusieurs certificats RSA sont générés et stockés sur chaque carte), mais aussi pour le système de soins, par exemple.

Cependant, cette informatisation ne se fait pas toujours dans les meilleures conditions. Récemment, le portail d’accès aux données fiscales, FisconetPlus, a entièrement fait peau neuve. Officiellement, cela a permis d’améliorer fortement le site : une interface plus conviviale, une recherche plus performante, etc. Le problème ? Le système est réalisé avec Sharepoint, un outil de Microsoft. De fait, bon nombre de services fédéraux belges disposent de licences pour les logiciels Microsoft : le SPF Finances a utilisé la sienne pour réaliser ce site. Il semblerait qu’il n’y ait pas eu de réelle réflexion à ce sujet : pas de vraie mise en compétition des solutions possibles, notamment les logiciels libres.

D’autres problèmes se posent. Pour accéder au site, il faut se créer un compte : selon le ministre de tutelle, c’est une contrainte technique imposée par Microsoft. Le site précédent était au contraire en libre accès. Il s’agit évidemment… d’un compte Microsoft, c’est-à-dire que la société américaine peut récupérer une bonne quantité de données sans grand problème. Le site belge ne contient pas vraiment d’informations à ce sujet, renvoyant uniquement vers la déclaration de Microsoft. L’avis de Marco Van Hees, député PTB, est que Microsoft a le beurre (l’argent des licences) et l’argent du beurre (les données des visiteurs). Cette création ne semble de plus pas si simple, tant pour des journalistes que des politiciens.



Sources : Quand le SPF Finances se lie à Microsoft (accès payant, dont photo), Overheidswebsite met fiscale regelgeving enkel toegankelijk via Microsoft-account, Fallait-il privatiser l’accès à la base de données fiscales du SPF Finances ? (PTB, parti politique belge à tendance communiste).

[Joass]

Cependant, cette informatisation ne se fait pas toujours dans les meilleures conditions. Récemment, le portail d’accès aux données fiscales, FisconetPlus, a entièrement fait peau neuve. Officiellement, cela a permis d’améliorer fortement le site : une interface plus conviviale, une recherche plus performante, etc. Le problème ? Le système est réalisé avec Sharepoint, un outil de Microsoft. De fait, bon nombre de services fédéraux belges disposent de licences pour les logiciels Microsoft : le SPF Finances a utilisé la sienne pour réaliser ce site. Il semblerait qu’il n’y ait pas eu de réelle réflexion à ce sujet : pas de vraie mise en compétition des solutions possibles, notamment les logiciels libres.

Je réagis sur ce point parce qu'il me semble en effet très préoccupant. Quand j'étudiais en Suisse, à Genève, tous les PC de l'université utilisaient des solutions fournies par Microsoft. A notre époque, il existe de nombreuses alternatives open-source...Je pense que nos institutions peuvent faire un effort et éviter de donner nos impôts des à multi-nationales qui se gavent déjà bien assez et qui n'hésitent pas à voler nos données (vous avez dit Facebok ?!...)

[François DORIN]

Bonjour,

Ce qui me choque le plus ici n'est pas l'usage d'une solution Microsoft. Je suis en France et je pense qu'on est mal placé pour donner des leçons à se sujet à travers les contrats open-bar réalisés sans appels d'offres

Non, ce qui me choque le plus, surtout à la veille de la mise en oeuvre du RGPD, c'est d'avoir retenu une solution avec obligation de création d'un compte Microsoft (donc hors UE). Alors que l'ensemble des institutions (entreprise, organisation, gouvernement, etc) sont censées faire des efforts pour garantir la sécurité et protéger nos données personnelles d'ici le 25 mai, cette décision est pour le moins... étonnante !

Je me demande d'ailleurs comment cela peut être justifié et justifiable du point du vue du RGPD, car je doute fortement que l'excuse "c'est une contrainte technique" soit valable.

[MarieKisSlaJoue]

Ce qui est très étrange c'est que l'accès anonyme à un site créé sur SharePoint est parfaitement supporté. Donc vraiment on se demande ce que les développeurs on foutu.
Quand à la GDPR je ne suis pas sur qu'il ait de problème. Les services Microsoft respectent les normes, que ça soit le produit professionnel ou le compte Microsoft que l'ont crée nous même.

[François DORIN]

Les services Microsoft respectent les normes, que ça soit le produit professionnel ou le compte Microsoft que l'ont crée nous même.

Tout à fait. J'aurais dû être plus précis dans mes propos. Le problème pour moi ici ne vient pas de Microsoft, mais du portail d'accès aux données fiscales.

Dans le cadre du RGPD, on ne peut collecter que les données nécessaires et utiles aux traitements. Ici, l'identifiant (compte Microsoft, donc externe) est une donnée à caractère personnel dont le recueil est justifié par "on n'a pas le choix techniquement". Si cette justification passe, c'est une porte ouverte et un affaiblissement du RGPD car il sera alors facile de trouver/créer des contraintes techniques pour justifier le recueil de données.

