La manière de penser l'anonymat nécessaire aux lanceurs d'alerte
L'anonymat dans une alerte interne n'a pas le même poids qu'une publication anonyme ordinaire.
L'autre partie peut être une organisation qui ne veut pas perdre l'information. Elle peut posséder des journaux internes, des droits d'accès, l'historique de distribution des documents, des caméras de surveillance, des registres d'entrée et de sortie, une gestion des appareils et des historiques d'e-mails.
Dans une alerte interne, il ne faut pas protéger seulement le nom.
Qui a eu accès aux documents ? Qui connaissait ce fait ? Qui pouvait agir à ce moment-là ? Qui pouvait sortir ce document ? À partir de ces conditions, le lanceur d'alerte peut être identifié parmi un groupe plus restreint.
Dans une alerte interne, l'origine de l'information devient le problème
Dans une alerte interne, le contenu lui-même est un indice fort.
Par exemple, un document visible seulement par un service précis, le compte rendu d'une réunion limitée, un e-mail distribué à peu de personnes, une photo qui ne pouvait être prise que sur place. Même envoyées anonymement, ces informations posent la question : « qui pouvait les avoir ? »
| Type d'information | Personnes soupçonnées |
|---|---|
| Document à distribution limitée | Destinataires, lecteurs, administrateurs |
| Documents de réunion | Participants, secrétariat, supérieurs hiérarchiques |
| E-mail interne | Destinataires, personnes qui transfèrent, administrateurs système |
| Photo sur le terrain | Personnes présentes, personnes entrées ou sorties |
| Écran d'un système métier | Personnes ayant des droits d'accès |
Dans une alerte interne, même si le trajet de communication est masqué, l'origine de l'information réduit le nombre de candidats.
C'est une grande différence avec une publication anonyme ordinaire. Pour une publication sur un forum anonyme, l'adresse IP ou le compte de la personne qui publie peut être le principal problème. Mais dans une alerte interne, les documents et les faits contiennent une information sur « qui pouvait savoir ».
Par exemple, si seules cinq personnes pouvaient voir un document, même en masquant le trajet de communication, les candidats restent ces cinq personnes. Si la période de publication, la version du document, le style d'écriture et l'heure d'envoi se recoupent en plus, le nombre de candidats se réduit davantage. Dans une alerte interne, il est important de ne pas penser l'anonymat uniquement comme une question de communication.
L'organisation possède des journaux internes
L'organisation qui devient l'autre partie dans une alerte interne possède plus d'informations qu'un tiers extérieur.
Historiques d'accès au serveur de fichiers, historiques de consultation dans le cloud, journaux d'imprimante, registres d'entrée et de sortie, journaux d'e-mail, caméras de surveillance, traces d'opérations sur les appareils professionnels, entre autres.
| Journal | Ce que l'on peut comprendre |
|---|---|
| Journal d'accès aux fichiers | Qui a ouvert le document |
| Historique cloud | Qui a consulté, partagé ou téléchargé |
| Historique d'imprimante | Qui a imprimé et quand |
| Registres d'entrée et de sortie | Qui était à cet endroit |
| Journaux d'e-mail | Qui a envoyé, reçu ou transféré |
| Journaux de gestion des appareils | Connexion USB, captures d'écran, utilisation d'applications |
Pour cette raison, dans une alerte interne, protéger seulement le moment de l'envoi vers l'extérieur ne suffit pas.
Il faut réfléchir avant de toucher le document, avant de le copier, avant de l'envoyer et jusqu'après sa publication.
Un journal interne de l'organisation n'est pas toujours décisif à lui seul. Mais plusieurs journaux combinés deviennent forts. La personne qui a ouvert le fichier, celle qui l'a imprimé, celle qui est entrée dans la pièce à ce moment-là, celle qui a reçu l'e-mail, l'appareil dans lequel une clé USB a été insérée. Quand ces éléments pointent dans la même direction, le nombre de candidats se réduit.
Ce qui compte dans une alerte interne n'est pas seulement le moment où l'on appuie sur le bouton d'envoi. Voir le document, prendre des notes, prendre une photo, imprimer, copier, consulter quelqu'un, réagir après publication. Les actions avant et après sont aussi examinées dans une chronologie.
Penser à la sécurité et aux interlocuteurs avant l'anonymat
Dans une alerte interne, il existe non seulement des enjeux d'anonymat, mais aussi des risques juridiques et de sécurité.
Contrat de travail, obligation de confidentialité, dispositifs de signalement, conservation des preuves, représailles, diffamation, protection des données personnelles et autres éléments peuvent entrer en jeu.
Les articles de ce site ne sont pas une consultation juridique.
