Du risque de désanonymisation en milieu académique
Quasiment tous les entretiens dans un cadre d'études scientifiques, que ça soit des livres ou des articles de revues, emploient divers techniques de pseudonymisation. La plupart sont relativement simples, les rédacteurs se contentant d'assigner un nom et de donner des vagues détails. Mais ce type de méthode est assez fragile comme on va le voir maintenant avec l'examen d'un papier sur les organisations LGBT en France.
L'article en question est "Escaping the Ellipsis of Diversity: Insider Activists’ Use of Implementation Resources to Influence Organization Policy", publié dans le journal Administrative Science Quarterly en 2020. Il n'est pas en accès ouvert, mais je n'ai pas eu de souci à me le procurer via divers accès dont je dispose. Il examine la façon dont divers associations LGBT liées au milieu professionnel ont évolués, et comment ses membres ont réussi à atteindre divers objectifs.
L'article parle de 5 organisations appelées IN1 à IN5. Sur les 5 organisations, 3 sont dans le secteur publique et liées à un ministère de respectivement 14 000, 140 000 et 240 000 employés, les 2 autres sont dans le secteur privé avec 7 000 et 90 000 employés dans le secteur des télécoms. Donc effectivement, ça commence déjà très fort. L'entropie n'est pas énorme, mais le secteur des télécoms couvre aussi bien des fournisseurs comme Free ou Bouygues que des fabricants de matériel comme feu-Alcatel. Et pour les ministères, il y en a aussi un certain nombre, et ça change à chaque gouvernement, même si certains ministères régaliens ne changent pas.
Donc même si le gros du travail est fait, et l'entropie est réduite, il reste encore beaucoup à faire. Si on continue la lecture de l'article, plusieurs tableaux donnant divers informations cruciales sont présentés. Le tableau 2 parle des évènements pour l'organisation IN3. Fondé en 2001, l'organisation lance un poster avec des employés ayant la photo de leur compagne/compagnon du même sexe dans leur casier en 2003. Puis en 2004, l'organisation participe à la création d'un réseau européen d'association LGBT du même type qu'elle, ce qui laisse à penser qu'il s'agit d'un type de ministère courant en Europe. En 2005, les membres de l'association utilise leur insigne dans une marche, et en 2006, c'est à cause de l'usage de leur uniforme qu'une controverse éclate, controverse publique discuté à l'assemblée.
Donc au moment ou j'ai lu les actions de 2006, je me suis dit que j'avais assez d'information pour chercher, et que la controverse à l'assemblé a du être couverte par les journaux. Une rapide recherche sur Google ne donne rien, mais sur la première page, on trouve la page d'historique de FLAG!, et j'ai un déclic.
Les faits collent. Fondé en 2001, rattaché au ministère de l'intérieur, co-fondatrice de European Gaycop Network en 2004. Les policiers ont à la foi des insignes, des casiers et des uniformes. Donc une assoce de moins, il en reste 4.
L'article parle ensuite à la suivante, IN4. IN4 est une association dans une entreprise des télécommunications. Dans le tableau 3, il est dit que le premier décembre 2011, le PDG de l'entreprise d'où IN4 est issue a déclaré "Oui, je connais IN4". Une rapide recherche sur les termes "1er décembre 2011 pdg oui je connais" nous donne le communiqué de presse et c'est donc Homosfere, l'association des employés LGBT de SFR. Et tout le reste colle, du nombre d'employés à la date de fondation.
Le tableau 4 est sur IN2, un autre groupe affilié à un ministère. Les actions décrites n'aident pas trop, mais on voit l'organisation d'un petit déjeuner en 2012 avec IN3. Vu qu'on a la date et le nom d'IN3, on peut chercher sur un moteur de recherche les termes "flag petit déjeuner homophobie 2012", et on trouve assez vite la page qui annonce ça. Comin-g est lié au ministère des finances, et encore une fois, tout correspond avec les tableaux.
Il reste donc IN5 et IN1. Contrairement aux 3 autres, il n'y a pas de tableau qui détaille les actions. En lisant l'article, on sait que l'organisation de IN5 est une société employant 90 000 personnes avec des filiales à l'étranger. On note aussi que l'organisation a signé une charte en 2012. En France, il n'y a pas des tas de chartes et il s'agit donc sans doute de la charte de l'Autre Cercle. Parmi les signataires d'origine figurent Orange et Aclatel-Lucent, un nombre suffisamment petit pour vérifier les deux entreprises manuellement. Une recherche "orange lgbt" nous amène vers la page de l'histoire de Mobilsnoo, qui indique une fondation en 2008. On retrouve notamment le communiqué de presse mentionné dans l'article, et notamment les demandes comme "protéger et soutenir nos collègues LGBT dans ces pays encore homophobes". Donc IN5 est Mobilsnoo, et on parle d'Orange.
