La déontologie dans l’informatique, sujet complexe n’est ce pas ?

Le serment d'Hippocrate

C’est un sujet qui me trottait dans la tête depuis quelques années suite à quelques projets dont je garde des souvenirs assez négatifs. Mais les événements récents m’ont poussé à y réfléchir d’autant plus.

J’imagine qu’une grande majorité connaît déjà le serment d’Hippocrate prononcé par les médecins avant de commencer à exercer. C’est un texte écrit, selon Wikipédia, aux alentours du IV siècle avant JC et qui forme la base du code de déontologie médicale.

Pour ceux dont le terme déontologie fait mal aux yeux, il s’agit d’un ensemble de règles et devoirs qui régissent une profession. Si l’origine grecque du mot ne parle pas d’éthique ou de morale (du grec deon, -ontos, ce qu'il faut faire, et logos, discours), c’est pourtant bien ce qu’on associe aujourd'hui à ce mot.

C’est notamment ce code de déontologie médical qui fixe les grands principes du secret professionnel et du respect de la vie.

A l’heure de PRISM ou d’AMESYS, qu’est-ce qui définit chez nous, informaticiens, les règles et devoirs que nous devrions respecter ?

La déontologie dans l'informatique ?

En fait la seule chose que j’ai jamais signé à l’école ou en entreprise ce sont des chartes informatiques. En gros ça disait qu’il ne fallait pas créer de bots XDCC sur les serveurs de l’école, qu’il ne fallait pas pirater les comptes des autres élèves pour leur changer leur fond d’écran, qu’il ne fallait pas utiliser son mail pour envoyer des kilos de powerpoint même s’ils étaient rigolos et qu’il fallait éviter d’installer des softs hackés.

C’est déjà un début. Mais c'est assez pauvre.

Quid du respect de la vie privée ? Du professionnalisme ?

Comment un scandale comme PRISM peut-il à ce point passer inaperçu ¹ aux yeux du grand public alors qu’il devrait y avoir au minimum 533 000 informaticiens capable d’expliquer ces conséquences à leurs proches ? Est-ce que notre déontologie ne devrait pas nous forcer, nous qui comprenons les implications, à nous renseigner davantage et dénoncer les faits ?

La déontologie expliqué par le SYNTEC et le CIGREF

Malgré tout, en zieutant Wikipedia on apprend que l’informatique en France a bien un semblant de code de déontologie, une charte rédigé par le club informatique des grandes entreprises françaises et le SYNTEC. Ca m’a arraché un œil en lisant la liste des auteurs, mais c’est véridique. Et on y aborde quand même :

• La connaissance des métiers,
• La transparence,
• L'impartialité,
• La qualité,
• L'innovation,
• La diffusion de l'information,
• Le partage des connaissances,
• La productivité,
• Le suivi.

Et concernant “le suivi”, je me suis demandé si remplir les CRAs faisait partie de mon code déontologique :)

C'est déjà bien ! Au moins on y parle de professionnalisme et ce serait déjà fantastique si on parvenait à respecter ces points, mais c’est un autre sujet...

Malheureusement je ne vois rien concernant la protection de la vie privée et la responsabilité collective vis-à-vis de la société.

Toujours est-il que j’ai cherché sur Google cette fameuse charte et je n’ai pas réussi à mettre la main dessus. Par contre, je suis tombé sur cet article qui m’a donné un éclairage intéressant sur l’origine de cette charte :

Le Cigref et le syntec font la paix autour d'une charte

Le Club informatique des grandes entreprises françaises (Cigref) et la chambre syndicale des SSII et des éditeurs de logiciels (Syntec) établissent une charte de déontologie commune. Les relations entre les deux organismes se sont tendues depuis l'implosion de la bulle Internet. Le Cigref reproche aux prestataires de ne pas avoir su maîtriser les innovations qu'ils ont contribué à intégrer dans l'informatique des grandes entreprises. De même, le Syntec vit mal la pression sur les prix instaurée par les grandes entreprises.

Ok, je vois mieux, le CIGREF reprochait un manque de maitrise des technologies et un manque de professionnalisme des SSII dans la période qui a suivi l’explosion de la bulle internet. Et cette fameuse charte a servi à enterrer la hache de guerre entre SSII et clients de SSII. Relisez les thèmes abordés par cette charte en sachant cela, on comprend mieux...

Malgré tout, c’est vrai qu’un code déontologique est loin d’être simple à écrire.

