Système d'identifiants anonymes pour les citoyen(ne)s utilisateurs du Forum

J'ouvre cette discussion pour recueillir les critiques sur un système permettant de fournir un compte anonyme pour un utilisateur du Forum.

Les citoyen(ne)s utilisateurs du Forum, dans le cadre de la dL, dévoileraient énormément d'information sur leurs opinions politiques au travers de leur activité. Même sans parler du vote final, le fait pour un utilisateur de donner son soutien à une proposition (utilisé pour la présélection des propositions d'une thématique) est une activité sensible. De même un simple commentaire pourrait déjà être considéré comme sensible. Il faut donc que l'anonymat des utilisateurs soit garantie non seulement par rapport au grand public, mais également dans l'idéal par l'administration du Forum elle-même. L'activité d'une personne sur le Forum passe nécessairement par un compte utilisateur, dont on considère que l'activité est totalement transparente pour l'administration. Il faut donc trouver un moyen pour que l'administration du Forum ne puisse pas faire la correspondance entre l'identité réelle de la personne et l'identifiant du compte utilisateur. On propose le système suivant pour fournir aux citoyens un identifiant de compte sans que soit dévoilée leur identité.

• l'administration du Forum produit une liste d'identifiants de comptes sur le Forum dont le nombre correspond au nombre de citoyens inscrits sur les listes électorales. Ces identifiants sont des chaînes de caractères aléatoires. Cette liste n'est connue que d'elle-même et elle la conserve secrètement. Seuls ces identifiants peuvent se connecter.
• elle imprime sur papier ces identifiants et scelle chacun d'eux dans une enveloppe.
• pour chaque commune française elle remplit une urne avec un nombre d'enveloppes correspondant au nombre d'inscrits sur la liste électorale de la commune. Cette urne est ensuite scellée et envoyée à la mairie de la commune en question.
• lorsqu'un citoyen veut obtenir un identifiant pour se connecter sur le Forum pour la première fois, il se présente à sa mairie avec sa carte d'électeur et il pioche une enveloppe dans l'urne. La mairie note que cette personne a reçu un identifiant.
• à la première connexion au Forum le citoyen utilise l'identifiant qu'il y a dans l'enveloppe et crée un mot de passe pour activer le compte.

L'intérêt de ce système c'est qu'il semble très difficile pour quiconque, mise à part le citoyen en question, de faire le lien entre identifiant de compte et identité réelle.

Vous voyez une faille ? :)

Salut,

Pour le dispositif en lui-même, je ne vois a priori aucune faille. Le lien entre le citoyen et son numéro d'identification est presque impossible à faire (sauf si les communes tiennent des tableaux à la fois des numéros d'identification, mais aussi des citoyens en ayant récupéré un. Mais cela serait sûrement interdit dans le cadre d'une loi RGPD remaniée pour l'occasion).

Par contre ma question c'est plutôt : cet anonymat est-il nécessaire ? L'anonymat vis-à-vis des autres citoyens, oui. Il est important que chacun puisse s'exprimer comme il l'entend et l'anonymat permet cela.

Mais, à l'inverse, si l'anonymat est valable pour l'administration également, comment gérer la modération ? Comment bloquer un compte qui nuit au dispositif général ? Avec un dispositif comme la DL, le citoyen a un pouvoir supérieur à celui du vote d'un élu, il y a donc également des devoirs qui devraient être liés à ce pouvoir : comme celui de respecter les avis des autres, de ne pas troller, et de ne pas insulter. Avec un système de pur anonymat, on peut punir le compte, mais le citoyen reste libre de faire comme il l'entend, il n'a rien à craindre (peut-être au pire l'impossibilité de récupérer un nouveau compte ? Puisque si son compte est banni, il devrait en récupérer un autre à la mairie, or celle-ci saurait du coup que ce citoyen a mal agi sur le Forum).

A mon sens il n'est pas utile de se compliquer la vie sur ce sujet ^^. L'administration du Forum peut être simplement neutre et n'intervenir sur un compte qu'en cas de souci réel. Par contre la génération d'un nom aléatoire peut être utile pour obliger le citoyen à conserver son anonymat au mieux (et ainsi éviter qu'il n'utilise son vrai nom par exemple).

Et sinon l'idée de récupérer son code avec sa carte électorale peut être très intéressante pour éviter la multiplication de comptes et les contrôler. Sans tout le côté anonymat, je trouve que c'est une très bonne mesure :).

