Autoblog de la La quadrature du nethttp://www.laquadrature.net/http://www.laquadrature.net/ Le Parlement européen s’opposera-t-il à la censure sécuritaire ?https://www.laquadrature.net/?p=12709http://isyteck.com/autoblog/quadrature/index.php5?20181210_152601_Le_Parlement_europeen_s___opposera-t-il_a_la_censure_securitaire___Mon, 10 Dec 2018 14:26:01 +0000Le 12 décembre, le Parlement européen votera le « rapport sur les observations et les recommandations de la commission spéciale sur le terrorisme ». S’il est adopté, ce texte, sans avoir l’effet d’une loi, recommandera l’adoption de mesures prévues dans le règlement de censure antiterroriste : la sous-traitance de la censure aux géants de l’Internet et le contournement des juges nationaux (lire notre dernière analyse).

La Quadrature du Net envoie aux députés du Parlement européen le message suivant, leur demandant de voter le rejet de ce rapport :

Chers députés du Parlement européen,

Le mercredi 12 décembre prochain, vous voterez le « rapport sur les observations et les recommandations de la commission spéciale sur le terrorisme ».

Ces recommandations prônent des mesures sécuritaires absurdes qui porteraient atteinte aux libertés fondamentales. De manière plus précise, ce rapport prône l’adoption des mêmes mesures que celles prévues dans le règlement de censure antiterroriste, qui sera débattu dans quelques semaines au Parlement : la remise en cause du chiffrement de bout en bout, la délégation de la censure aux géants de l’Internet et le pouvoir donné aux polices européennes de contourner les juges nationaux (points BD, BH, 47, 113 et 125). Pour l’ensemble de ces raisons, nous vous demandons de voter le rejet de ce rapport.

Utilisant le prétexte de la lutte contre la radicalisation en ligne, ces mesures suggérées par le rapport et inscrites dans le règlement de censure antiterroriste imposeront de nouvelles obligations à l’ensemble des acteurs de l’Internet : hébergeurs de site, de blog et de vidéo, forum et réseaux sociaux, sites de presse, fournisseurs de mail et de messagerie, etc.

Alors que la Commission européenne et les gouvernements européens ne démontrent de façon étayée ni l’efficacité ni la nécessité de ces obligations pour lutter contre le terrorisme, vous souhaitez imposer aux acteurs d’Internet d’agir sur des contenus dont la dangerosité n’aura été évaluée par aucun juge et ce dans des délais extrêmement courts.

Ces obligations sont porteuses de graves dangers pour l’ensemble de l’écosystème numérique européen. En effet, les moyens économiques, humains et techniques requis pour exécuter les obligations envisagées sont tout simplement hors de portée de la quasi-totalité des acteurs : très peu sont ceux qui seront en mesure de répondre 24h/24h, 7j/7 et en moins d’une heure aux demandes de retrait de contenu provenant de n’importe quelle autorité d’un État membre de l’Union. De la même manière, les mesures de surveillance et de censure automatisées que les autorités nationales pourraient imposer en vertu du texte seront totalement impraticables.

Ainsi, pour se plier à ces nouvelles contraintes, les acteurs économiques de petites et moyennes tailles ne pourront que sous-traiter l’exécution des demandes de retrait et la censure automatisée aux quelques grandes entreprises qui, en raison de leur puissance financière, seront capables de les prendre en charge, Google et Facebook en tête, cette sous-traitance étant porteuse d’une dépendance économique et technique gravement préjudiciable à l’économie numérique européenne.

Quant aux acteurs associatifs et collaboratifs à but non lucratif, ils n’auront d’autres choix que de cesser leurs activités.

Ce règlement appauvrira donc radicalement la diversité numérique européenne et soumettra ce qu’il en reste à une poignée d’entreprises qui sont déjà en situation de quasi-monopole et dont il faudrait au contraire remettre en cause l’hégémonie (lire notre dernière analyse).

Enfin, ce règlement conduirait à une surveillance généralisée de nos échanges en ligne et une censure privée et automatisée de l’information.

Pour l’ensemble de ces raisons, La Quadrature du Net, avec 58 autres acteurs de cet écosystème et défenseurs des libertés fondamentales, avons déjà demandé à Emmanuel Macron de renoncer à son projet de règlement de censure antiterroriste.

Nous vous demandons donc de rejeter ce rapport pour mettre dès maintenant un frein à cette volonté absurde de déléguer la censure de l’Internet aux géants du Web et de permettre à toutes les polices de l’Union européenne de contourner les juges nationaux.

Les parlementaires qui refuseront de protéger les libertés fondamentales et l’écosystème numérique européen seront affichés publiquement.

]]> Not Safe For (sex)Workhttps://www.laquadrature.net/?p=12592http://isyteck.com/autoblog/quadrature/index.php5?20181210_133207_Not_Safe_For__sex_WorkMon, 10 Dec 2018 12:32:07 +0000Tribune de okhin

Les dirigeants de Tumblr ont publié le 3 Décembre 2018 un communiqué de presse annonçant une mise à jour de leurs conditions générales d’utilisation, signifiant qu’ils retirent tout contenu classifié comme adulte. Ils justifient leur décision par la décision unilatérale et sans appel d’Apple de supprimer l’application de leur AppStore. Décision motivée par le fait que Tumblr n’ait pas réussi à détecter des images de pédopornographie, en dépit des filtres automatisés déjà existant.

J’ai voulu rédiger quelque chose de construit, essayant de donner le contexte dans lequel cette suppression de contenu s’opère, hors de tout cadre légal (autre que celui des conditions générales d’utilisation d’Apple). J’ai voulu essayer de donner des arguments, de faire les liens entre sexualité, pornographie et identité de genre, mais au final ce n’est pas ce qui est important. Et énormément de monde — y compris sur Tumblr — a déjà écrit à ce sujet, et bien mieux que je ne pourrais le faire ici. Je vous invite d’ailleurs à aller lire ce que les premières concernées en disent comme, par exemple, cette Lettre d’amour à Tumblr écrite par Vex.

Voilà Tumblr qui supprime le contenu qui a fait son intérêt, sa spécificité, détruisant le travail fait par de nombreuses personnes minorisées, que ce soit par racisme, homophobie, misogynie, transphobie et/ou un mélange de tout cela. Ce travail permet à ces communautés d’exister, de vivre, de s’éduquer et d’échanger dans un cadre dans lequel elles ne sont pas mises en danger (notamment grâce au pseudonymat et au multi compte). Il permet aussi à de nombreuses personnes de travailler, qu’il s’agisse d’acteurs ou d’actrices cherchant à faire ce qu’elles ont envie hors des gros studios de porno hétéronormés, d’escort ou d’autres formes de travail sexuel. Il permet enfin de parler de sexualité, de permettre aux personnes en questionnement de se poser ces questions, d’essayer de comprendre comment se positionner dans ce monde, d’explorer leur corps, leur sexualité ou de poser des questions pratiques. Ou juste de se faire des amies qui partagent un bout de leurs galères quotidiennes… face à tout ce que Tumblr s’apprête à détruire, je me suis naïvement dit que cela ferait réagir, que le débat irait plus loin que la seule question du porno.

Mais la plupart des sites d’informations, quand ils en parlent, ne parlent pas de sexualité. Ou de travail sexuel. Le porno y est indiqué comme étant scanné pour lutter contre la pédopornographie. Reprenant donc les arguments de Christine Albanel en 2005, lors des débats HADOPI, ou ceux des associations familiales catholiques voulant défendre et protéger les enfants du grand méchant pornographe, celui-ci étant de toutes façons lié au puissant lobby LGBT d’après elles.
Pas de remise en contexte. Pas de liens effectués avec des actions similaires menées par Alphabet, Patreon, Kickstarter ou la plupart des plateformes de financement participatif qui, sous couvert de lutter contre la pornographie, empêchent des actrices de financer des soins dont elles ont besoin et qui n’ont aucun rapport avec leur travail, les mettant ainsi délibérément en danger.

Et quand, avec La Quadrature, on essaye de dire que l’on ne peut pas traiter les plateformes géantes telles que Tumblr de la même manière que les initiatives libres et distribuées, parce qu’elles effectuent de fait une sélection éditoriale et suppriment de l’espace public toute forme d’expression ne correspondant pas à leurs cibles commerciales ou à leur vision puritaine du monde — les deux étant apparemment compatibles, nous ne sommes pas à un paradoxe près — on nous dit que l’on veut abandonner les utilisateur·rice·s de ces plateformes.

Pourtant ce sont ces plateformes qui, non seulement invisibilisent et suppriment de l’espace public ces utilisateur·rice·s que nous « abandonnons », utilisant des systèmes arbitraires et ayant de nombreux faux positifs, tout en empêchant tout recours effectif contre la suppression de contenus, ou en coupant une source de revenus pour certaines activistes queer, féministe ou afroféministes. Ce sont ces plateformes qui nous imposent leur ordre moral hétérosexuel, patriarcal, blanc.
À en lire la presse, c’est juste un problème de filtrage d’Internet.

Et j’en ai marre. Je suis énervé. Je suis énervé de devoir justifier que j’existe, que mes ami·e·s existent, que nous avons le droit d’exister dans l’espace public. Je suis fatigué de devoir encore et toujours expliquer l’effet de réseau rendant socialement impossible la migration vers d’autres plateformes et donc l’importance de pouvoir socialiser sur ces plateformes pour des personnes souvent isolé·e·s dans un milieu hostile. Je suis fatigué que l’obligation de s’identifier, avec une seule identité, correspondant à votre état civil, ne soit pas débattue et que l’on se contente de vouloir distribuer. Je suis fatigué de lire « t’as qu’à aller sur mastodon » ou que c’est juste un effet de bord pour lutter contre la pédophilie, assimilant éducation sexuelle et pédophilie.

Après tout si, pour protéger les enfants, il est acceptable de taper un peu large et de supprimer toute forme de contenu parlant de sexualité, il devrait être acceptable de supprimer tout le contenu d’incitation à la haine raciale, au génocide, à l’appel aux meurtres de femmes et de queers, quitte à ce que tout contenu politique disparaisse ? Au delà du fait qu’il reste à prouver que la suppression de contenu est effectivement une méthode efficace de lutte contre la pédocriminalité organisée, ou du fait qu’on ne parle que des enfants victimes de ces crimes, et non de n’importe quelle personne victimes de violence sexuelle, s’il est acceptable de supprimer automatiquement tout contenu adulte pour lutter contre la pédophilie, alors il est acceptable de supprimer tout contenu politique pour lutter contre la haine de l’autre, non ?

C’est d’ailleurs ce qui se produit sur de nombreuses plateformes. Les comptes de personnes minorisées et militantes sont régulièrement fermés alors qu’elles sont victimes de harcèlement, les auteurs de ces harcèlement profitant d’une impunité de fait fournie par ces plateformes. Ces plateformes qui s’excusent régulièrement, promis, la prochaine fois, elles feront tout pour que leur communauté puisse s’exprimer sereinement. Quitte à récupérer sans aucune gène les luttes de ces personnes afin de se donner une image cool, respectable. Alphabet qui empêche les queers de monétiser leur contenu mais qui, dans le même temps, lors des marches des fiertés, affiche son soutien à la communauté LGBT en est l’exemple parfait.

Suppressions justifiées, une fois encore, non pas par des décisions de justice, mais par un principe de précaution. Suppressions effectuées en amont, par des filtres à l’upload, donnant à ces plateformes un rôle éditorial. Suppressions effectuées par des machines, entraînées à distinguer les tétons d’apparence féminine des autres. Suppressions qui, inévitablement, amènent à la disparition du corps des femmes de l’espace public. Suppressions qui, à cause des biais sexistes et racistes, se fera en utilisant une référence définissant ce qu’est une femme, ce qui est une représentation acceptable d’une femme en ligne, effaçant encore et toujours les femmes non blanches, ou ne correspondant pas au canon établi par ces filtres pseudo-intelligents.

On entend beaucoup de gens dire qu’il est inacceptable de supprimer du contenu incitant à la haine, du contenu posté par des personnes se définissant elles-mêmes comme des nazis. Je suis d’accord, parce que supprimer ce contenu est une tâche complexe, nécessitant entre autre des mises en contexte rigoureuses de propos tenus. C’est un travail nécessitant aussi une part d’archivage, et encore une fois, il n’est pas prouvé que la suppression du contenu seul ait un effet quelconque sur la diffusion des idées.

Les néo nazis, les réacs, les pro-BREXIT ou la Manif Pour Tous ont le droit aussi d’exister en ligne. Oui. Absolument. Notamment parce que cela facilite le travail de la police et de la justice. Mais ce que font les GAFAMs et les principaux sites de médias en ligne, n’est pas assimilable au simple fait d’exister. Ce que font les GAFAMs, c’est choisir quels contenus sont mis en avant, permettant même à chaque personne de les sponsoriser pour les diffuser vers un plus grand nombre de personnes. Ce que font les GAFAMs, ce n’est pas vivre et laisser vivre. C’est s’assurer que certains contenus soient vus par le plus grand nombre. C’est s’assurer que certains contenus ne soient jamais vus par personne. Ces entreprises, qui récupèrent petit à petit le contrôle sur l’ensemble des infrastructures, des contenus, des standards de communication, qui n’ont aucune légitimité pour décider du contenu qui a le droit d’exister, n’ont pas un simple rôle passif d’hébergement, mais un rôle actif d’éditorialisation du contenu.

Ces décisions de supprimer tel ou tel contenu, de classifier, d’empêcher certaines personnes de financer leurs projets ou de gagner un peu mieux leur vie, ces décisions sont politiques. Elles définissent le discours acceptable, elles définissent la seule culture devant exister, leur positions hégémonique empêchant toute existence hors de leur sphère d’influence. Ces décisions politiques doivent être considérées comme telles, et ces entreprises doivent etre responsables de leurs décisions, de même qu’un journal, et non ses auteurs individuels, est responsable du contenu qu’il publie.