Responsabilité sociétale et déontologie

Il y a quelques années, j’ai participé à un projet dont le but affiché était d’automatiser un grand nombre d’opérations pour supprimer les coûts salariaux relatifs à ceux qui faisaient ces opérations à la mimine auparavant.

Ce projet se déroulait dans le plus grand cynisme, il s’agissait bien de dégager des centaines de personnes pour dégager plus de profit. L’entreprise comme acteur social, on repassera.

D’un autre côté, en prenant du recul, Keynes dans les années 20 prédisait que nous travaillerions de moins en moins, car nous aurions automatisé tout le travail pénible dans le futur. L’automatisation, la robolution serait donc une évolution inévitable qui pourrait conduire à cette fameuse semaine de 15 heures de travail imaginé par Keynes. (C’était aussi le principe qui régissait la société décrite dans la “nuit des temps” de Barjavel où le travail ne subsistait que pour donner un rôle social, mais n’avait aucune utilité réelle).

C'est bien beau, mais entre temps la transition est plutôt douloureuse.

Il est donc très difficile de me positionner sur ce sujet. Que pourrait faire un code déontologique pour moi dans ce cas-là si celui-ci me dit qu’il faut “agit pour le bien commun” ?

En aidant à supprimer des postes, j'œuvre pour le bien commun ?

Mais en aidant à conserver ces jobs, est-ce que je fais mieux ? Dans quelle mesure je participe au contraire à libérer des individus d'une tâche répétitive et inutile ? Si mon idéal est bien la semaine de 15h décrite plus haut, je dois travailler à automatiser les tâches répétitives pour que les humains puissent se consacrer à des tâches plus intéressantes.

Encore faut-il qu'il y ait redistribution des richesses produites...

En médecine aussi il existe des débats qui sont très compliqués à trancher : sur la culture de cellule souche, l’euthanasie etc... Et c'est pourquoi il existe un ordre des médecins qui en discute.

Je ne crois pas qu'il existe l'équivalent pour nous.

Un code de déontologie très complet au Québec

Difficile ne veut pas dire qu’il ne faut pas s’y essayer. En cherchant un peu plus j’ai découvert que au Québec ils avaient bien réussi à rédiger un code déontologique des informaticiens et informaticiennes.

Ce code contient des chapitres sur le professionnalisme. Pour l'anecdote, on notera d’ailleurs le support officiel des groupes d’échanges dans la charte :

Les obligations des informaticiens envers leur profession

L'informaticien aide, dans la mesure de ses possibilités, au développement de sa profession par l'échange de ses connaissances et de son expérience avec ses collègues et par sa collaboration à des activités de formation continue ou à des stages de perfectionnement.

Mais il a aussi le mérite de parler de sujets plus profonds. Je vous laisse juge. J’ai supprimé quelques articles pour ne garder que ceux que je trouvais les plus intéressants.

Les obligations des informations envers le public

2.02 L'informaticien favorise d'abord l'intérêt public dans l'exercice de sa profession.

2.03 L'informaticien s'abstient de poser tout geste pouvant être nuisible à la société et d'inciter quiconque à le faire.

2.04 L'informaticien évite de faire subir des préjudices aux personnes notamment, la modification ou la destruction non désirée de fichiers ou de programmes et les dommages causés à des biens informatiques. L'insertion de virus informatiques a comme conséquences éventuelles de faire subir de tels préjudices aux personnes.

2.05 L'informaticien tient compte des conséquences éventuelles des actes professionnels qu'il est amené à poser afin d'éviter de causer des préjudices aux personnes.

2.06 Pour éviter de causer des préjudices, l'informaticien informe, avec un souci d'exactitude et d'exhaustivité, toutes les personnes concernées sur les caractéristiques et les limitations des systèmes dont il a la responsabilité.

2.07 L'informaticien signale aux personnes concernées tout fait ou toute information qui l'amènent à croire que des préjudices pourraient être causés au public.

2.10 Dans sa pratique, l'informaticien s'efforce d'évaluer les systèmes informatiques et leurs impacts sur la vie, la santé, le bien-être et la propriété de toute personne avec la plus grande objectivité et avec un souci d'exactitude et d'exhaustivité.

2.11 Dans tous les aspects de son travail, l'informaticien respecte ses obligations envers les personnes et tient compte des conséquences de l'exécution de ses travaux sur la vie, la santé, le bien-être et la propriété de toute personne.