De plus, en liant fortement leur service à la possession d'un compte Microsoft, quid du droit d'opposition ? Si un utilisateur ne veut pas que ses données soient traités par un tiers (en l'occurence ici Microsoft) comment fait-il ?

[Pierre Louis Chevalier]

Je pense aussi qu'il devrait y avoir des solutions techniques pour éviter ce problème, la c'est le service informatique qui est responsable pas Microsoft.

Microsoft a des serveurs en Europe, exemple : Microsoft ouvre officiellement quatre datacenters en France, et prévoit d'en ouvrir d'autres en Allemagne, en Suisse et aux EAU.

Et pour rappel : Accès aux données privées : Microsoft remporte un autre appel - Les données stockées en Europe ne seront pas transmises au gouvernement américain.

Je suis certain que Microsoft en aucun cas ne ferais l'erreur de ne pas suivre le RGPD, après c'est surtout aussi aux sociétés qui utilisent les logiciels ou services de Microsoft d'être conforme au RGPD. Comme on le voie dans cette étude : Gartner : Les entreprises ne sont pas encore prêtes pour la réforme européenne sur la protection des données, qui va entrer en vigueur en 2018 c'est très loin d'être gagné.
D'après ce que je peux en constater, certains grands groupes font actuellement des efforts énormes pour devenir conforme RGPD, par contre il y a un tas de petites entreprises qui n'ont même pas débuté le processus et qu'on même pas ni les moyens (trésorerie dans le rouge) ni les ressources humaines pour travailler sur le sujet, ça veux dire que en fait la très grande majorité des entreprises en Europe ne sont actuellement absolument pas conforme RGBD. D'autre part pour beaucoup de sociétés de Marketing (en plein dans le désormais célèbre Big Data ! ), appliquer le RGBD impliquerais de mettre de suite la clef sous la porte étant donné que le fondement même de leur activité n'est pas conforme au RGDP, et ce au moment même ou des investisseurs y ont investi des centaines de millions, je me demande comment donc tout cela va finir

[koyosama]

la c'est le service informatique qui est responsable pas Microsoft.

Tout de suite les informaticiens sont en tord. Peut-être qu'on leur a mis la pression pour prendre des raccourcies. Que celui qui n'a jamais été influencé par son n+2à4 pour le choix informatique, lance la première DDOS attack sur leur serveur.

[Pierre Louis Chevalier]

Vu les polémiques actuelles sur le problème des données privées, je ne pense pas que ce ministère ait eu une bonne idée d'imposer à ses administrés de se créer un compte Microsoft, d'autant que c'était possible avec une technologie non Microsoft, et d'autant que c'était même possible avec une technologie Microsoft mais en bossant mieux.

[tmcuh]

Du vite fait, cher payé à la Belge... ils sont drôles quand même, utilisés SharePoint et pourquoi pas Word pour faire des pages Web ?
Totalement n'importe quoi...

[hotcryx]

La vente de données doivent rapporter plus que le matériel.

[Bono_BX]

Depuis quand Sharepoint oblige-t-il à avoir un compte Microsoft ????!!!!
Ce serait pas plutôt de l'incompétence de gens aillant mis en place la solution ?

[sinople]

Dans le cadre du RGPD, on ne peut collecter que les données nécessaires et utiles aux traitements. Ici, l'identifiant (compte Microsoft, donc externe) est une donnée à caractère personnel dont le recueil est justifié par "on n'a pas le choix techniquement". Si cette justification passe, c'est une porte ouverte et un affaiblissement du RGPD car il sera alors facile de trouver/créer des contraintes techniques pour justifier le recueil de données.

On va probablement l'entendre très souvent le "on n'a pas le choix techniquement", il se situe entre le "on n'a pas le choix légalement" et le "le département marketing nous a pas laissé le choix".

Est-ce qu'on doit s'empêcher de mettre en place une authentification à double facteur par code SMS parce récolter le numéros de téléphone c'est pas GPRD compliance ? Et si on décide d'utiliser Google authentificator à la place parce que c'est plus simple (et probablement plus efficace que la solution de Roger le stagiaire) et que Google garanti être GPRD approved sur ce service ?

La GPRD n'interdit pas la collecte de données ni la transmission, elle t'oblige à la documenter, la justifier et te rend corresponsable de leur utilisation par de tierce partie.

Ici le problème, c'est surtout que le "on n'a pas le choix techniquement" serait un faux justificatif boiteux... Qu'il aurait mis un CMS open-source avec obligation de créer un compte local, ça aurait été la même chose. Si l'autorité responsable de la surveillance de l'application de la GPRD accepte "c'est mon premier jour" comme justificatif, le problème est ailleurs.