Donc je suis énervé. Pas tellement contre Tumblr ou Apple au final, ils ne sont que le reflet de notre société. J’entends des « Apple protège ma vie privée ». Mais uniquement si vous ne parlez pas de cul, de sexualité, que vous ne travaillez pas autour de le sexualité, que vous n’êtes pas queer. Parce qu’à ce moment-là, vous n’existez plus.

Je vais donc le dire, encore une fois : le problème ce n’est pas le filtrage automatisé. Le problème ce n’est pas qu’aucun juge ne prenne plus de décisions, permettant au moins de contextualiser le contenu. Le problème c’est de considérer l’invisibilisation des minorités sexuelles, des femmes, des noirs, des musulmans, etc … du simple point de vue du filtrage et de la responsabilité des plateformes sans remettre tout cela dans un contexte politique.

Du coup, que faire ? est-ce qu’on a des choses à proposer ? En l’état des choses, pas vraiment. La solution de la distribution est un premier pas, mais ne résout pas le problème sous-jacent de la gestion d’un espace public commun. Au lieu de déléguer le pouvoir à une entreprise multinationale, on le délègue à une communauté de personnes. Effectivement, n’importe qui peut monter un service ActivityPub, mais tout le monde ne le fait pas. Et est-ce que vous pouvez vraiment faire confiance à des « amis » sur le fait qu’ils résisteront à toute forme de pression policière ? La réponse est non, même si ils sont les mieux intentionnés. Au mieux, ils suspendront le service, vous forçant à trouver une autre plateforme et recommençant encore une fois le même cycle.

D’autant qu’avoir un nom de domaine identifié, public, connoté, associé à une activité peut poser plus de problèmes qu’aller sur facebook et peut, dans malheureusement trop d’endroits, avoir des conséquences très concrètes sur notre sécurité. Et la plupart des alternatives nécessitent en plus une identification forte. Prenons le cas de Signal par exemple. Si je ne veux pas que quelqu’un puisse me joindre au-delà d’une conversation, je suis obligé de changer de numéro de téléphone. Et donc de devoir prévenir tous mes contacts avec qui je veux maintenir un contact que j’ai changé de numéro de téléphone.

Il n’y a pas, à ce jour, de plateformes logicielles et grand public permettant à des enfants, adolescents, jeunes adultes et adultes de se questionner sur leur orientation sexuelle sans être immédiatement détectés soit par leur FAI, soit par l’hébergeur de l’application — et donc Amazon, étant donné qu’une part de plus en plus grande d’applications et de systèmes de communications est hébergée chez eux. Il n’existe aucune plateforme ne nécessitant pas de compte ou d’informations pouvant identifier l’utilisateur·ice, aucune plateforme permettant d’effectuer des transactions bancaires entre deux personnes sans intermédiaire technique ou sans révéler l’identité des deux parties, il n’existe pas non plus d’applications sur lesquelles on peut envoyer des photos de nus et garantir que l’image ne soit pas facilement republiable en ligne.

Il y a du travail dans cette direction, mais on en est au stade de la recherche, encore loin d’avoir quelque chose de fonctionnel. Des applications telles que Briar, ou Cwtch, vont dans la bonne direction à mon sens, mais j’aimerais que les personnes qui développent les futures infrastructures de communications qui remplaceront les GAFAMs quand on aura fini par les mettre à terre, se posent la question de pouvoir répondre aux problèmes auxquels nous, membres de minorités, faisont face quotidiennement pour avoir simplement eu l’outrecuidance d’exister.

]]>
Une loi européenne pour censurer les mouvements sociaux sur Internet ?https://www.laquadrature.net/?p=12674http://isyteck.com/autoblog/quadrature/index.php5?20181207_143832_Une_loi_europeenne_pour_censurer_les_mouvements_sociaux_sur_Internet___Fri, 07 Dec 2018 13:38:32 +0000Alors que la contestation nourrie par le mouvement des gilets jaunes grandit, alors qu’enflent les rumeurs d’une possible censure du mouvement par Facebook1Précision : nous n’avons actuellement connaissance d’aucun élément factuel indiquant que Facebook mettrait ou non en œuvre une censure visant spécifiquement les gilets jaunes. Cet article est une simple analyse juridique., livrons-nous à un peu de politique-fiction : comment la future loi de censure antiterroriste que la France cherche à imposer à l’Union européenne s’appliquerait-elle à des mouvement sociaux tels que celui des gilets jaunes ?

C’est un texte dont personne ne parle ou presque, et il est pourtant fondamental pour l’avenir des libertés publiques à l’échelle de l’Europe entière. Présenté au mois de septembre, il s’agit du règlement européen dédié à « la prévention de la diffusion de contenus à caractère terroriste en ligne ».

L’article 4 du règlement permet aux autorités publiques de demander directement à n’importe quel hébergeur le retrait d’un contenu relevant de l’apologie du terrorisme. En pratique, cela entérine la situation qui prévaut dans tous les pays réprimant l’apologie ou la provocation au terrorisme. Ainsi en France, depuis 2015, le ministère de l’Intérieur est compétent pour censurer la provocation ou l’apologie du terrorisme sur Internet (si l’hébergeur n’empêche pas l’accès au contenu visé sous 24 heures, alors le blocage de l’ensemble du site peut être mis en place par les fournisseurs d’accès à Internet français). Le tout sans aucun contrôle judiciaire préalable, dans le cadre d’une procédure secrète. Ainsi, en 2015, la France est devenue (devant l’Inde et la Turquie) le pays qui a obtenu le plus grand nombre de suppressions de pages Facebook (38 000 suppressions en un an, pendant que l’Allemagne ou Israël n’en obtenaient que 500).

Là où le règlement européen « innove » radicalement, c’est qu’il impose qu’un tel retrait par les hébergeurs intervienne en un délai record de une heure, sous peine de sanctions financières. Il prévoit aussi de passer par une voie encore plus discrète pour censurer ces contenus : les « mesures proactives », ces outils de censure automatique déjà développés par les grandes plateformes comme Facebook ou YouTube et qui pourront être paramétrés en concertation avec les autorités (article 6 du règlement). Comme nous l’avons déjà expliqué (lire notre analyse plus complète), le futur règlement européen prévoit de généraliser ces outils à l’ensemble des acteurs du Web (non seulement Facebook et YouTube mais aussi OVH, Gandi, NextCloud, Mastodon, etc.), voire même aux outils de messagerie (WhatsApp, Signal, Télégram, Protonmail, etc.)2Notons ici une légère évolution depuis notre dernière analyse concernant les risques pour la confidentialité de nos communications. Dans la version du règlement actée hier par le Conseil de l’UE, le considérant 10 a été modifié et semble tenter d’exclure du champ d’application de ce texte les services de communications interpersonnelles : « Interpersonal communication services that enable direct interpersonal and interactive exchange of information between a finite number of persons, whereby the persons initiating or participating in the communication determine its recipient(s), are not in scope ».
Cette précision est toutefois particulièrement hasardeuse et n’a rien de rassurante. D’abord, la précision n’est nullement reprise à l’article 2 du règlement qui définit les différentes notions du texte. Surtout, cette précision n’est pas cohérente : les « service de communications interpersonnelles » sont déjà définis par le code européen des communications électroniques (article 2 et considérant 17), comme pouvant alors couvrir certains services de Cloud (où un nombre limité d’utilisateurs peuvent échanger des documents, typiquement). Pourtant, la version du règlement actée aujourd’hui indique explicitement s’appliquer aux services de Cloud, tout en prétendant ne pas s’appliquer aux communications interpersonnelles. La confusion est totale.
. Concrètement, tous les acteurs du numérique devront développer des « mesures proactives pour protéger leurs services contre la diffusion de contenus à caractère terroriste ».

Mais du coup, c’est quoi, un « contenu à caractère terroriste » ?

L’article 2 du règlement explique que les contenus auxquels le texte s’appliquera sont des textes, images ou vidéos qui « provoquent à la commission », « font l’apologie », « encouragent la participation » ou « fournissent des instructions sur des méthodes ou techniques en vue de la commission d’infractions terroristes ». Tout repose donc sur ces « infractions terroristes », définies par le droit de l’Union à l’article 3 de la directive 2017/541.

La liste est longue. On y retrouve évidemment les meurtres visant à terroriser la population. Mais aussi des actes plus éloignés et moins attendus, tels que le fait de « provoquer une perturbation grave ou une interruption » d’un système informatique (un ordinateur, un site Web…) ou de « causer des destructions massives […] à un lieu public ou une propriété privée, susceptible […] de produire des pertes économiques considérables ». Pour être qualifiés d’infractions terroristes, ces actes doivent être commis dans le but de « contraindre indûment des pouvoirs publics ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque » (retirer un projet de loi, par exemple) ou dans le but de « gravement déstabiliser […] les structures politiques, constitutionnelles, économiques ou sociales fondamentales d’un pays ». La simple menace de commettre de tels actes entre aussi dans la définition.

Bref, en droit européen, le piratage ou la destruction massive de biens, ou la menace de le faire, sont des « infractions terroristes » dès lors qu’il s’agit d’influencer une décision politique ou de déstabiliser des institutions.

Maintenant que le cadre est posé, commençons la politique-fiction. Parmi les contenus susceptibles d’être publiés sur Internet par des gilets jaunes, quels sont ceux qui pourraient être considérés comme relevant du « terrorisme » (selon les très larges définitions européennes) par Facebook et Google (soumis à la menace de sanctions en cas d’échec) ou par la police ? Par exemple :

  • un appel à manifester sur les Champs-Élysées, alors que le rassemblement précédent a conduit à d’importantes détériorations matérielles et enfonce le gouvernement dans une crise politique ;
  • une vidéo qui, prise depuis le balcon d’en face, filmerait la destruction d’une banque ou d’un fast-food, accompagnée d’un commentaire audio du spectateur surpris, du type « ahahah, c’est bien fait pour eux » ;
  • une vidéo d’altercations agressives entre manifestants et CRS au prétexte qu’elle serait diffusée par une personne se réjouissant que les autorités publiques soient ainsi remises en cause ;
  • un texte menaçant le gouvernement de blocage généralisé de l’économie ou de grève générale ;
  • une invective orale du type « si Macron ne démissionne pas, on va venir mettre le feu à l’Élysée » ;
  • un communiqué justifiant le fait d’avoir détruit un véhicule de police ;
  • etc.

En appliquant le droit à la lettre, on pourrait se demander lequel de ces contenus ne devrait pas être censuré automatiquement par les plateformes du Web une fois que le règlement anti-terroriste sera entré en application. De même, en théorie, ces contenus pourraient être censurés sur simple demande de la police.

Même si, pour l’heure, il s’agit encore de politique-fiction, le droit actuel en France va déjà en ce sens, comme l’illustre le type de discours qui ont pu passer pour de l’« apologie du terrorisme » ces dernières années. Par exemple, des peines de prison ferme pour des provocations lancées par certain·es au sujet des attentats de janvier 2015, ou l’injonction faite par le gouvernement fin 2016 à deux sites participatifs pour qu’ils censurent un article revendiquant l’incendie d’un hangar de gendarmerie commis en solidarité avec des personnes poursuivies en justice dans le cadre des manifestations contre la loi travail.

Censure privée, censure totale

Une censure de tels contenus pourrait donc intervenir de deux manières. C’est en quelque sorte « ceinture et bretelles » : quand les « mesures proactives » prises par un réseau social comme Facebook n’auront pas suffi à bloquer les contenus visés, la police pourra prendre le relais, pouvant exiger des services défaillants la suppression d’un contenu dans un délai d’une heure. Tout cela sans l’autorisation préalable d’un juge. Les acteurs concernés s’exposeront à des sanctions s’ils échouent trop souvent à censurer dans le délai d’une heure (article 18).

Bref, pour éviter d’avoir à répondre toute la journée aux demandes des polices des 28 États membres de l’Union européenne, et de subir des sanctions en cas d’échecs à y répondre dans l’heure, les services Web auront franchement intérêt à détecter à l’avance et le plus strictement possible tout ce qui ressemblera de près ou de loin à un « contenu à caractère terroriste », défini de façon extrêmement large.

Or, il est clair que les outils mis au point par Facebook et Google s’imposeront à l’ensemble du Web, même en dehors de leur plateforme, où certains pourraient chercher refuge. De ce que nous ont clairement expliqué des gens du gouvernement (revoir notre compte-rendu) et de ce qui apparaît dès 2017 dans les publications de la Commission européenne3Dès juin 2017, la Commission européenne
se félicite publiquement
d’« avoir travaillé depuis deux ans avec les plateformes clefs du Web au sein du Forum européen de l’Internet », qui regroupe Google, Facebook, Twitter et Microsoft depuis 2015, « pour s’assurer du retrait volontaire de contenus terroristes en ligne », notamment grâce à « l’initiative menée par l’industrie de créer une « base de données d’empreintes numériques » [« database of hashes »] qui garantit qu’un contenu terroriste retiré sur une plateforme ne soit pas remis en ligne sur une autre plateforme ».
Pour la Commission, déjà, « l’objectif est que les plateformes en fassent davantage, notamment en mettant à niveau la détection automatique de contenus terroristes, en partageant les technologies et les outils concernés avec de plus petites entreprises et en utilisant pleinement la « base de données d’empreintes numériques » » (toutes ces citations sont des traductions libres de l’anglais). Cette base de données est ce que nous appelons « listes noires » dans notre analyse.
, l’objectif de ce texte est au final d’imposer les filtres automatiques mis au point par les grosses plateformes à tous les acteurs du Web, petits ou grands, européens ou non. Ces derniers devront automatiquement respecter une large « liste noire » de contenus considérés comme illicites par les prétendues intelligences artificielles de Facebook et Google, qui décideront seuls et selon leurs propres critères s’il est autorisé ou non d’appeler à tel mouvement ou d’applaudir telle action contestataire.