2.12 Dans la mesure de ses possibilités, l'informaticien fait prendre conscience au public en général de l'impact des systèmes informatiques et protège la société d'une mauvaise utilisation des systèmes informatiques.

2.14 Lorsque l'informaticien considère que des travaux empiètent sur les droits et libertés fondamentaux des individus, il en informe toute personne ou organisme susceptible de corriger cette situation.

2.16 Dans le cadre de sa pratique professionnelle, l'informaticien fait en sorte d'assurer la confidentialité des renseignements personnels ou confidentiels, de prendre toutes les mesures susceptibles de protéger ces renseignements et d'en assurer l'exactitude.

2.17 Dans le cadre de sa pratique professionnelle, l'informaticien s'assure de conserver les seuls renseignements personnels ou confidentiels nécessaires à la bonne marche d'un système. Les renseignements personnels ou confidentiels ne doivent être conservés à des fins autres que celles prévues initialement sans le consentement des personnes concernées.

2.19 L'informaticien favorise les mesures d'éducation et d'information dans le domaine de l'informatique, que ce soit dans l'entreprise où il exerce ou dans son milieu social.

J'avoue que certains items me rappellent les lois de la robotique d'Asimov.

Déontologie et respect de la vie privée

En tant qu’être humain, trouvez-vous normal de ne poser aucune question et exécuter les consignes aveuglement lorsqu’il s’agit d’organiser la surveillance généralisée, l’espionnage des individus. Si vous étiez chez Amesys, était-il nécessaire d’attendre que votre société soit sous l’objet d’une information judiciaire pour complicité d’acte de torture en Lybie pour vous rendre compte de sa nuisance ?

Et nous informaticiens, à l’heure ou le numérique a une place prépondérante dans nos vies, à l’heure où les prédictions les plus noires d'Orwell se sont réalisées, avons-nous prononcé un serment d’hypocrite au point de ne pas reconnaître ces actions néfastes quand elles se présentent ? Est-ce que "je ne suis que prestataire" ou "ce n'est pas moi qui décide" est vraiment une ligne de défense acceptable ?

Oh vous vous dites peut-être, “moi je ne suis pas concerné, je ne travaille pas pour l’armée/la défense etc…”. A l'heure du BigData où chacun tente de conserver et exploiter un maximum de données ce serait pourtant surprenant. Dans le grand public on ne peut pas dire que Cisco, Google, Facebook, Microsoft et bien d'autres moins connus ait fait beaucoup mieux.

Récemment un employé de Blizzard se repentait d'avoir du poser des backdoors sur la version chinoise de WOW afin de permettre sa vente en Chine. Tous les secteurs sont concernés.

Pouvez-vous dire sérieusement après avoir lu la charte ci-dessus que vous l’avez toujours respecté ? Que vous avez placé l’intérêt du public devant tout le reste ? Que vous avez signalé une mauvaise utilisation de données personnelles ? Que vous avez informé vos proches des conséquences de nos métiers sur leurs vies ?

Réfléchissez-y.

Et pour conclure je finirais par une citation d'un article lu récemment :

Cela serait bien que les ingénieurs ne restent pas silencieux sur la pression du gouvernement pour subvertir la sécurité de leurs produits. Lancer des alertes sur ce genre de choses me semble honorable. Plus largement, nous devons réfléchir sur ce qu'il convient de faire, parce que la situation actuelle n'est pas acceptable. ...Si les ingénieurs, ou même les simples mortels, pensent que quelque chose doit être fait, les urnes électorales sont l'endroit tout désigné pour le faire.

Quelques liens à lire :

• Lettre ouverte aux mathématiciens ayant travaillé pour le NSA : http://lite2.framapad.org/p/nsa-maths
• Inventaire à la Prévert des questions sans réponse sur #PRISM http://reflets.info/inventaire-a-la-prevert-des-questions-sans-reponse-sur-prism/
• Prism n’est qu’une partie d’un système bien plus vaste : http://reflets.info/spoiler-what-is-prism/
• La théorie du gros Zizi : http://reflets.info/prism-la-theorie-du-gros-zizi/
• L’hypocrisie française : http://bluetouff.com/2013/07/01/prism-comment-passer-dun-spagrave-au-chuichoquee-en-moins-de-48h-avec-du-fleurpellerin-dedans/
• Au moins 7 pays européens auraient des accords avec la NSA : http://reflets.info/prism-and-guests-au-moins-7-pays-europeens-auraient-des-accords-avec-la-nsa/