Salut,

Je ne suis pas sûr de comprendre la première partie de ta réponse : "(sauf si les communes… )" : Les communes enregistrent en effet les personnes inscrites sur les listes électorales qui ont récupérées un identifiant de compte sur le Forum. Ça permet qu'une personne ne puisse pas récupérer plusieurs comptes. Par contre, dans le système proposé, les communes n'ont pas accès aux identifiants de compte. Elles reçoivent juste une urne scellée (elles ne peuvent donc pas l'ouvrir) qui contient les identifiants dans des enveloppes. Elles ne peuvent donc pas tenir "des tableaux à la fois des numéros d'identification, mais aussi des citoyens en ayant récupéré un".

Pour la seconde partie du message, j'ai l'impression qu'on est d'accord sur l'idée qu'on ne laisse pas les utilisateurs du Forum dévoiler leur identité réelle (ce qui est argumenté ici : https://democratie-libre.org/public_discussion/show/pourquoi-imposer-lanonymat-sur-ce-site). Effectivement ici on va plus loin que ça, puisqu'on cherche à conserver l'anonymat des utilisateurs vis-à-vis de l'Administration du Forum, qui est l'équivalent de l'administrateur système d'un site internet. C'est-à-dire qu'elle peut potentiellement avoir accès à toute l'activité d'un compte utilisateur qui est enregistrée sur les serveurs du Forum. On met en place ce système pour contrer le scénario suivant : si une personne hostile au système arrive à infiltrer l'Administration du Forum, et que celle-ci connaît la correspondance entre identité réelle et identifiant de compte, alors on peut imaginer qu'elle révèle publiquement l'activité des utilisateurs, ainsi que la correspondance entre ceux-ci et les identitées réelles des citoyen(ne)s. Ce qui serait une entrave au respect du secret des opinions politiques des citoyens, et qui entamerait leur confiance vis-à-vis de la sécurité du Forum. Dans la situation où l'Administration elle-même ne connaît pas la correspondance entre identité réelle et compte utilisateur, alors serait révélée toute l'activité des utilisateurs, mais au moins on ne pourrait pas la lier à l'identité réelle des citoyen(ne)s.

J'ai pas vraiment répondu sur la modération donc j'en rajoute une couche :P

Je pense que l'anonymat est aussi positif pour la modération car ça évite que les modérateurs ne s'acharnent sur un individu particulier. Comme il ne connaissent pas l'identité réelle de l'individu qui a posté un commentaire (ni même son identifiant de compte d'ailleurs), ils se trouvent dans de meilleures conditions pour se rapprocher d'un jugement impartial sur le contenu d'un message.

Mais oui comme tu dis si un utilisateur ne respecte pas le règlement du Forum (troll, insultes etc) on puni l'utilisateur et non directement l'individu, en l'empêchant de se connecter pendant une période donnée, voire en le bannissant de façon définitive. Enfin c'est tout de même l'individu qui ne peut plus accéder au Forum ! Mais il ne prendra pas d'amende par exemple, si c'est ça que tu voulais dire ?

Pour l'instant il n'y a pas beaucoup de détails dans le projet sur le système de modération mais c'est effectivement un point crucial, ça viendra bientôt !

Je comprends ce que tu veux dire et c'est effectivement assez intéressant.

Du coup, qu'advient-il d'un individu dont le compte est définitivement banni ? Il récupère un nouveau compte, ou bien c'est comme s'il perdait ses droits de citoyens ? La question est valable avec ou sans anonymat, mais ça me semble important ici :).

Après je maintiens que c'est un système complexe et qu'il existe peut-être une solution plus simple pour arriver à un résultat équivalent ^^'. (à voir avec des spécialistes de la sécurité numérique ?)

Un individu dont le compte est définitivement banni perd une partie de ses droits parce qu'il ne peut plus s'exprimer sur le Forum. Il ne peut donc plus déposer de propositions ou commenter les discussions. Mais ce n'est pas son seul droit. La décision finale est effectuée par vote papier, il a donc toujours son droit de vote (je n'ai pas encore publié la prochaine section sur la prise de décision mais c'est là que ce sera détaillé).

Effectivement après tes remarques et d'autres discussions, je me rends compte que ce système est sûrement trop compliqué, au moins dans un premier temps. Mise à part le fait de ne pas pouvoir attaquer en justice une personne qui aurait publié des propos diffamants par exemple, se pose aussi la question de savoir s'il est légal de mettre en ligne un site sans traçage possible des identités réelles. Pour être honnête je n'en sais rien pour l'instant !

Un système plus classique fera l'affaire. Comme par exemple que la base de donnée puisse faire le lien entre identité réelle et compte utilisateur, mais que son accès soit strictement encadré par la loi, comme c'est le cas pour d'autres données sensibles telles que les données de santé par exemple.

L'avis de spécialistes du domaine serait effectivement très intéressant !