Soyons clairs : notre analyse ne cherche pas à savoir quels propos devraient ou non être tenus en ligne, ni quelles revendications seraient ou non légitimes. Notre question est de savoir si nous acceptons de déléguer à la police et à une poignée d’entreprises privées hégémoniques, qui ne sont soumises à aucun contrôle démocratique, le rôle de juger nos actes et nos opinions, et de modeler le débat public en conséquence. Nous répondons résolument que non : seul un juge, indépendant des pouvoirs politiques et économiques, doit pouvoir censurer les propos qui, d’après des lois adoptées en bonne et due forme, seraient susceptibles de nuire de manière disproportionnée à autrui.

C’est tout l’inverse que propose Macron, principal promoteur du futur règlement européen : en cédant les pouvoirs de l’État aux géants du Web, il s’imagine pouvoir échapper à toute responsabilité politique en cas de censure abusive et massive du Web.

Ce règlement européen est une loi de censure que les gouvernements français et allemands souhaitent faire adopter d’ici aux prochaines élections européennes, en mai. Ils ont déjà réussi à faire accepter hier leur projet aux autres gouvernements européens, à une vitesse jamais vue au sein de l’Union européenne. Les eurodéputés et toutes celles et ceux qui entendent se présenter aux prochaines élections européennes doivent faire connaitre leur opposition à ce texte scélérat.

Nos autres articles sur le sujet :

References   [ + ]

1. Précision : nous n’avons actuellement connaissance d’aucun élément factuel indiquant que Facebook mettrait ou non en œuvre une censure visant spécifiquement les gilets jaunes. Cet article est une simple analyse juridique.
2. Notons ici une légère évolution depuis notre dernière analyse concernant les risques pour la confidentialité de nos communications. Dans la version du règlement actée hier par le Conseil de l’UE, le considérant 10 a été modifié et semble tenter d’exclure du champ d’application de ce texte les services de communications interpersonnelles : « Interpersonal communication services that enable direct interpersonal and interactive exchange of information between a finite number of persons, whereby the persons initiating or participating in the communication determine its recipient(s), are not in scope ».
Cette précision est toutefois particulièrement hasardeuse et n’a rien de rassurante. D’abord, la précision n’est nullement reprise à l’article 2 du règlement qui définit les différentes notions du texte. Surtout, cette précision n’est pas cohérente : les « service de communications interpersonnelles » sont déjà définis par le code européen des communications électroniques (article 2 et considérant 17), comme pouvant alors couvrir certains services de Cloud (où un nombre limité d’utilisateurs peuvent échanger des documents, typiquement). Pourtant, la version du règlement actée aujourd’hui indique explicitement s’appliquer aux services de Cloud, tout en prétendant ne pas s’appliquer aux communications interpersonnelles. La confusion est totale.
3. Dès juin 2017, la Commission européenne
se félicite publiquement
d’« avoir travaillé depuis deux ans avec les plateformes clefs du Web au sein du Forum européen de l’Internet », qui regroupe Google, Facebook, Twitter et Microsoft depuis 2015, « pour s’assurer du retrait volontaire de contenus terroristes en ligne », notamment grâce à « l’initiative menée par l’industrie de créer une « base de données d’empreintes numériques » [« database of hashes »] qui garantit qu’un contenu terroriste retiré sur une plateforme ne soit pas remis en ligne sur une autre plateforme ».
Pour la Commission, déjà, « l’objectif est que les plateformes en fassent davantage, notamment en mettant à niveau la détection automatique de contenus terroristes, en partageant les technologies et les outils concernés avec de plus petites entreprises et en utilisant pleinement la « base de données d’empreintes numériques » » (toutes ces citations sont des traductions libres de l’anglais). Cette base de données est ce que nous appelons « listes noires » dans notre analyse.
]]>
[Libération] Lionel Maurel : « On doit pouvoir quitter Facebook sans perdre les liens qu’on y a créés »https://www.laquadrature.net/?p=12548http://isyteck.com/autoblog/quadrature/index.php5?20181207_110000__Liberation__Lionel_Maurel________On_doit_pouvoir_quitter_Facebook_sans_perdre_les_liens_qu___on_y_a_crees____Fri, 07 Dec 2018 10:00:00 +0000Pour le juriste Lionel Maurel, l’approche individualiste de la protection des données personnelles ne permet pas d’appréhender la dimension sociale qu’exploitent les grandes plateformes du Net. Il appelle à la mise en place d’un droit à la migration collective.

En 1978, la loi informatique et libertés introduisait dans le droit français la notion de « donnée à caractère personnel ». Quarante ans plus tard, l’entrée en application, en mai dernier, du règlement général sur la protection des données (RGPD) a marqué un renforcement des droits des citoyens européens en la matière. Mais nos données dites « personnelles » le sont-elles vraiment, surtout à l’ère du numérique ubiquitaire, des réseaux sociaux, de la puissance d’une poignée de grandes plateformes centralisées qui structurent largement nos vies en ligne ? A tout le moins, il est grand temps de les envisager aussi comme des données « sociales » et de trouver les instruments pour les défendre en tant que telles, répond le juriste Lionel Maurel, membre de l’association de défense des libertés la Quadrature du Net et du comité de prospective de la Commission nationale de l’informatique et des libertés (Cnil). Il intervient ce vendredi à 20 heures [NDLRP, le vendredi 30/11/2018], à la Gaîté lyrique à Paris, lors d’une table ronde au festival Persona non data, dont Libération est partenaire. […]

https://www.liberation.fr/debats/2018/11/29/lionel-maurel-on-doit-pouvoir-quitter-facebook-sans-perdre-les-liens-qu-on-y-a-crees_1695042

]]>
Soutenons notre Internet contre la censure sécuritairehttps://www.laquadrature.net/?p=12648http://isyteck.com/autoblog/quadrature/index.php5?20181206_163655_Soutenons_notre_Internet_contre_la_censure_securitaireThu, 06 Dec 2018 15:36:55 +0000Il y a une semaine, nous faisions un point sur les dons récoltés depuis le lancement de notre campagne de soutien.
Pour rappel, pour continuer notre activité l’an prochain, nous avons besoin de 320.000€.
Aujourd’hui nous avons atteint 41% de cette somme, ce qui signifie que nous avons encore besoin de vous. Il est essentiel que toutes celles et ceux qui nous suivent parlent de La Quadrature autour d’eux.

Nous avions placé cette campagne de dons sous le signe des constellations, pour évoquer notre Internet, celui qui est libre, partagé et décentralisé. Nous voulions être positifs et faire rêver. Ironiquement, c’est maintenant qu’un règlement de censure sécuritaire s’abat sur l’Europe et menace notre Internet. Macron et les dirigeants des États de l’Union européenne veulent un Internet bien cadré, facile à surveiller et comptent confier cet encadrement à Google et Facebook, qui ne se priveront pas de confirmer ainsi leur position de monopole.

Se battre pour notre Internet, c’est se battre contre ce règlement liberticide. Pour que La Quadrature continue son combat, faites un don sur laquadrature.net/donner.

]]>
Les gouvernements européens s’accordent pour confier la censure du Web à Google et Facebookhttps://www.laquadrature.net/?p=12625http://isyteck.com/autoblog/quadrature/index.php5?20181206_124300_Les_gouvernements_europeens_s___accordent_pour_confier_la_censure_du_Web_a_Google_et_FacebookThu, 06 Dec 2018 11:43:00 +0000Nous n’aurons jamais vu un règlement européen être accepté aussi rapidement par les gouvernements européens (en moins de 3 mois !), et ce malgré les inquiétudes exprimées par divers États1Se sont notamment opposés à la version actuelle du texte la Finlande, la Slovaquie, la République Tchèque, la Pologne, le Danemark. Macron les a manifestement convaincu que, les élections européennes approchant, ils pourraient maintenir leur pouvoir en agitant l’inaltérable prétexte terroriste. En résulte une censure et une surveillance généralisée de l’Internet.

Le Conseil de l’Union européenne vient donc d’acter, à l’instant et sans le moindre débat sérieux, un projet de loi qui obligera tous les acteurs du Web à se soumettre aux outils de surveillance et de censure automatisés fournis par Facebook et Google2Dès juin 2017, la Commission européenne se félicite publiquement « avoir travaillé depuis deux ans avec les plateformes clefs du Web au sein du Forum européen de l’Internet », qui regroupe Google, Facebook, Twitter et Microsoft depuis 2015, « pour s’assurer du retrait volontaire de contenus terroristes en ligne », notamment grâce à « l’initiative menée par l’industrie de créer une « base de données d’empreintes numériques » [« database of hashes »] qui garantit qu’un contenu terroriste retiré sur une plateforme ne soit pas remis en ligne sur une autre plateforme ».
Pour la Commission, déjà, « l’objectif est que les plateformes en fassent davantage, notamment en mettant à niveau la détection automatique de contenus terroristes, en partageant les technologies et les outils concernés avec de plus petites entreprises et en utilisant pleinement la « base de données d’empreintes numériques » » (toutes ces citations sont des traductions libres de l’anglais).
, tout en permettant à la police d’exiger le retrait en une heure des contenus qu’elle jugera « terroriste », sans l’autorisation d’un juge.

Deux mesures aussi délirantes qu’inédites, qui conduiront à soumettre tout l’écosystème numérique européen à une poignée de géants que l’Union prétend cyniquement vouloir combattre (lire notre analyse), tout en risquant de remettre en cause la confidentialité de nos correspondances3Notons ici une légère évolution depuis notre dernière analyse concernant les risques pour la confidentialité de nos communications. Dans la version du règlement actée aujourd’hui par le Conseil de l’UE, le considérant 10 a été modifié et semble tenter d’exclure du champ d’application de ce texte les services de communications interpersonnelles : « Interpersonal communication services that enable direct interpersonal and interactive exchange of information between a finite number of persons, whereby the persons initiating or participating in the communication determine its recipient(s), are not in scope ».
Cette précision est toutefois particulièrement hasardeuse et n’a rien de rassurante. D’abord, la précision n’est nullement reprise à l’article 2 du règlement qui définit les différentes notions du texte. Surtout, cette précision n’est pas cohérente : les « service de communications interpersonnelles » sont déjà définis par le code européen des communications électroniques (article 2 et considérant 17), comme pouvant alors couvrir certains services de Cloud (où un nombre limité d’utilisateurs peuvent échanger des documents, typiquement). Pourtant, la version du règlement actée aujourd’hui indique explicitement s’appliquer aux services de Cloud, tout en prétendant ne pas s’appliquer aux communications interpersonnelles. La confusion est totale.
… Et tout ça alors que ni la Commission européenne ni les gouvernements n’ont jamais réussi à démontrer en quoi cette loi serait utile pour lutter contre le terrorisme4En 2017, l’UNESCO publiait un rapport analysant 550 études publiées sur la question de la radicalisation en ligne. Le rapport conclut que « l’état actuel des preuves sur le lien entre Internet, les médias sociaux et la radicalisation violente est très limité et toujours pas conclusif » et qu’il n’y a « pas de preuves suffisantes pour conclure qu’il existe un lien de causalité entre la propagande extrémiste ou le recrutement sur les réseaux sociaux et la radicalisation violente des jeunes ». Le rapport souligne que « les tentatives pour empêcher la radicalisation des jeunes sur les aspects Internet n’ont pas prouvé leur efficacité mais, d’autre part, peuvent clairement nuire aux libertés en ligne, particulièrement la liberté d’expression » (notre traduction de l’anglais)..

Le débat sur ce texte se poursuivra maintenant devant le Parlement européen. Celui-ci votera mercredi prochain, le 12 décembre, un premier « rapport sur la lutte anti-terroriste » qui, sans avoir l’effet d’une loi, promeut peu ou prou les mêmes mesures absurdes que celles prévues dans le « règlement de censure anti-terroriste », que le Parlement examinera dans les semaines suivantes.

Ce premier vote de mercredi sera l’occasion pour chaque député européen de révéler sa position face au projet totalitaire d’Emmanuel Macron, et ils devront en rendre compte alors que s’amorce la campagne électorale pour les élections européennes de 2019.

