Discussion :

[JoeChip]

Bonjour,

Existe-t'il un document consensuel résumant les règles de déontologie applicables par un programmeur ?

Par exemple quel peut être le degré acceptable d'accès distant à l'ordinateur d'un utilisateur ? Peut-on intégrer un serveur shell à une application, par exemple ? On peut faire signer un document à l'utilisateur, mais s'il n'est pas vraiment capable de comprendre de quoi on parle ? On peut être couvert en matière légale, mais ça ne suffit pas forcément à définir les limites de l'honnêteté...

D'autres exemples ?

[Lavock]

Pour faire simple, tu as besoin :
- Code de la Propriété Intellectuelle
- Code de Commerce
- D'un juriste (ou au moins quelqu'un qui si connaisse)
- D'un sens éthique/morale

Il y a, à ma connaissance, que la FSF qui définie une déontologie "publique"... Reste que ceci n'a rien d'universelle...

Enfin, en dehors du droit, cela relève plus de la philosophie. Il doit bien y avoir des thèses publiques sur la place des technologies informatiques, ou leurs rôles, etc qui ont été faites.

PS : Bonne chance à toi pour trouver ce genre de réponse !

[el_slapper]

Surtout, ça dépend du contexte dans lequel on travaille. Un développeur d'applis bancaires internes comme moi a certainement plus de contraintes qu'un développeur d'appli de gestion de salon de coiffure..... Par exemple, si je divulgue que le célèbre ****** ********* dispose d'une carte de paiement haut de gamme chez mon client, c'est génant. Le développeur d'appli générique(vendue dans le commerce) n'aura que fort rarement accès à ce genre de données.

[JoeChip]

En fait je m'attendais moins à une réponse précise qu'à un débat : je pense que c'est la réflexion sur l'éthique qui fait l'éthique. Je demandais un document surtout comme base de la discussion. Mais apparemment les choses sont claires pour tout le monde

Bon, je vais installer un serveur dans une appli, pour pouvoir aller voir tout ce que je veux sur l'ordi du client (si je dis "je vais installer un backdoor sur l'ordi d'un client", c'est pareil ?)... Il n'a aucune idée de ce que ça peut être, et je lui ai fait signer un document contenant un vague paragraphe m'autorisant à accéder à son matériel. Donc tout va bien ?

[azertix]

Ça me rappelle une certaine grande entreprise qui commence par Micro et qui finit par $soft
Après en interne c'est une tout autre chose...

[millie]

Par exemple, si je divulgue que le célèbre ****** ********* dispose d'une carte de paiement haut de gamme chez mon client, c'est génant.

Ca, c'est plus lié au contexte bancaire (valable pour tous les métiers dans la banque qui ont des accès) plutôt qu'à l'informatique.

Et en général, c'est bien plus que "gênant". Car non seulement tu risques au mieux de te faire virer, mais tu risques surtout des poursuites judiciaires pour avoir divulguer des informations considérées comme secret bancaire (enfin, je pense que tu le sais)


Mais il est vrai que dans les banques, sur les postes de développeurs, il y a rarement accès au net (ou alors de manière très restreinte), impossibilité de brancher des clefs usb, jamais d'accès admin etc. Faire sortir du code de la banque (même pour bosser chez soi) peut être considéré comme une faute grave.
Dès que ça touche la sécurité, il y a souvent un service interne qui valide les points d'architecture etc.
Il y a dans certains pays des organismes gouvernementaux qui émettent des règles et qui surveillent (la commission de surveillance du secteur financier pour le Luxembourg par exemple).


Je connais quelqu'un qui avait fait une blague là dessus (comme quoi il sortait des infos de client pour bosser de chez lui), à peine 2 heures après, le contrôle interne lui est tombé dessus pour ouvrir une enquête (à partir de ce moment, tu as intérêt à être clean)

[Lavock]

Bon, je vais installer un serveur dans une appli, pour pouvoir aller voir tout ce que je veux sur l'ordi du client (si je dis "je vais installer un backdoor sur l'ordi d'un client", c'est pareil ?)... Il n'a aucune idée de ce que ça peut être, et je lui ai fait signer un document contenant un vague paragraphe m'autorisant à accéder à son matériel. Donc tout va bien ?

Ouch !
Code pénal, article 226.16-24 et 323.1-7 >< !

@el_sapper : je pense que ce dont tu parles relève plus du secret professionnel ou autre que de l'éthique de développement.

PS : Un débat autour du droit du client est tout ce qu'il y a de plus intéressant. Seulement, c'est Troll-like, et là, c'est vendredi-saint quand même >< !
Ils sont quand même étaient majoritairement défini par la loi, bien que certains tentent de les bafouer.... Mais là... !

[Chal92]

Si l'on parle d'éthique, ce qui prime ce n'est pas le moyen technique mais le pourquoi fonctionnel...