Et finalement, il reste IN1. IN1 est aussi un ministère, et il y a peu d'information sur les actions de ce groupe. Mais l'article mentionne un fait assez important, à savoir que IN1 est dans un ministère à compétence international, ce qui limite beaucoup les choses. Et j'ai donc commencé à me demander ce qui lit chaque groupe. L'article se base sur l'analyse des sites web, donc l'autrice a du trouver une liste quelque part. Quelques recherches avec les noms d'associations m'amène vers une page de l'autre cercle, qui donne en effet plusieurs dont Algo, liée au ministère des affaires étrangères. Et c'est donc sans doute l'association en question.
Donc à travers l'exemple, nous pouvons voir qu'un certain nombre d'info ont permis de trouver qui est derrière chaque pseudonyme, utilisant la même méthode que L dans Death Note, mais avec beaucoup moins de "suspects". Le premier souci est qu'en effet, il n'y a pas tant d'associations avec un site web en France. L'interLGBT regroupe 50 à 60 membres au gré des scissions, et donc on peut estimer le nombre d'associations en France dans les 100 à 150. De plus, on peut aussi supposer que les groupes en question ne sont pas forcément structurés sous forme d'association, même si ça reste une étape facile et requise si on veut avoir un site pérenne à mon avis.
Sur la base d'une population de 100 à 150 groupes, le premier souci a été qu'il était facile de corréler les déclarations publiques avec les dates. Et que le petit nombre d'associations couplée avec les précisions aussi bien géographiques que sectoriels a permis d'assez vite retrouver qui est qui. Le fait que l'article se base principalement sur des informations publiquement accessibles est aussi un vecteur majeur de désanonymisation. Par exemple, effectuer le même travail sur les personnes du livre "Le management de la vertu" serait sans doute plus complexe, car il y a beaucoup plus de personnes, les profils LinkedIn sont bien plus complexes à chercher et les informations sont issues d'entretiens.
La familiarité avec l'environnent (en l'occurrence, l'état des associations en France) est aussi un point important. J'aurais sans doute eu moins d'éclair de génie dans un pays que je ne connais pas et dont je ne parle pas la langue. Vu que l'article est en anglais et publié aux USA, il est probable que ça réduise d'autant plus la portée de l'incident.
Dans le cas d'aujourd'hui, il s'agit d'associations étudiées via des articles sur le web, donc rien de privé n'a vraiment été révélé. Mais même si je pense que l'outing n'est plus un aussi gros problème qu'avant (au moins pour les personnalités publiques), ça reste un souci potentiel, et qu'il y a toujours une tension entre la précision scientifique et la capacité à anonymiser les données. La plupart des gens n'ont pas une idée claire de ce qui est utilisable ou pas pour retrouver quelqu'un, et j'ai encore vu il n'y a pas longtemps quelqu'un disant qu'un VPN évite le doxxing, preuve de l'efficacité du marketing trompeur de NordVPN plus que d'une prise en compte des risques et de la situation.
Les exemples abondent quand même pas mal dans la recherche française. Par exemple, dans cet article, on ne dit pas dans quel ville est le squat. Mais en lisant un autre article de la même chercheuse, on voit qu'il s'agit sans doute de Toulouse. De même, cet article sur une série télé est facile à trouver, car il n'y a pas des tonnes de séries sur le sujet, et j'ai bien mis 2 minutes à voir que c'est Les Engagés dont j'ai parlé il y a quelque temps. Dans La fabrique des masculinités au travail, l'autrice parle de l'entreprise de son père, donc ça ne doit pas être trop dur de trouver via Linkedin de quel entreprise il s'agit.
Au final, j'ai le sentiment qu'il s'agit presque d'un secret de Polichinelle et qu'il faut donner l'impression d'avoir fait quelque chose pour l'anonymat, mais en pratique, il n'est pas la. Mais même sans anonymat, rien n'arrive de particulier, donc c'est sans doute pour se couvrir, un réflexe courant dans une grande boite.