References   [ + ]

1. Se sont notamment opposés à la version actuelle du texte la Finlande, la Slovaquie, la République Tchèque, la Pologne, le Danemark
2. Dès juin 2017, la Commission européenne se félicite publiquement « avoir travaillé depuis deux ans avec les plateformes clefs du Web au sein du Forum européen de l’Internet », qui regroupe Google, Facebook, Twitter et Microsoft depuis 2015, « pour s’assurer du retrait volontaire de contenus terroristes en ligne », notamment grâce à « l’initiative menée par l’industrie de créer une « base de données d’empreintes numériques » [« database of hashes »] qui garantit qu’un contenu terroriste retiré sur une plateforme ne soit pas remis en ligne sur une autre plateforme ».
Pour la Commission, déjà, « l’objectif est que les plateformes en fassent davantage, notamment en mettant à niveau la détection automatique de contenus terroristes, en partageant les technologies et les outils concernés avec de plus petites entreprises et en utilisant pleinement la « base de données d’empreintes numériques » » (toutes ces citations sont des traductions libres de l’anglais).
3. Notons ici une légère évolution depuis notre dernière analyse concernant les risques pour la confidentialité de nos communications. Dans la version du règlement actée aujourd’hui par le Conseil de l’UE, le considérant 10 a été modifié et semble tenter d’exclure du champ d’application de ce texte les services de communications interpersonnelles : « Interpersonal communication services that enable direct interpersonal and interactive exchange of information between a finite number of persons, whereby the persons initiating or participating in the communication determine its recipient(s), are not in scope ».
Cette précision est toutefois particulièrement hasardeuse et n’a rien de rassurante. D’abord, la précision n’est nullement reprise à l’article 2 du règlement qui définit les différentes notions du texte. Surtout, cette précision n’est pas cohérente : les « service de communications interpersonnelles » sont déjà définis par le code européen des communications électroniques (article 2 et considérant 17), comme pouvant alors couvrir certains services de Cloud (où un nombre limité d’utilisateurs peuvent échanger des documents, typiquement). Pourtant, la version du règlement actée aujourd’hui indique explicitement s’appliquer aux services de Cloud, tout en prétendant ne pas s’appliquer aux communications interpersonnelles. La confusion est totale.
4. En 2017, l’UNESCO publiait un rapport analysant 550 études publiées sur la question de la radicalisation en ligne. Le rapport conclut que « l’état actuel des preuves sur le lien entre Internet, les médias sociaux et la radicalisation violente est très limité et toujours pas conclusif » et qu’il n’y a « pas de preuves suffisantes pour conclure qu’il existe un lien de causalité entre la propagande extrémiste ou le recrutement sur les réseaux sociaux et la radicalisation violente des jeunes ». Le rapport souligne que « les tentatives pour empêcher la radicalisation des jeunes sur les aspects Internet n’ont pas prouvé leur efficacité mais, d’autre part, peuvent clairement nuire aux libertés en ligne, particulièrement la liberté d’expression » (notre traduction de l’anglais).
]]>
[Numerama] Géolocalisation : 7 associations se dressent contre Google et ses « pratiques déloyales »https://www.laquadrature.net/?p=12549http://isyteck.com/autoblog/quadrature/index.php5?20181206_110000__Numerama__Geolocalisation____7_associations_se_dressent_contre_Google_et_ses_____pratiques_deloyales____Thu, 06 Dec 2018 10:00:00 +0000Sept associations ont saisi les autorités de protection des données pour dénoncer les pratiques de Google en matière de géolocalisation. Elles se basent sur une enquête norvégienne pointant les stratagèmes de l’entreprise pour forcer l’activation de cette option.

Google s’attendait-il à ce que le Règlement général sur la protection des données personnelles entraîne une telle activité contre lui ? Depuis le 25 mai, de nombreux fronts ont été ouverts : on compte deux actions collectives (l’une de La Quadrature du Net, l’autre de NOYB), mais aussi une initiative de l’UFC-Que Choisir dénonçant les stratagèmes de manipulation de l’internaute.

À cette liste, non-exhaustive, il faut ajouter une action coordonnée de sept associations de consommateurs du Vieux Continent qui, chacune dans leur pays, alertent leur autorité de protection des données. Ces signalements ont lieu en Grèce, en Norvège, aux Pays-Bas, en Pologne, en République tchèque, en Slovénie et en Suède. Elles dénoncent les pratiques de Google en matière de localisation des utilisateurs. […]

https://www.numerama.com/politique/443725-geolocalisation-7-associations-se-dressent-contre-google-et-ses-pratiques-deloyales.html

]]>
[FranceCulture] Faut-il avoir peur des GAFA chinois ?https://www.laquadrature.net/?p=12550http://isyteck.com/autoblog/quadrature/index.php5?20181205_110000__FranceCulture__Faut-il_avoir_peur_des_GAFA_chinois___Wed, 05 Dec 2018 10:00:00 +0000Méconnus en France, les géants du web chinois, Baidu, Alibaba, Tencent, Xiaomu (les « BATX ») inquiètent. Comment appréhender l’arrivée de tels mastodontes numériques en Europe ? Leurs pratiques sont-elles plus problématiques que celles de Google, Apple, Facebook et Amazon (les « GAFA ») ? […]

Les Baidu, Tencent, Alibaba et autres Xiaomi restent encore peu connus en dehors de leur pays d’origine. Mais que se passera-t-il quand les géants chinois de l’internet s’éveilleront ? Leur proximité (c’est un euphémisme) avec le pouvoir politique a de quoi inquiéter, du point de vue des libertés publiques. Car derrière leur puissance économique, c’est un modèle politique qui est véhiculé par ces entreprises. […]

Intervenants :

  • Julien Nocetti : Chercheur à l’Institut français des relations internationales (IFRI) où il est membre du Centre Russie/NEI et responsable des recherches sur les sujets numériques internationaux
  • Stéphanie Balme : Professeure de la faculté permanent de Sciences Po
  • Benjamin Bayart : Cofondateur de la Quadrature du Net, co-président de la fédération des Fournisseur d’Accès à Internet associatifs (FFDN)

https://www.franceculture.fr/emissions/du-grain-a-moudre/faut-il-avoir-peur-des-gafa-chinois

]]>
[Planet] Surveillance du fisc sur les réseaux sociaux : est-ce vraiment légal ?https://www.laquadrature.net/?p=12551http://isyteck.com/autoblog/quadrature/index.php5?20181204_110000__Planet__Surveillance_du_fisc_sur_les_reseaux_sociaux____est-ce_vraiment_legal___Tue, 04 Dec 2018 10:00:00 +0000Police fiscale, surveillance sur la toile… Le trésor public a annoncé la mise en place de nouveaux outils jugés plutôt intrusifs pour en finir avec la fraude et vérifier que vous déclarez bien ce qu’il faut […]

Contactée par la rédaction de Planet, la CNIL a fait parvenir plusieurs éléments de réponse relatifs à ce projet. Elle assure, dans un premier temps, ne pas avoir été saisie. Elle explique aussi que le « fait que les données soient accessibles publiquement ne leur ôte pas leur caractère de données personnelles et l’exigence de protection de la vie privée qui s’applique« . Dans un deuxième temps, la commission s’inquiète : « La lutte contre la fraude constitue en soi un objectif légitime, mais un projet de ce type soulève, par nature, d’importantes questions de proportionnalité compte tenu de son caractère intrusif dans la vie privée des personnes et du caractère potentiellement massif de la collecte.« 

Car la surveillance généralisée, c’est bien ce qui inquiète plusieurs spécialistes du web et des libertés individuelles, à l’instar d’Alexis Fitzjean, avocat spécialisé du numérique et membre de l’association La Quadrature du Net. « En 2015, lorsque la loi sur le renseignement a été votée, on nous a agité le spectre du terrorisme et de la pédopornographie pour justifier la surveillance de masse. Aujourd’hui, avec cette future expérimentation, l’Etat semble glisser de l’excuse de la menace terroriste à celle du problème de la fraude fiscale. La question se pose en terme de légitimité« , confie-t-il. […]

https://www.planet.fr/societe-surveillance-du-fisc-sur-les-reseaux-sociaux-est-ce-vraiment-legal.1670096.29336.html

]]>
58 organisations demandent à Macron de renoncer à son projet de censure anti-terroristehttps://www.laquadrature.net/?p=12524http://isyteck.com/autoblog/quadrature/index.php5?20181203_111412_58_organisations_demandent_a_Macron_de_renoncer_a_son_projet_de_censure_anti-terroristeMon, 03 Dec 2018 10:14:12 +000058 associations de défense des libertés, professionnels, hébergeurs et FAI associatifs demandent à Emmanuel Macron de renoncer à son projet de règlement européen de censure sécuritaire, dont il est le principal promoteur.

Les gouvernements européens se réuniront le 6 décembre pour décider de leur position sur ce texte. Ce règlement instrumentalise la crainte terroriste pour museler tout Internet, mais ne servira à rien d’autre qu’à renforcer Google et Facebook (relire notre analyse) et à remettre en cause la confidentialité de nos communications (relire notre analyse).

Mise à jour (4 décembre) : notre lettre commune est toujours ouverte à signature par des organisations (les individus sont vivement encouragés à se l’approprier et à la diffuser autour d’eux). Pour signer, écrivez-nous à contact@laquadrature.net avec « Signature lettre censure » en objet, puis en précisant le nom de votre organisation dans le mail. Merci !

La lettre en PDF ou ci-dessous :

Monsieur le Président,

Au nom de la lutte contre la radicalisation terroriste en ligne, vous défendez un projet de règlement européen imposant de nouvelles obligations à l’ensemble des acteurs de l’Internet : hébergeurs de site, de blog et de vidéo, forum et réseaux sociaux, sites de presse, fournisseurs de mail et de messagerie, etc.

Alors que la Commission européenne et votre gouvernement ne démontrent de façon étayée ni l’efficacité ni la nécessité de ces obligations pour lutter contre le terrorisme, vous souhaitez imposer aux acteurs d’Internet d’agir sur des contenus dont la dangerosité n’aura été évaluée par aucun juge et ce dans des délais extrêmement courts.

Ces obligations sont porteuses de graves dangers pour l’ensemble de l’écosystème numérique européen. En effet, les moyens économiques, humains et techniques requis pour exécuter les obligations envisagées sont tout simplement hors de portée de la quasi-totalité des acteurs : très peu sont ceux qui seront en mesure de répondre 24h/24h, 7j/7 et en moins d’une heure aux demandes de retrait de contenu provenant de n’importe quelle autorité d’un État membre de l’Union. De la même manière, les mesures de surveillance et de censure automatisées que les autorités nationales pourraient imposer en vertu du texte seront totalement impraticables.

Ainsi, pour se plier à ces nouvelles contraintes, les acteurs économiques de petites et moyennes tailles ne pourront que sous-traiter l’exécution des demandes de retrait et la censure automatisée aux quelques grandes entreprises qui, en raison de leur puissance financière, seront capables de les prendre en charge, Google et Facebook en tête, cette sous-traitance étant porteuse d’une dépendance économique et technique gravement préjudiciable à l’économie numérique européenne.

Quant aux acteurs associatifs et collaboratifs à buts non lucratifs, ils n’auront d’autres choix que de cesser leurs activités.

Ce règlement appauvrira donc radicalement la diversité numérique européenne et soumettra ce qu’il en reste à une poignée d’entreprises qui sont déjà en situation de quasi-monopole et dont il faudrait au contraire remettre en cause l’hégémonie.

Enfin, ce règlement conduirait à une surveillance généralisée de nos échanges en ligne et une censure privée et automatisée de l’information, parfaitement contraires au projet humaniste que vous entendez porter au niveau européen.

Nous, acteurs de cet écosystème et défenseurs des libertés fondamentales, vous demandons de renoncer à ce projet.

Signataires :

Mise à jour du 6 décembre, passant les signataires de 44 à 58

]]>
[LeMonde] Comment Linux est devenu un enjeu stratégique majeur pour la Silicon Valleyhttps://www.laquadrature.net/?p=12552http://isyteck.com/autoblog/quadrature/index.php5?20181203_110000__LeMonde__Comment_Linux_est_devenu_un_enjeu_strategique_majeur_pour_la_Silicon_ValleyMon, 03 Dec 2018 10:00:00 +0000L’emblématique système d’exploitation libre est devenu un outil-clé de tous les grands groupes du Web, comme l’illustre le rachat de Red Hat. […]

Au-delà des considérations stratégiques, le rachat de Red Hat « montre la viabilité du modèle économique » du logiciel libre, juge Lionel Maurel, juriste et membre du bureau de l’association La Quadrature du Net. « Tout le monde a répété cette phrase : “Le logiciel libre a déjà gagné, mais personne ne le sait.” Le modèle est déjà dominant dans les serveurs ; IBM va pouvoir utiliser ce rachat pour développer des solutions de cloud [informatique dématérialisée], un domaine très concurrentiel. » Car si Linux reste très minoritaire sur les ordinateurs individuels, loin derrière Windows de Microsoft et Mac OS d’Apple, le système d’exploitation libre est le leader dans les serveurs qui font tourner les grands services du Web. D’Amazon à Facebook en passant par Google, dont une version modifiée du noyau Linux est au cœur d’Android, tous les géants du Web ont recours à Linux pour leurs gigantesques infrastructures. […]

https://www.lemonde.fr/long-format/article/2018/11/11/comment-linux-est-devenu-un-enjeu-strategique-majeur-pour-la-silicon-valley_5382061_5345421.html

]]>
[LeMagIT] Projet de règlement anti-terroriste : une énième attaque contre le chiffrement ?https://www.laquadrature.net/?p=12515http://isyteck.com/autoblog/quadrature/index.php5?20181129_110000__LeMagIT__Projet_de_reglement_anti-terroriste____une_enieme_attaque_contre_le_chiffrement___Thu, 29 Nov 2018 10:00:00 +0000La Quadrature du Net s’alarme de la manière dont est formulé le texte, définissant des obligations pour les contenus mis à disposition de tiers et pas uniquement du public. De quoi, selon elle, attaquer les communications privées. […]

« De tiers ». Pour la Quadrature du Net, toute la subtilité tient à l’utilisation de ce terme, qui décrit quelque chose de distinct « du public ». Car « tiers » ne décrit pas forcément un destinataire public ; il peut être privé. Alors pour l’association, le texte recouvre les contenus « qui sont transmis à tout tiers, cela signifie qu’il peut s’appliquer à des services de courriers électroniques, comme les mails et les messageries instantanées […] Ces derniers, au moins jusqu’à la consultation du message, stockent en effet un contenu fourni par un utilisateur afin de le mettre à disposition d’un ou plusieurs tiers ».