[tanaka59]

Il existe des "portabilités" entre opérateurs / FAI / provider. Exemple Orange France , Espagne et Belgique (normalement ??? ) sont autorisés à se connecter à un compte outlook.com avec une adresse mail orange.be , .fr ou .es ... . C'est encore plus intrusif ...

En somme Microsoft peut zieuter chez le concurrent .

Donc avoir une adresse mail outlook.be , .fr , .duchmolle ... ne change pas grand chose ...

[kelumden]

Le problème du choix de Sharepoint, au-delà de la disponibilité du produit auprès des services informatiques, tient principalement à l’idolâtrie aveugle des responsables vis-à-vis de Microsoft en particulier, et des grandes sociétés de service en général. Malgré l'existence au sein de ces services informatiques de personnes techniquement très compétentes, les consultants et experts (surtout en charabia technologique) privés sont TOUJOURS considérés comme plus fiables, malins, ... meilleurs quoi (leurs entreprises sont tout de même payées grassement, donc ... !). Le personnel interne est plutôt considéré comme lanceur d'alerte mal informé et cherchant avant tout à protéger son emploi.

[efv_infodata]

Certes, c'est du vite fait, les gestionnaires auraient pu gérer la création de profil M$ en 'interne'.
Pour autant, exploiter un service d'id/auth de type OAuth2 tel que ms-azure n'implique pas que le service en question participe à ce qui s'échange entre client et serveur après l'identification.

[henryII]

"Ce qui est très étrange c'est que l'accès anonyme à un site créé sur SharePoint est parfaitement supporté. Donc vraiment on se demande ce que les développeurs ont foutu"

On ne parle pas de développeurs lorsqu'on évoque des utilisateurs de SharePoint.
Personne ne développe quoi que ce soit sur cette horrible plate-forme..
C'est juste du clic clic Windows et on peut pas faire que ce que Microsoft autorise.
On est loin des outils WEB habituels.

Je trouve très dommage que les gens qui décident d'utiliser ce type de plate-forme soient vraiment des naïfs qui s'imaginent avoir fait un choix intelligent.

[MarieKisSlaJoue]

"Ce qui est très étrange c'est que l'accès anonyme à un site créé sur SharePoint est parfaitement supporté. Donc vraiment on se demande ce que les développeurs ont foutu"

On ne parle pas de développeurs lorsqu'on évoque des utilisateurs de SharePoint.
Personne ne développe quoi que ce soit sur cette horrible plate-forme..
C'est juste du clic clic Windows et on peut pas faire que ce que Microsoft autorise.
On est loin des outils WEB habituels.

Je trouve très dommage que les gens qui décident d'utiliser ce type de plate-forme soient vraiment des naïfs qui s'imaginent avoir fait un choix intelligent.

Bien sur que si on parle de développez quand on parle de SharePoint, SharePoint est une plateforme qui permet la configuration et le développement de ton site web. Si tu ne le faisait pas tu te retrouvera iavec un template de site totalement basique.

Et on est très proche de développement Web standard, la différence est le framework que tu vas utiliser pour que ton site soit sur SharePoint et la configuration que tu vas faire, comme si tu configurais ta basse de données ou ton serveur Web.

Donc si il à bien des développeurs SharePoint, tous comme des utilisateurs standard et ce qu'on appelle des Power User

[HHesse]

La Belgique poursuit ses efforts d’informatisation et de maintenance de ses plateformes. Pour le grand public, le grand bond a eu lieu en 2002, avec le début de la délivrance de cartes d’identité électroniques, avec une puce mémorisant toute une série d’informations. Celle-ci est utilisable pour accéder à une grande partie des services en ligne (plusieurs certificats RSA sont générés et stockés sur chaque carte), mais aussi pour le système de soins, par exemple.

Cependant, cette informatisation ne se fait pas toujours dans les meilleures conditions. Récemment, le portail d’accès aux données fiscales, FisconetPlus, a entièrement fait peau neuve. Officiellement, cela a permis d’améliorer fortement le site : une interface plus conviviale, une recherche plus performante, etc. Le problème ? Le système est réalisé avec Sharepoint, un outil de Microsoft. De fait, bon nombre de services fédéraux belges disposent de licences pour les logiciels Microsoft : le SPF Finances a utilisé la sienne pour réaliser ce site. Il semblerait qu’il n’y ait pas eu de réelle réflexion à ce sujet : pas de vraie mise en compétition des solutions possibles, notamment les logiciels libres.

Les sites officiels en Belgique sont assez calamiteux. Le fait de les mettre à jour est plutôt positif.
Au moment des mises à jour se pose la question des appels d'offre et du choix entre le libre ou les solutions propriétaires, cela doit se faire sans arrières pensées et avec une procédure ouverte dans le meilleur intérêt du contribuable. Est-ce que cela a été le cas ? L'usage de logiciel dans l'enseignement est un autre problème.