Pour une alerte à haut risque, on commence par envisager des interlocuteurs adaptés : avocat de confiance, service de conseil du travail, rédaction, organisation connaissant bien les signalements d'intérêt public.
| Ce qu'il faut vérifier | Raison |
|---|---|
| Sa sécurité et celle de sa famille | Penser aux représailles et aux effets sur la vie quotidienne |
| Risque juridique | Vérifier les obligations de confidentialité et le traitement des alertes d'intérêt public |
| Destination du dépôt | La protection et le danger changent selon la personne à qui l'on transmet |
| Traitement des documents | Éviter les sorties ou modifications inutiles |
| Nécessité de publier | Examiner s'il existe des moyens autres qu'une publication directe |
Une alerte interne devient d'autant plus dangereuse qu'elle est menée dans l'élan.
Le temps pris pour réfléchir avant d'agir devient une mesure de protection.
Dans une alerte interne, on ne peut pas dire : « comme je fais ce qui est juste, tout ira bien ». Même pour des informations d'intérêt public, le risque change selon le traitement des documents, les données personnelles, les obligations de confidentialité, la conservation des preuves et le choix de la destination. Les articles de ce site sont une porte d'entrée pour juger la situation, pas une consultation juridique.
En cas de risque élevé, on cherche une destination de consultation fiable avant de publier directement. On choisit un interlocuteur adapté à la situation : avocat, guichet connaissant bien les alertes d'intérêt public, rédaction qui comprend la protection des sources, organisation de soutien. Le choix de l'interlocuteur fait lui-même partie de l'anonymat.
Les outils seuls ne protègent pas
Des outils comme , SecureDrop, GlobaLeaks, OnionShare ou un peuvent être utiles.
Cependant, dans une alerte interne, les outils seuls ne suffisent pas à établir l'anonymat.
| Ce que les outils protègent plus facilement | Ce qui reste avec les outils seuls |
|---|---|
| Une partie de l'origine de la connexion | Historique d'accès aux documents |
| Évitement du compte habituel | Créateur du document et informations d'organisation |
| Trajet de remise | Déduction à partir du contenu |
| Protection du contenu de la communication | Journaux d'opérations sur l'appareil avant l'envoi |
Les outils ne sont qu'une partie de l'ensemble.
Dans une alerte interne, on réfléchit en incluant le modèle de menace, les interlocuteurs, le choix des documents, la destination du dépôt et le contenu publié.
Des mécanismes comme SecureDrop ou GlobaLeaks sont importants comme points d'entrée pour les informations. Mais si l'on y accède depuis un appareil professionnel, si l'on envoie des documents avec métadonnées, ou si l'on livre une information que l'on est seul à pouvoir connaître, le nombre de candidats se réduit par un autre chemin. Il en va de même pour Tor et les VPN. Même si une partie du trajet de communication est protégée, les fichiers, le contenu, les horaires et les journaux internes de l'organisation restent.
Avant d'utiliser un outil, on décide ce qu'il doit protéger. Veut-on rendre l'origine de la connexion plus difficile à voir ? Veut-on sécuriser le point de remise ? Veut-on séparer l'activité de l'environnement en nom réel ? Si l'objectif est flou, on peut utiliser un outil tout en laissant la partie importante sans protection.
Séparer les informations publiées et les informations de consultation
Dans une alerte interne, il n'est pas nécessaire de tout mettre dans le texte publié. On sépare les informations à publier, celles à remettre seulement à l'interlocuteur de consultation et celles à conserver comme preuves.
| Traitement de l'information | Exemple | Attention |
|---|---|---|
| Information à publier | Résumé du problème, impact social | Supprimer les détails qui remontent au lanceur d'alerte |
| Information à remettre à l'interlocuteur | Documents détaillés, déroulé, preuves | Définir le périmètre avec une personne fiable |
| Information à conserver | Fichiers sources, journaux, originaux | Attention aux modifications et aux fuites |
| Information à ne pas transmettre | Famille, collègues, données personnelles sans rapport | Éviter d'impliquer des personnes non concernées |
Publier est une action forte. Une information sortie une fois reste dans les captures d'écran, les reprises et les archives. Dans une alerte interne, on conçoit non seulement ce que l'on publie, mais aussi ce que l'on ne publie pas.
Résumé
L'anonymat nécessaire à un lanceur d'alerte ne consiste pas seulement à cacher son nom.
Il faut aussi penser à qui pouvait voir les documents, qui connaissait cette information et qui pouvait agir à ce moment-là.
Une organisation peut posséder des journaux d'accès aux fichiers, d'historique cloud, d'impression, d'entrée et sortie, d'e-mail et de gestion des appareils.
Dans une alerte interne, avant d'utiliser des outils d'anonymisation, on organise le modèle de menace, la sécurité, les risques juridiques et la destination du dépôt.
S'arrêter avant d'envoyer dans l'élan est la première défense.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
SecureDrop
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://securedrop.org/
GlobaLeaks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://globaleaks.org/