Pour la Quadrature du Net, les services de communications personnelles « seront alors, comme les autres acteurs de l’Internet (forums, réseaux sociaux, blogs…), soumis aux obligations de retrait et de censure automatisée prévues par le règlement ». Une approche difficilement conciliable avec le chiffrement de bout en bout de ces échanges, tel que beaucoup le pratiquent aujourd’hui. […]

https://www.lemagit.fr/actualites/252453257/Projet-de-reglement-anti-terroriste-un-enieme-attaque-contre-le-chiffrement

]]>
Campagne de dons, premier point d’étapehttps://www.laquadrature.net/?p=12501http://isyteck.com/autoblog/quadrature/index.php5?20181128_152927_Campagne_de_dons__premier_point_d___etapeWed, 28 Nov 2018 14:29:27 +0000À la mi-novembre, nous avons lancé notre campagne de dons annuelle, avec un objectif de 320 000 € de collecte, comme l’an dernier. À ce jour nous en avons réuni environ 35% (en comptant les dons récurrents pré-existants à cette campagne et qui se poursuivent actuellement). Nous avons donc besoin de votre aide pour pouvoir continuer nos actions l’an prochain. 

D’autant que l’actualité est chargée pour La Quadrature : entre les suites de notre action de groupe contre les GAFAM, le passage de notre procédure à propos de la surveillance française devant la Cour de Justice de l’Union Européenne et la lutte contre le futur règlement européen sur la prévention des contenus à caractère anti-terroriste en ligne, notre équipe (salariée comme bénévole) ne chôme pas pour protéger nos droits fondamentaux !


Et pendant ce temps, notre campagne autour de l’Internet de nos rêves poursuit son chemin. Nous avons déjà publié les deux premières vidéos : 

Nous avons aussi organisé plusieurs évènements en lien avec divers sujets d’actualité pour nous. Le premier de ces évènements a été un riche débat sur le statut juridique des hébergeurs :


Et retrouvez le programme complet de notre campagne ici.

Pour mieux défendre cet Internet qu’on aime face aux lois liberticides qui se multiplient, La Quadrature du Net a plus que jamais besoin de vous !

N’hésitez pas à mettre en place un don récurrent, ce sont ceux qui nous offrent une meilleure visibilité sur le long terme, et vous pouvez les arrêter très facilement sur demande.
]]>
Procédure contre le renseignement français devant les juges de l’UE : aidez-nous à finaliser !https://www.laquadrature.net/?p=12483http://isyteck.com/autoblog/quadrature/index.php5?20181127_140848_Procedure_contre_le_renseignement_fran__ais_devant_les_juges_de_l___UE____aidez-nous_a_finaliser___Tue, 27 Nov 2018 13:08:48 +0000Grace aux procédures engagées par La Quadrature du Net, FFDN, Igwan et FDN, la Cour de justice de l’Union européenne doit évaluer la validité du régime de surveillance français. Il nous reste encore une semaine pour lui envoyer nos arguments : aidez-nous à finaliser notre dossier !

Le 26 juillet dernier, après trois ans de procédure (en lire notre résumé), le Conseil d’État avait enfin accepté de poser à la Cour de justice de l’Union européenne cinq questions susceptibles de remettre en cause la compatibilité du droit français au droit de l’Union. Ces questions concernent deux pans majeurs de la surveillance française :

  • les activités de renseignement réalisées par l’État (voir la décision du Conseil d’État, qui pose trois questions à ce sujet) ;
  • l’obligation pour les acteurs de l’Internet de conserver pendant un an les données de connexion concernant l’ensemble de la population (voir la seconde décision du Conseil d’État, qui pose deux questions).

Le 26 septembre dernier, la Cour de justice nous a indiqué qu’elle répondrait à l’ensemble de ces questions au sein d’une même procédure, nous laissant jusqu’au 6 décembre pour présenter nos arguments sur la façon dont elle devrait y répondre. Nous avons rédigé ces arguments au cours des deux derniers mois et nous vous invitons aujourd’hui à y participer à votre tour, avant de les envoyer la semaine prochaine. Nous avons divisé notre dossier en deux parties :

Chaque paragraphe de ces documents est numéroté : si une phrase vous semble peu claire ou pas assez incisive, ou qu’un mot est mal orthographié, indiquez le numéro du paragraphe que vous souhaitez modifier sur ce document collaboratif en ligne, prévu à cet effet. Vous pouvez aussi nous faire vos retours par email à contact@laquadrature.net (même si c’est plus sympa de travailler à plusieurs !).

Vous nous aviez déjà grandement aidé à finaliser notre dossier contre la loi renseignement devant le Conseil constitutionnel il y a trois ans, notre procédure contre le fichier TES il y a deux ans, ainsi que nos plaintes contre les GAFAM en mai dernier. Donc merci encore pour l’aide que vous apporterez aujourd’hui ! Nous reviendrons la semaine prochaine plus en détail sur les arguments que nous aurons envoyés.

Merci !

Contribuez ici

]]>
[Zdnet.Fr] 10 ans au compteur mais la Quadrature a toujours besoin de vos donshttps://www.laquadrature.net/?p=12476http://isyteck.com/autoblog/quadrature/index.php5?20181127_120000__Zdnet.Fr__10_ans_au_compteur_mais_la_Quadrature_a_toujours_besoin_de_vos_donsTue, 27 Nov 2018 11:00:00 +0000La Quadrature a donné jeudi 15 novembre le coup d’envoi à sa campagne annuelle de collecte de dons. L’association entend revenir à une organisation plus horizontale et entame « un nouveau chapitre » pour marquer les dix ans de son existence.

La Quadrature du net a 10 ans et entend bien poursuivre sur sa lancée. L’association donnait jeudi dernier le coup d’envoi de sa collecte de dons annuels à la maison du libre et des communs, située à Strasbourg Saint-Denis, et en profitait pour faire le point sur l’évolution de l’association de défense des libertés numériques qui avait émergé à l’époque des combats autour de la loi Hadopi. Depuis ces premiers pas remarqués, la Quadrature s’est illustrée à travers de nombreux combats sur des sujets variés touchant aux libertés à l’heure du numérique et à la protection des données personnelles. […]

« L’assemblée générale a été l’occasion de revoir notre organisation et d’adopter une structure plus horizontale et moins hiérarchique » explique Arthur Messaud, membre de la Quadrature, qui se défend d’être porte-parole de l’association, mais qui a tout de même accepté de répondre à nos questions. Si jusqu’alors, l’organisation avait choisi de réserver certains postes spécifiques à ses membres, les sujets abordés par la Quadrature sont aujourd’hui plus vastes et l’association espère que cette nouvelle organisation lui permettra d’être plus en phase avec ces sujets. […]

https://www.zdnet.fr/actualites/10-ans-au-compteur-mais-la-quadrature-a-toujours-besoin-de-vos-dons-39876641.htm

]]>
Le règlement antiterroriste détruira-t-il Signal, Telegram et ProtonMail ?https://www.laquadrature.net/?p=12457http://isyteck.com/autoblog/quadrature/index.php5?20181126_124056_Le_reglement_antiterroriste_detruira-t-il_Signal__Telegram_et_ProtonMail___Mon, 26 Nov 2018 11:40:56 +0000Il y a deux semaines, nous faisions le point sur le projet de règlement européen de censure antiterroriste. Pour rappel, ce texte imposera à l’ensemble des acteurs de l’Internet des obligations de censure irréalistes : retrait en une heure des contenus signalés par la police, surveillance de tous les contenus conduisant à une censure automatisée…

Aujourd’hui, nous revenons sur un autre danger de ce texte : en visant non seulement les contenus diffusés au public, mais également ceux échangés dans un cadre privé (comme les mails et les messageries instantanées), ce texte risque de mettre fin à la possibilité de protéger nos échanges par le chiffrement de bout en bout.

Une lecture attentive des dispositions du règlement révèle en effet que ce dernier ne se limite pas aux contenus diffusés au public.

L’article 2 précise que les acteurs soumis aux obligations de censure sont les « fournisseur de services de la société de l’information qui consistent à stocker des informations fournies par le fournisseur de contenus à la demande de celui-ci et à mettre ces informations à la disposition de tiers ». Le considérant 10 du même texte donne comme exemple, outre les réseaux sociaux, « les services de partage de fichiers vidéo, audio et images, les services de partage de fichiers et autres services en nuage, dans la mesure où ils mettent ces informations à la disposition de tiers […] ».

Cette notion de « mise à disposition de tiers » est bien différente de la notion plus habituelle de « mise à disposition du public » qui apparait, par exemple, dans la LCEN de 2004 où les hébergeurs sont définis comme ceux « qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature » (article 6, 2). Les contenus hébergés sur les « services en nuage » (qu’on comprend renvoyer à des services comme Nextcloud ou Dropbox) ne sont généralement pas « mis à disposition du public » mais uniquement accessibles par un nombre restreint d’utilisateurs. Le nouveau règlement européen les vise pourtant.

Or, si le texte du règlement ne se limite pas aux contenus diffusés au public, mais englobe ceux qui sont transmis à tout tiers, cela signifie qu’il peut s’appliquer à des services de courriers électroniques, comme les mails et les messageries instantanées (Whatsapp, Signal, Telegram…). Ces derniers, au moins jusqu’à la consultation du message, stockent en effet un contenu fourni par un utilisateur afin de le mettre à disposition d’un ou plusieurs tiers1Voir par exemple les conditions d’utilisation de Signal, qui indiquent bien conserver les messages le temps de leur réception..

Ils seront alors, comme les autres acteurs de l’Internet (forums, réseaux sociaux, blogs…), soumis aux obligations de retrait et de censure automatisée prévues par le règlement.

Des obligations incompatibles avec le chiffrement de bout en bout

Pourtant, certains de ces services protègent nos échanges privés grâce à des technologies de chiffrement de bout en bout, c’est-à-dire des systèmes de communications « où seules les personnes qui communiquent peuvent lire les messages échangés », l’objectif étant de « résister à toute tentative de surveillance ou de falsification ».

Comme nous l’expliquions dans nos positions communes avec l’Observatoire de Libertés et du Numérique (OLN), cette capacité de chiffrement « est une condition indispensable à la préservation des droits et libertés fondamentales, et l’un des derniers remparts, individuels et collectifs, aux intrusions arbitraires et illégales de nombreux acteurs, étatiques, privés, ou criminels ».

Comment alors les services de messageries et de mails qui prévoient ce type de protection (Signal, ProtonMail…) pourront respecter les obligations de surveillance et de censure prévues dans le texte si l’ensemble des messages stockés sont chiffrés et leur sont donc indisponibles ?

Le silence du règlement laisse entrevoir le pire : le chiffrement de bout en bout, c’est-à-dire la protection de nos échanges privés, serait contraire aux obligations prévues par ce texte et ne pourrait donc que disparaitre.

En effet, il est difficile d’imaginer comment ces services, comme tous les autres acteurs de l’Internet, pourront survivre à ces nouvelles obligations : il est peu probable qu’ils acceptent d’abandonner ce chiffrement de bout en bout et de sous-traiter la surveillance de leurs services à un géant du Web – ce qui est la solution que le gouvernement français semble espérer déjà au moins en matière d’hébergement de contenus publics.

Quant à Facebook lui-même, il est étonnant qu’il ait laissé passer ce texte sans voir ni comprendre le danger qu’il pourrait comporter pour son service de messagerie Whatsapp, lui aussi protégé par le chiffrement. La pire des situations serait que Facebook soit en train de renoncer à cette technologie pour s’allier, avec les gouvernements, à la surveillance de l’ensemble de nos échanges, qu’ils soient privés et publics. Il y a quelques semaines, Mark Zuckerberg expliquait d’ailleurs que le chiffrement compliquait l’automatisation de la censure.

Par ce texte, le gouvernement pourrait trouver une manière détournée de gagner un combat qu’il mène depuis longtemps et qui le frustre particulièrement : celui de la lutte contre le chiffrement de nos conversations.

Le règlement, en cours d’examen devant le Parlement européen, remettrait ainsi en cause un droit pourtant essentiel pour garantir nos libertés fondamentales face aux possibilités d’arbitraire de l’État et de la surveillance généralisée d’acteurs privés.

De nouveau, nous en demandons le rejet.

Rappelons que les délais pour agir sont extrêmement brefs : les gouvernements européens (en tête, la France) veulent faire adopter le texte le plus rapidement possible, au détriment de tout débat démocratique. Le Conseil de l’Union européenne se réunit ainsi à Bruxelles dès les 6 et 7 décembre en vue de parvenir à une position commune.

References   [ + ]

1. Voir par exemple les conditions d’utilisation de Signal, qui indiquent bien conserver les messages le temps de leur réception.
]]>
[EN DIRECT] ! Débat sur le statut des hébergeurs, La Paillasse, Paris.https://www.laquadrature.net/?p=12106http://isyteck.com/autoblog/quadrature/index.php5?20181121_190044__EN_DIRECT_____Debat_sur_le_statut_des_hebergeurs__La_Paillasse__Paris.Wed, 21 Nov 2018 18:00:44 +0000Suivez en direct Le débat sur le statut des hébergeurs, à la Paillasse, Paris



Si vous n’avez pas de navigateur compatible HTML5, vous pouvez aussi voir directement le flux live en faisant pointer votre player habituel (tel VLC ou MPlayer) à l’adresse suivante :

https://radio.octopuce.fr/ts1/stream.m3u8

]]>
[RFI] Les GAFAM, géants du Net, sont-ils en règle sur la protection des données ?https://www.laquadrature.net/2018/11/16/rfi-les-gafam-geants-du-net-sont-ils-en-regle-sur-la-protection-des-donnees/http://isyteck.com/autoblog/quadrature/index.php5?20181116_185953__RFI__Les_GAFAM__geants_du_Net__sont-ils_en_regle_sur_la_protection_des_donnees___Fri, 16 Nov 2018 17:59:53 +0000[RFI] Les GAFAM, géants du Net, sont-ils en règle sur la protection des données ?