A mon sens, mettre en place des fonctionnalités de 'backdoor' dans une application qui sera chez un client n'est pas forcement gênant si il y a une raison précise et clair. Par exemple, si l'on vend de la maintenance et de la supervision, mettre en œuvre un moyen d'accès a la machine n'est pas forcement choquant...
Par contre si l'on met en place pour une raison moins avouable (recup. de donnée client par exemple) c'est déjà plus gênant... et moins légal je pense...

[Bluedeep]

Programmation et éthique, pas d'opinion la dessus.

En revanche de la programmation étique, ça j'en ai vu (trop)

[Michel Rotta]

La question est intéressante, mais les réponses sont plutôt autour des données que de la programmation, est c'est bien là, je pense, que ce situe le problème.

On peut donc considérer qu'il y a deux pendant à la question, d'un côté la programmation, de l'autre les données. Personnellement je suis de formation système et réseau, je rajouterais donc un troisième aspect, l'accès au système et à sa gestion, dans la globalité.

Où allons nous aller dénicher l'étique dans la programmation ? En y réfléchissant bien, c'est au niveau du respect de l'utilisateur et de ce qu'il fera de notre travail. En effet, l'utilisateur, même s'il est parfois à l'origine de la demande, doit ce fier à notre travail pour faire le siens correctement. Je me rappel d'une application que j'ai été obliger de gérer, cette application utilisait un serveur de batch pour lancer des traitements et ne pas surcharger le serveur de base de données (un système ancien, mais l'application date des tout début du client-serveur, il y a plus de quinze ans). Pour pouvoir exécuter les traitements il fallait transmettre un nom d'utilisateur et un mot de passe. Non seulement ces données étaient écrites, en clair, dans la table d'attente des traitements, mais, en plus, elle apparaissaient en clair, sur l'écran de lancement des batchs, une application qui tournait, ouverte, sur le serveur. On peut voir la un manque d'étique, en effet, l'application était fonctionnel, ne plantait pas, rendait les services, mais mettait l'utilisateur en défaut sur la sécurité, sans qu'il ne puisse rien y faire. C'est ce que je qualifierais de manque d'éthique au niveau du programmeur.

Pour ce qui est des données, les chefs de projets on souvent accès aux données de clients, les développeurs peuvent aussi ce voir confier des données à traiter pour des transferts de format. On est plus, là, dans une question de confidentialité que d'éthique, mais ici l'éthique est le respect de cette confidentialité. C'est plus simple de voir où est l'éthique, ce que l'on voit chez le client, on l'oublie.

Il nous reste le cas de l'administrateur système, qui lui, à accès à beaucoup d'informations (parfois toutes) et ce doit d'être irréprochable sur la confidentialité des données qui lui sont confiées, mais aussi, sur leur sécurité (en empêcher le vol ou la perte ou la destruction). Pour cette catégorie d'informaticien, l'éthique ce doit d'être présente dans tous ce qu'il met en œuvre, et dans toutes ces interventions.

Mais il y a un point où, sans rentrer dans la légalité pure, quoique, il faut parfois envisager un deuxième volet à l'éthique. Que faire lorsque, lors de vos interventions, vous tombez sur des données que vous ne devriez pas avoir vu, et qui, sans être réellement illégales, ne sont pas, pour vous, "éthiquement" compatibles ? Nous allons sortir tous ce que l'on peut qualifier de crimes ou délits (photographie pédophile, données volées, preuves d'escroquerie,...), non, je resterais dans des données qui sont plutôt pas bien, mais pas illégales. Un jours, sur un réseau que je gérais, j'avais des installations à faire, à distance, sur des postes de travail, en tâches de fond, sans pour autant avoir à les couper, un des postes c'est révélé anormalement lent. J'ai donc vérifié, toujours à distance, la liste des applications qui tournait sur ce poste de développement pour comprendre d'où venait le problème, à l'origine je soupçonnais l'installation d'un virus ou d'un cheval de trois. A ma grande surprise, je me suis rendu compte que le processus qui consommait toutes les ressources du postes de travail était un jeu type "doomlike" application qui n'avait rien à faire sur un poste de travail, du moins aux heures de travail. Je tiens à préciser qu'une note de service avait prévenu tous les utilisateurs de l'installation et que cela risquait de ralentir un peu leur poste de travail, il n'y avait donc pas d'intervention "en douce". Dans un cas pareil, où est l'éthique et à qui doit aller la loyauté ? Prévenir le mec qu'on l'a pris sur le fait et qu'il ne doit plus jouer pendant le travail ? Prévenir sa hiérarchie qu'il joue durant les heures de travail ? Parfois, la question d'éthique est moins simple qu'il n'y parait et peut être un casse tête.