Après avoir été reçu à l’Elysée par Emmanuel Macron, le PDG d’Apple s’exprime ce mercredi au Parlement européen lors d’une conférence sur la confidentialité. L’occasion pour Tim Cook d’évoquer le nouveau RGPD, le règlement général sur la protection des données. Présenté comme une révolution en matière de droits numériques, il contraint les entreprises à obtenir le consentement des internautes européens pour utiliser leurs données personnelles mais les géants du Net sont accusés de ne pas le respecter.

Entré en vigueur le 25 mai dernier, le RGPD n’a pas tardé à produire ses premiers effets. La CNIL, la Commission nationale de l’informatique et des libertés, a publié un premier bilan sur les quatre premiers mois d’application du texte. Sur cette période, le gendarme français des données personnelles a reçu 3767 plaintes soit une hausse de 64%, signe d’une prise de conscience du grand public sur cette question. Par ailleurs, la CNIL a été saisie de plusieurs plaintes collectives. Ce type de procédure est l’une des grandes nouveautés introduites par le RGPD.

En France, l’association de défense des libertés sur la toile, la Quadrature du Net, a ainsi déposé cinq plaintes collectives regroupant 12 000 personnes contre Google, Amazon, Apple, Facebook et Microsoft. Principal reproche fait à ces entreprises américaines : la tactique du « à prendre ou à laisser ». Soit l’utilisateur accepte les conditions d’utilisation et donc cède ses données personnelles, soit il n’a plus accès au service, ce qui est interdit par le RGPD. […]

[RFI] Les GAFAM, géants du Net, sont-ils en règle sur la protection des données ?

]]>
Soutenons notre Internet !https://www.laquadrature.net/?p=12174http://isyteck.com/autoblog/quadrature/index.php5?20181115_170410_Soutenons_notre_Internet___Thu, 15 Nov 2018 16:04:10 +0000Depuis 10 ans, vos dons nous permettent de défendre notre vision d’un Internet idéal — un idéal que nous espérons avoir en commun avec vous. Nous lançons aujourd’hui notre campagne de dons annuelle, avec un objectif de 320 000 € de collecte, comme l’an dernier.

Nous voulons surtout profiter de ce moment pour aborder un sujet qui nous tient à cœur, mais dont nous parlons peu tant nous croulons chaque jour sous de nouvelles menaces contre nos libertés. C’est pourtant ce sujet qui nous anime au quotidien, qui nous fait veiller tard le soir et inspire chacune des phrases que nous écrivons aux juges ou aux parlementaires, ou à vous, pour partager nos inquiétudes et proposer des façons de se défendre.

Cette année, nous prendrons donc l’occasion de notre campagne de dons pour vous parler de l’internet de nos rêves, de « notre Internet ». Certes il y a les GAFAM, Macron, la Technopolice galopante, mais l’espace d’un instant au moins, ayons la sagesse de rêver — de nous rappeler que nous ne luttons pas seulement contre un futur terrible mais, surtout, pour un monde idéal.

Notre Internet idéal est dans les mains de toutes les personnes qui l’utilisent. Il n’a pas de centre ni de maître mais se construit et s’invente collectivement. Pour nous, la meilleure façon d’en parler a donc été de donner la parole à celles et à ceux qui le construisent au quotidien : qui posent des câbles et maintiennent une infrastructure collective face aux FAI géants ; qui développent des logiciels permettant une répartition plus juste des pouvoirs de modérations sur Internet ; qui font tout pour permettre à chaque personne de construire son petit bout d’Internet autogéré ; qui se battent devant les juges pour que les lois ne nous empêchent pas de façonner Internet à notre façon, en nous imposant censure et surveillance.

Au cours de l’année dernière, nous avons eu l’honneur d’accueillir nombre de ces personnes en tant que membres de notre association. Nous espérons que cette campagne de dons reflétera la nouvelle diversité de tons, d’expériences et d’idéaux offerte par cette ouverture, si propre à l’Internet de nos rêves.

Nous avons aussi donné la parole au-delà, à nos alliés de longue date, pour réunir au final une quinzaine de personnes sur quatre vidéos. Une pour chaque facette de notre idéal : un Web où nos règles sont décidées collectivement, sans censure imposée par l’État ou des entreprises ; une infrastructure physique gérée par la population ; un monde libre de toute surveillance généralisée ; le développement de services ne reposant pas sur l’exploitation commerciale de notre identité.

Nous diffuserons ces vidéos au cours des semaines à venir, après la publication dès ce soir, lors de notre soirée de lancement de campagne, d’une première vidéo plus poétique, reprenant en dessins l’histoire de l’Internet telle que nous la voyons aujourd’hui. La diffusion de ces vidéos s’accompagnera d’un ou deux événements publics par semaine (voir le programme).

Exprimer nos rêves apparaît aussi comme une forme de bilan : l’occasion appropriée pour saluer notre bon vieux site Internet, qui nous aura longtemps accompagné·es malgré son âge vieillissant, et d’en accueillir un tout nouveau, tel que vous le voyez !

Merci à toutes les personnes qui partagent ces rêves, que nous espérons encore défendre une année de plus, grâce à vous.

]]>
Censure antiterroriste : Macron se soumet aux géants du Web pour instaurer une surveillance généraliséehttps://www.laquadrature.net/?p=11968http://isyteck.com/autoblog/quadrature/index.php5?20181114_161459_Censure_antiterroriste____Macron_se_soumet_aux_geants_du_Web_pour_instaurer_une_surveillance_generaliseeWed, 14 Nov 2018 15:14:59 +0000Il y a deux mois, la Commission européenne a publié sa proposition de règlement « censure antiterroriste ». Nous le dénoncions, expliquant que ce projet aura pour effet de détruire l’ensemble du Web décentralisé. Depuis, nous avons rencontré les ministères français en charge du dossier : nos craintes se sont amplifiées.

La France, avec le soutien de l’Allemagne et du Parlement européen, va tout faire pour empêcher un débat démocratique sur ce texte : le gouvernement n’en parle pas dans la presse, veut forcer son adoption urgente et invoque le secret-défense pour empêcher tout débat factuel.

Pourquoi tant de secret ? Probablement parce que ce texte, écrit en collaboration avec Google et Facebook, aura pour effet de soumettre l’ensemble du Web à ces derniers, à qui l’État abandonne tout son rôle de lutte contre les contenus terroristes. La collaboration annoncée lundi par Macron entre l’État et Facebook n’en est que le prémice, aussi sournois que révélateur.

Pour rappel, le texte, poussé par la France et l’Allemagne, utilise le prétexte de la lutte contre le terrorisme pour soumettre l’ensemble des hébergeurs (et pas seulement les grandes plateformes) à des obligations extrêmement strictes :

  • retrait en une heure de contenus qualifiés de terroristes par une autorité nationale (en France, ce sera l’OCLCTIC, le service de la police chargé de la cybercriminalité) ;
  • la mise en place d’un « point de contact » disponible 24h/24 et 7j/7 ;
  • l’instauration de « mesures proactives » pour censurer les contenus avant même leur signalement ; si ces mesures sont jugées insatisfaisantes par les États, ces derniers peuvent imposer des mesures spécifiques telles que la surveillance généralisée de tous les contenus.

D’un point de vue humain, technique et économique, seules les grandes plateformes qui appliquent déjà ces mesures depuis qu’elles collaborent avec les polices européennes seront capables de respecter ces obligations : Google, Facebook et Twitter en tête. Les autres acteurs n’auront d’autres choix que de cesser leur activité d’hébergement ou (moins probable, mais tout aussi grave) de sous-traiter aux géants l’exécution de leurs obligations.

Ce texte consacre l’abandon de pouvoirs régaliens (surveillance et censure) à une poignée d’acteurs privés hégémoniques. Pourtant, la Commission et les États membres, en 146 pages d’analyse d’impact, ne parviennent même pas à expliquer en quoi ces obligations pourraient réellement être efficaces dans la lutte contre le terrorisme.

Voir notre analyse (PDF, 1 page).

Un débat impossible

Ces dernières semaines, nous avons fait le tour des ministères chargés de la rédaction et de la négociation de ce texte au niveau européen. Il en résulte que le gouvernement français, chef de file sur ce dossier, veut convaincre les autres États membres et les institutions de l’Union européenne d’adopter le texte tel qu’il est écrit aujourd’hui, et dans un calendrier très serré (adoption avant les élections européennes de mai 2019) afin d’empêcher tout débat démocratique sur le sujet.

Tout montre que le Parlement européen est prêt à collaborer avec les États membres pour faire adopter ce règlement sans débat. Helga Stevens (Belgique, ECR – conservateurs), rapporteure principale sur ce texte, a déjà publié en juin, et de sa propre initiative, un rapport qui présente les mêmes idées reprises dans ce règlement.

Les « rapporteurs fictifs » (les députés désignés par leur parti politique pour négocier le texte) sont en majorité tout aussi alignés sur ces positions, à l’image de Rachida Dati (France, PPE – droite européenne) et de Maite Pagazaurtundua (Espagne, ALDE – libéraux) qui défendent depuis longtemps l’idée d’une telle censure. Eva Joly (France, Verts) avait pour sa part accepté sans souci la censure privée dans la directive terroriste, finalement adoptée début 2017. Il semblerait que, cette fois, le texte aille trop loin pour elle et nous espérons qu’elle saura se battre contre.

Toutefois, dans la perspective des élections européennes, aucun parti politique du Parlement européen ne semble prêt à combattre la stratégie sécuritaire du gouvernement français, en lien avec l’Allemagne et d’autres États membres. Alors que ce texte semble directement inspiré par les politiques autoritaires mises en place par le gouvernement chinois pour contrôler Internet, Emmanuel Macron et Angela Merkel démontrent que leur « axe humaniste » mis en exergue dans le cadre de la campagne des européennes n’est que pure posture politicienne. Ce projet de règlement est une véritable insulte au projet démocratique européen.

Remplacer l’État par les géants du Web

Quand nous avons dit aux ministères que leur texte détruirait l’ensemble du Web décentralisé, ne laissant qu’une poignée de géants en maîtres, on nous a laissé comprendre que, oui, justement, c’était bien le but.

Tranquillement, nos interlocuteurs nous ont expliqué que Google-Youtube et d’autres multinationales numériques avaient convaincu le gouvernement que la radicalisation terroriste était facilitée par les petites et moyennes plateformes, et qu’il fallait donc laisser la régulation du Web aux seuls géants prétendument capables de la gérer. Où sont les preuves de cette radicalisation plus facile en dehors de leurs plateformes ? Nulle part. Sans aucune honte, le gouvernement s’est même permis de sortir l’argument du secret défense, complètement hors sujet, pour masquer son manque de preuve et afficher son irrespect de toute idée de débat démocratique. C’est comme ça : Google l’a dit, ne discutez pas.

Que ce soit clair : les arguments de Google et de Facebook visent simplement à détruire leurs concurrents. De fait, ce texte vise à faire disparaître les petites et moyennes plateformes, et à sous-traiter aux géants une censure massive et automatisée.

Emmanuel Macron s’est laissé enfumer de bon cœur par les géants, ravi à l’idée que l’Internet « dé-civilisé » qu’il s’entête à fantasmer soit enfin administré par une poignée d’entreprises, dont la puissance s’est bâtie sur l’exploitation illégale de nos données personnelles.

C’est ce qu’il a clairement réaffirmé lors de son discours au Forum de la Gouvernance sur Internet.

Macron se moque de détruire tout espoir d’une économie numérique européenne. Il veut simplement un texte sécuritaire qu’il pourra afficher au moment des élections européennes (ses « mid-terms » à lui), afin de draguer une partie de la population inquiète du terrorisme et qu’il s’imagine assez stupide pour tomber dans le panneau. Dans son arrogance délirante, il n’a même plus peur de renier ses électeurs pro-Europe ou pro-business, ni la population attachée aux libertés qui, pensant repousser l’extrême droite, l’aura élu.

Dans ce dossier, la menace terroriste est instrumentalisée pour transformer le Web en GAFAMinitel, pour acter la fusion de l’État et des géants du Net, et ainsi consacrer la surveillance généralisée et la censure automatisée de nos échanges en ligne. Tout ça pour quoi ? Pour lutter contre une auto-radicalisation fantasmée dont la preuve serait secret-défense (la bonne affaire !), et alors que les enquêtes sérieuses sur la question montrent que les terroristes ne se sont pas radicalisés sur Internet.

Le seul effet de ce texte sera de renforcer les multinationales du numériques et les dérives de l’économie de l’attention dont ils sont porteurs : la sur-diffusion de contenus anxiogènes, agressifs et caricaturaux capables de capter notre temps de cerveau disponible. L’urgence législative est de combattre ces dérives : de limiter l’économie de l’attention tout en favorisant le développement de modèles respectueux de nos libertés. C’est ce que nous proposons.

Exigeons le rejet de ce texte ! Il en va des conditions d’existence de l’Internet libre et décentralisé.

]]>
Censure antiterroriste : Macron se soumet aux géants du Web pour instaurer une surveillance généralisée10661 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181114_113041_Censure_antiterroriste___Macron_se_soumet_aux_geants_du_Web_pour_instaurer_une_surveillance_generaliseeWed, 14 Nov 2018 10:30:41 +000014 novembre 2018 - Il y a deux mois, la Commission européenne a publié sa proposition de règlement « censure antiterroriste ». Nous le dénoncions, expliquant que ce projet aura pour effet de détruire l'ensemble du Web décentralisé. Depuis, nous avons rencontré les ministères français en charge du dossier : nos craintes se sont amplifiées.

La France, avec le soutien de l'Allemagne et du Parlement européen, va tout faire pour empêcher un débat démocratique sur ce texte : le gouvernement n'en parle pas dans la presse, veut forcer son adoption urgente et invoque le secret-défense pour empêcher tout débat factuel.

Pourquoi tant de secret ? Probablement parce que ce texte, écrit en collaboration avec Google et Facebook, aura pour effet de soumettre l'ensemble du Web à ces derniers, à qui l'État abandonne tout son rôle de lutte contre les contenus terroristes. La collaboration annoncée lundi par Macron entre l'État et Facebook n'en est que le prémice, aussi sournois que révélateur.

Pour rappel, le texte, poussé par la France et l'Allemagne, utilise le prétexte de la lutte contre le terrorisme pour soumettre l'ensemble des hébergeurs (et pas seulement les grandes plateformes) à des obligations extrêmement strictes :

  • retrait en une heure de contenus qualifiés de terroristes par une autorité nationale (en France, ce sera l'OCLCTIC, le service de la police chargé de la cybercriminalité) ;
  • la mise en place d'un « point de contact » disponible 24h/24 et 7j/7 ;
  • l'instauration de « mesures proactives » pour censurer les contenus avant même leur signalement ; si ces mesures sont jugées insatisfaisantes par les États, ces derniers peuvent imposer des mesures spécifiques telles que la surveillance généralisée de tous les contenus.

D'un point de vue humain, technique et économique, seules les grandes plateformes qui appliquent déjà ces mesures depuis qu'elles collaborent avec les polices européennes seront capables de respecter ces obligations : Google, Facebook et Twitter en tête. Les autres acteurs n'auront d'autres choix que de cesser leur activité d'hébergement ou (moins probable, mais tout aussi grave) de sous-traiter aux géants l'exécution de leurs obligations.

Ce texte consacre l'abandon de pouvoirs régaliens (surveillance et censure) à une poignée d'acteurs privés hégémoniques. Pourtant, la Commission et les États membres, en 146 pages d'analyse d'impact, ne parviennent même pas à expliquer en quoi ces obligations pourraient réellement être efficaces dans la lutte contre le terrorisme.

Voir notre analyse (PDF, 1 page).

Un débat impossible

Ces dernières semaines, nous avons fait le tour des ministères chargés de la rédaction et de la négociation de ce texte au niveau européen. Il en résulte que le gouvernement français, chef de file sur ce dossier, veut convaincre les autres États membres et les institutions de l'Union européenne d'adopter le texte tel qu'il est écrit aujourd'hui, et dans un calendrier très serré (adoption avant les élections européennes de mai 2019) afin d'empêcher tout débat démocratique sur le sujet.

Tout montre que le Parlement européen est prêt à collaborer avec les États membres pour faire adopter ce règlement sans débat. Helga Stevens (Belgique, ECR - conservateurs), rapporteure principale sur ce texte, a déjà publié en juin, et de sa propre initiative, un rapport qui présente les mêmes idées reprises dans ce règlement.

Les « rapporteurs fictifs » (les députés désignés par leur parti politique pour négocier le texte) sont en majorité tout aussi alignés sur ces positions, à l'image de Rachida Dati (France, PPE - droite européenne) et de Maite Pagazaurtundua (Espagne, ALDE - libéraux) qui défendent depuis longtemps l'idée d'une telle censure. Eva Joly (France, Verts) avait pour sa part accepté sans souci la censure privée dans la directive terroriste, finalement adoptée début 2017. Il semblerait que, cette fois, le texte aille trop loin pour elle et nous espérons qu'elle saura se battre contre.

Toutefois, dans la perspective des élections européennes, aucun parti politique du Parlement européen ne semble prêt à combattre la stratégie sécuritaire du gouvernement français, en lien avec l'Allemagne et d'autres États membres. Alors que ce texte semble directement inspiré par les politiques autoritaires mises en place par le gouvernement chinois pour contrôler Internet, Emmanuel Macron et Angela Merkel démontrent que leur « axe humaniste » mis en exergue dans le cadre de la campagne des européennes n'est que pure posture politicienne. Ce projet de règlement est une véritable insulte au projet démocratique européen.

Remplacer l'État par les géants du Web

Quand nous avons dit aux ministères que leur texte détruirait l'ensemble du Web décentralisé, ne laissant qu'une poignée de géants en maîtres, on nous a laissé comprendre que, oui, justement, c'était bien le but.

Tranquillement, nos interlocuteurs nous ont expliqué que Google-Youtube et d'autres multinationales numériques avaient convaincu le gouvernement que la radicalisation terroriste était facilitée par les petites et moyennes plateformes, et qu'il fallait donc laisser la régulation du Web aux seuls géants prétendument capables de la gérer. Où sont les preuves de cette radicalisation plus facile en dehors de leurs plateformes ? Nulle part. Sans aucune honte, le gouvernement s'est même permis de sortir l'argument du secret défense, complètement hors sujet, pour masquer son manque de preuve et afficher son irrespect de toute idée de débat démocratique. C'est comme ça : Google l'a dit, ne discutez pas.

Que ce soit clair : les arguments de Google et de Facebook visent simplement à détruire leurs concurrents. De fait, ce texte vise à faire disparaître les petites et moyennes plateformes, et à sous-traiter aux géants une censure massive et automatisée.

Emmanuel Macron s'est laissé enfumer de bon cœur par les géants, ravi à l'idée que l'Internet « dé-civilisé » qu'il s'entête à fantasmer soit enfin administré par une poignée d'entreprises, dont la puissance s'est bâtie sur l'exploitation illégale de nos données personnelles.

C'est ce qu'il a clairement réaffirmé lors de son discours au Forum de la Gouvernance sur Internet.

Macron se moque de détruire tout espoir d'une économie numérique européenne. Il veut simplement un texte sécuritaire qu'il pourra afficher au moment des élections européennes (ses « mid-terms » à lui), afin de draguer une partie de la population inquiète du terrorisme et qu'il s'imagine assez stupide pour tomber dans le panneau. Dans son arrogance délirante, il n'a même plus peur de renier ses électeurs pro-Europe ou pro-business, ni la population attachée aux libertés qui, pensant repousser l'extrême droite, l'aura élu.

Dans ce dossier, la menace terroriste est instrumentalisée pour transformer le Web en GAFAMinitel, pour acter la fusion de l'État et des géants du Net, et ainsi consacrer la surveillance généralisée et la censure automatisée de nos échanges en ligne. Tout ça pour quoi ? Pour lutter contre une auto-radicalisation fantasmée dont la preuve serait secret-défense (la bonne affaire !), et alors que les enquêtes sérieuses sur la question montrent que les terroristes ne se sont pas radicalisés sur Internet.

Le seul effet de ce texte sera de renforcer les multinationales du numériques et les dérives de l'économie de l'attention dont ils sont porteurs : la sur-diffusion de contenus anxiogènes, agressifs et caricaturaux capables de capter notre temps de cerveau disponible. L'urgence législative est de combattre ces dérives : de limiter l'économie de l'attention tout en favorisant le développement de modèles respectueux de nos libertés. C'est ce que nous proposons.

Exigeons le rejet de ce texte ! Il en va des conditions d'existence de l'Internet libre et décentralisé.

]]>
14 novembre 2018 - Il y a deux mois, la Commission européenne a publié sa proposition de règlement « censure antiterroriste ». Nous le dénoncions, expliquant que ce projet aura pour effet de détruire l'ensemble du Web décentralisé. Depuis, nous avons rencontré les ministères français en charge du dossier : nos craintes se sont amplifiées.

La France, avec le soutien de l'Allemagne et du Parlement européen, va tout faire pour empêcher un débat démocratique sur ce texte : le gouvernement n'en parle pas dans la presse, veut forcer son adoption urgente et invoque le secret-défense pour empêcher tout débat factuel.

Pourquoi tant de secret ? Probablement parce que ce texte, écrit en collaboration avec Google et Facebook, aura pour effet de soumettre l'ensemble du Web à ces derniers, à qui l'État abandonne tout son rôle de lutte contre les contenus terroristes. La collaboration annoncée lundi par Macron entre l'État et Facebook n'en est que le prémice, aussi sournois que révélateur.

Pour rappel, le texte, poussé par la France et l'Allemagne, utilise le prétexte de la lutte contre le terrorisme pour soumettre l'ensemble des hébergeurs (et pas seulement les grandes plateformes) à des obligations extrêmement strictes :

  • retrait en une heure de contenus qualifiés de terroristes par une autorité nationale (en France, ce sera l'OCLCTIC, le service de la police chargé de la cybercriminalité) ;
  • la mise en place d'un « point de contact » disponible 24h/24 et 7j/7 ;
  • l'instauration de « mesures proactives » pour censurer les contenus avant même leur signalement ; si ces mesures sont jugées insatisfaisantes par les États, ces derniers peuvent imposer des mesures spécifiques telles que la surveillance généralisée de tous les contenus.

D'un point de vue humain, technique et économique, seules les grandes plateformes qui appliquent déjà ces mesures depuis qu'elles collaborent avec les polices européennes seront capables de respecter ces obligations : Google, Facebook et Twitter en tête. Les autres acteurs n'auront d'autres choix que de cesser leur activité d'hébergement ou (moins probable, mais tout aussi grave) de sous-traiter aux géants l'exécution de leurs obligations.

Ce texte consacre l'abandon de pouvoirs régaliens (surveillance et censure) à une poignée d'acteurs privés hégémoniques. Pourtant, la Commission et les États membres, en 146 pages d'analyse d'impact, ne parviennent même pas à expliquer en quoi ces obligations pourraient réellement être efficaces dans la lutte contre le terrorisme.

Voir notre analyse (PDF, 1 page).

Un débat impossible

Ces dernières semaines, nous avons fait le tour des ministères chargés de la rédaction et de la négociation de ce texte au niveau européen. Il en résulte que le gouvernement français, chef de file sur ce dossier, veut convaincre les autres États membres et les institutions de l'Union européenne d'adopter le texte tel qu'il est écrit aujourd'hui, et dans un calendrier très serré (adoption avant les élections européennes de mai 2019) afin d'empêcher tout débat démocratique sur le sujet.

Tout montre que le Parlement européen est prêt à collaborer avec les États membres pour faire adopter ce règlement sans débat. Helga Stevens (Belgique, ECR - conservateurs), rapporteure principale sur ce texte, a déjà publié en juin, et de sa propre initiative, un rapport qui présente les mêmes idées reprises dans ce règlement.

Les « rapporteurs fictifs » (les députés désignés par leur parti politique pour négocier le texte) sont en majorité tout aussi alignés sur ces positions, à l'image de Rachida Dati (France, PPE - droite européenne) et de Maite Pagazaurtundua (Espagne, ALDE - libéraux) qui défendent depuis longtemps l'idée d'une telle censure. Eva Joly (France, Verts) avait pour sa part accepté sans souci la censure privée dans la directive terroriste, finalement adoptée début 2017. Il semblerait que, cette fois, le texte aille trop loin pour elle et nous espérons qu'elle saura se battre contre.

Toutefois, dans la perspective des élections européennes, aucun parti politique du Parlement européen ne semble prêt à combattre la stratégie sécuritaire du gouvernement français, en lien avec l'Allemagne et d'autres États membres. Alors que ce texte semble directement inspiré par les politiques autoritaires mises en place par le gouvernement chinois pour contrôler Internet, Emmanuel Macron et Angela Merkel démontrent que leur « axe humaniste » mis en exergue dans le cadre de la campagne des européennes n'est que pure posture politicienne. Ce projet de règlement est une véritable insulte au projet démocratique européen.

Remplacer l'État par les géants du Web

Quand nous avons dit aux ministères que leur texte détruirait l'ensemble du Web décentralisé, ne laissant qu'une poignée de géants en maîtres, on nous a laissé comprendre que, oui, justement, c'était bien le but.

Tranquillement, nos interlocuteurs nous ont expliqué que Google-Youtube et d'autres multinationales numériques avaient convaincu le gouvernement que la radicalisation terroriste était facilitée par les petites et moyennes plateformes, et qu'il fallait donc laisser la régulation du Web aux seuls géants prétendument capables de la gérer. Où sont les preuves de cette radicalisation plus facile en dehors de leurs plateformes ? Nulle part. Sans aucune honte, le gouvernement s'est même permis de sortir l'argument du secret défense, complètement hors sujet, pour masquer son manque de preuve et afficher son irrespect de toute idée de débat démocratique. C'est comme ça : Google l'a dit, ne discutez pas.

Que ce soit clair : les arguments de Google et de Facebook visent simplement à détruire leurs concurrents. De fait, ce texte vise à faire disparaître les petites et moyennes plateformes, et à sous-traiter aux géants une censure massive et automatisée.

Emmanuel Macron s'est laissé enfumer de bon cœur par les géants, ravi à l'idée que l'Internet « dé-civilisé » qu'il s'entête à fantasmer soit enfin administré par une poignée d'entreprises, dont la puissance s'est bâtie sur l'exploitation illégale de nos données personnelles.

C'est ce qu'il a clairement réaffirmé lors de son discours au Forum de la Gouvernance sur Internet.

Macron se moque de détruire tout espoir d'une économie numérique européenne. Il veut simplement un texte sécuritaire qu'il pourra afficher au moment des élections européennes (ses « mid-terms » à lui), afin de draguer une partie de la population inquiète du terrorisme et qu'il s'imagine assez stupide pour tomber dans le panneau. Dans son arrogance délirante, il n'a même plus peur de renier ses électeurs pro-Europe ou pro-business, ni la population attachée aux libertés qui, pensant repousser l'extrême droite, l'aura élu.

Dans ce dossier, la menace terroriste est instrumentalisée pour transformer le Web en GAFAMinitel, pour acter la fusion de l'État et des géants du Net, et ainsi consacrer la surveillance généralisée et la censure automatisée de nos échanges en ligne. Tout ça pour quoi ? Pour lutter contre une auto-radicalisation fantasmée dont la preuve serait secret-défense (la bonne affaire !), et alors que les enquêtes sérieuses sur la question montrent que les terroristes ne se sont pas radicalisés sur Internet.

Le seul effet de ce texte sera de renforcer les multinationales du numériques et les dérives de l'économie de l'attention dont ils sont porteurs : la sur-diffusion de contenus anxiogènes, agressifs et caricaturaux capables de capter notre temps de cerveau disponible. L'urgence législative est de combattre ces dérives : de limiter l'économie de l'attention tout en favorisant le développement de modèles respectueux de nos libertés. C'est ce que nous proposons.

Exigeons le rejet de ce texte ! Il en va des conditions d'existence de l'Internet libre et décentralisé.

]]>
Smart Cities sécuritaires : la CNIL forfait ?10659 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181106_122531_Smart_Cities_securitaires___la_CNIL_forfait__Tue, 06 Nov 2018 11:25:31 +0000Depuis plusieurs mois, La Quadrature a commencé à se pencher sur les enjeux liés aux Smart City, alors que plusieurs villes françaises invoquent ce terme pour « déguiser » leurs projets de surveillance policière dopée aux Big Data. Il y a quelques semaines, nous rencontrions la CNIL pour discuter de ces enjeux. Résumé des épisodes précédents, et de cette rencontre pas franchement enthousiasmante.

En France, lorsqu’on évoque la police prédictive et les usages policier du Big Data, il est souvent question de l’entreprise américaine Palantir. Celle-ci agit comme une sorte de chiffon rouge : les usages policiers de ses plateformes logicielles aux États-Unis ont en effet de quoi faire froid dans le dos, et le contrat passé fin 2016 entre la firme et les services de renseignement intérieur français, la DGSI, suscite des inquiétudes légitimes. Mais à trop se focaliser sur Palantir – qui endosse à merveille le rôle de la « méchante boîte américaine » –, on risque d’oublier un peu vite qu’en France aussi, plusieurs multinationales comme Thalès, Atos Bull ou Engie se positionnent sur ces marchés sécuritaires en plein essor.

La Safe City « made in France »

Alors que le sujet était jusqu’alors largement passé sous nos radars, cela fait quelques mois que nous avons commencé à suivre ces projets, baptisés « Safe City ©» par leurs concepteurs (ou comment basculer sans rougir de la Smart City à la « ville sécurisée »).

À Marseille puis à Nice, nous avons commencé à documenter les premiers partenariats public-privé en la matière, qui pullulent actuellement sur le territoire. Au travers de ces marchés publics, on voit des multinationales françaises s'allier avec des élus municipaux peu scrupuleux pour mettre la puissance du Big Data et de l’intelligence artificielle au service de leurs polices municipales (dans les applications envisagées : analyses prédictives, repérage des comportements suspects à travers l'analyse automatique de la vidéosurveillance, surveillance des réseaux sociaux, etc). Ces partenariats soutenus par l'Union européenne ou la Banque publique d'investissement permettent à ces consortiums mêlant grands industriels, « start-ups » et instituts de recherche (comme l'INRIA) de faire financer leur recherche et développement de solutions sécuritaires par le contribuable.

L’une des choses qui frappe lorsqu’on regarde les documents relatifs à ces expérimentations, c’est la créativité dont font preuve les rédacteurs pour minimiser les enjeux en termes de libertés publiques, sans jamais vraiment réussir à convaincre. Surtout, ne pas appeler un chat un chat, et caser les mots à la mode du moment qui permettront de rassurer et de « faire moderne ». C'est ce que relevait récemment la section locale de Ligue des droits de l’Homme à Nice :

Le marketing de la sécurité (de la peur ?), utilise volontiers quelques mots clés qui reviennent constamment en boucle : #intelligent, #temps réel ; on y rencontre aussi des #infaillible aux allures jupitériennes, destinés à clouer le bec de tout contradicteur.

Pour ce qui est de la vie privée, les rédacteurs se contentent d'une vague mention du « RGPD » ou de la « Loi informatique et libertés ». Inutile de vraiment plancher sur une analyse juridique qui démonterait que ces projets sont tout simplement illégaux...

On a rencontré la CNIL (et c’est triste)

Il y a quelques semaines, après la réponse que nous a faite la présidente de la CNIL à un courrier de janvier 2018, nous avons rencontré ses services pour en savoir plus sur la manière dont ils suivaient (ou pas) ces dossiers. Côté Quadrature, nous étions trois. En face de nous, il y avait Jean Lessi, conseiller d’État et secrétaire général de la CNIL, et trois autres personnes travaillant de loin sur ces sujets de « Safe City » au titre de leurs attributions. L'échange a été cordial. Nous avons rencontré des gens aimables, prenant au sérieux nos inquiétudes. Et pourtant, notre discussion a débouché sur un constat particulièrement amer quant à la capacité de la CNIL à être à la hauteur des enjeux.

Aucune analyse juridique détaillée

Le premier constat, c’est que la CNIL n’a en réalité pas de politique détaillée sur les Safe Cities. En 2014 déjà, elle échangeait avec le ministère de l’Intérieur sur des expérimentation locales de dispositifs statistiques à visée de police prédictive (sans même le Big Data à l’époque). L’an dernier, la CNIL publiait une étude prospective tout-à-fait lucide sur les enjeux de la Smart City pour les libertés publiques. Mais aujourd'hui, celle-ci ne dispose encore d’aucune analyse juridique qui puisse faire autorité sur la légalité des expérimentations projetées.

Comme le montrait le courrier envoyé par la présidente de la CNIL au maire de Marseille, la CNIL se borne pour l’heure à appeler au respect de garanties procédurales, avec notamment la nécessaire étude d’impact (la mairie en aurait promis une pour cet hiver...) et un « accompagnement obligatoire » à l’issue des expérimentations (prévu pour les « nouvelles technologies » par l’article 70-4 de la loi informatique et liberté modifiée).

Les analyses juridiques qui fleurissent au Conseil de l’Europe ou ailleurs1, et qui tentent de construire une réflexion pratique sur les liens entre Big Data, Intelligence Artificielle et droits de l’Homme, semblent la laisser de marbre.

Dans le silence de la loi, tout et n'importe quoi

Lorsqu’on demande à nos interlocuteurs pourquoi ils ne demandent tout simplement pas l’arrêt de ces expérimentations, comme il fut fait au printemps s’agissant de l’application Reporty à Nice (décision dont nous avons eu communication : la voici), on nous explique qu'à l'inverse de Reporty, la loi ne dit rien de spécifique sur la Safe City, et que les mairies peuvent donc faire peu ou prou ce qu'elles veulent2.

Nous répondons que, justement, c'est parce que la loi ne dit rien non plus de l’utilisation du Big Data à des fins policières, de la surveillance des réseaux sociaux et de toutes ces choses évoquées dans les projets d’expérimentation « Safe City », que ces derniers sont clairement illégaux3. C'est justement pour cela qu'ils mériteraient l'opposition ferme et résolue de la CNIL.

Silence gêné. On en déduit, que sous couvert d'expérimentations, tout ou presque est permis. La CNIL semble ici adhérer au rapport du député Cédric Villani sur l’intelligence artificielle, qui revendiquait de s'affranchir de la loi pour expérimenter les usages de l'IA à des fins de surveillance (visant sans le nommer le partenariat Palantir-DGSI). Dans la Startuffe Nation, il te suffit de parler d'« expérimentation » et d'« innovation smart », de méthodes « lean » en lien avec « l'écosystème startup », et ça te vaut un sauf-conduit pour faire tout et n'importe quoi.

La CNIL résignée face au discours sécuritaire

Bref. On continue donc la discussion, et nos interlocuteurs de la CNIL continuent de se défiler en nous disant en substance ceci : « Même si les projets d’expérimentation font peur sur le papier, il faut bien faire la différence entre le discours marketing des projets d’expérimentation (qui surenchérit dans la dystopie orwelienne) et l’étape de la mise en œuvre (qui s’avérera décevante et bien plus limitée que ce qui est projeté au départ) ».

Alors oui, on peut être d’accord sur le fait que ces expérimentations ne tiendront pas leurs promesses dans les délais impartis. Pour autant, cette position de la CNIL qui tend à minimiser la portée de ces projets oublie deux choses. La première, c’est que les discours marketing participent déjà de la banalisation des systèmes de surveillance. Et ce d'autant plus qu'ils sont repris par les élus qui, tout en masquant les dangers de la Safe City, tentent d’en faire un atout électoral. Le marketing de la surveillance impose partout la société de surveillance, et ce devrait être le rôle de la CNIL que d'utiliser les moyens à sa disposition pour aider à déconstruire ces discours (et tant pis si cela suscite l’ire des élus locaux).

Surtout, vu le rythme auquel croît l’informatique de contrôle (Big Data, IA & co), il est clair que ces systèmes de surveillance verront le jour. À force de balancer des millions d'euros pour les financer, la technocratie nous enfoncera encore un peu plus dans la dystopie orwellienne. De fait, ces outils existent déjà en Chine et, dans une moindre mesure, aux États-Unis et au Royaume-Uni. L'un des buts de ces expérimentations n’est-il pas justement de permettre aux industriels français de rattraper au plus vite leur retard sur la concurrence étrangère ?

Un appel au débat qui ne mange pas de pain

Au fond, si la CNIL botte en touche sur ces sujets ô combien importants, c’est qu’elle accepte d'être condamnée à l'impuissance.

À l’image d’autres autorités de contrôle dévolues à la protection des libertés publiques, ses moyens financiers et humains sont structurellement dérisoires par rapport à l’ampleur de ses missions. Il faut dire que la conjoncture n’est guère favorable : la CNIL doit faire face à l’entrée en vigueur du RGPD en mai dernier, qui la met en première ligne. Nos interlocuteurs ont d'ailleurs commencé la discussion en pointant leur manque de moyens, comme pour s’excuser par avance de leur relative inaction. On nous a fait comprendre que les personnes que nous avions en face sont en réalité les seules parmi un staff d’environ 200 personnes à plancher sur ces sujets de Safe City. Et encore, seulement de loin, en plus de leurs autres missions touchant aux fichiers régaliens… Le projet de budget 2019 envisage bien une augmentation de ses ressources de +4,8 % (+ 860 000 euros), mais cela est largement insuffisant pour palier aux besoins.

Il y a une seconde explication plus générale à l’impuissance de la CNIL : celle-ci est sciemment organisée par les pouvoirs exécutifs et législatifs. L'attentisme actuel apparaît en effet comme le point d’orgue d’une tendance à l’œuvre depuis les années 1980, qui a vu les pouvoirs de la commission progressivement rognés s’agissant de la surveillance d’État. Alors que ses responsables aiment à rappeler le « mythe fondateur » du scandale SAFARI – provoqué en 1974 par le projet d’une interconnexion des fichiers informatiques de la police, des service fiscaux et sociaux –, la CNIL n’a cesse depuis de perdre du terrain sur ces questions.

Ainsi, en 1991, l’État choisit de créer une nouvelle autorité (la CNCIS) plutôt que de lui permettre de contrôler la surveillance des communications par les services de renseignement. En 2004, on lui ôte le pouvoir de s’opposer à la création de fichiers policiers, en rendant son avis sur les projets de décrets afférents purement consultatif. Enfin, depuis presque vingt ans, on met à sa tête des gens proches des hautes sphères administratives ou politiques, comme une manière de garantir sa relative docilité vis-à-vis de l’État dans des dossiers clés.

Dans ce contexte délétère, la CNIL en est réduite à appeler à un grand « débat démocratique », tout en reconnaissant les graves menaces que font peser ces systèmes pour les droits et libertés. Ce qu'elle a fait le 19 septembre dernier. On lit dans son communiqué publié ce jour-là :

Ces dispositifs, qui s’articulent parfois avec des technologies de big data, soulèvent des enjeux importants pour les droits et libertés individuelles des citoyens. Le sentiment de surveillance renforcée, l’exploitation accrue et potentiellement à grande échelle de données personnelles, pour certaines sensibles (données biométriques), la restriction de la liberté d’aller et de venir anonymement, sont autant de problématiques essentielles pour le bon fonctionnement de notre société démocratique.
Il est aujourd’hui impératif que des garde-fous soient prévus afin d’encadrer les finalités pour lesquelles ces dispositifs peuvent être déployés et prévenir tout mésusage des données traitées par leur biais (…).
Aussi, la CNIL appelle d’urgence à un débat démocratique sur cette problématique, et à ce que le législateur puis le pouvoir réglementaire se saisissent de ces questions afin que soient définis les encadrements appropriés, en recherchant le juste équilibre entre les impératifs de sécurisation, notamment des espaces publics, et la préservation des droits et libertés de chacun4.

Un appel de pure forme, qui finira sans aucun doute par être entendu par les ministères de l'intérieur et de la justice. Le gouvernement a en effet affirmé au printemps vouloir réviser la loi renseignement en 2020. Il lui faudra de toute façon légaliser tout un tas d’usages sécuritaires de l’informatique expérimentés ces derniers temps dans la plus grande illégalité (coucou Palantir à la DGSI, coucou le fichier TES et sa myriade d'usages potentiels qu'on voudra bientôt légaliser, etc.). Au train où vont les lois sécuritaires, et vu que les marchands de peur sont récemment passés ceinture marron dans l'art de pourrir le débat sur ces questions, ils accueillent sans doute l'appel de la CNIL avec sérénité.

Au minimum, la CNIL devrait imposer un moratoire sur les expérimentations en cours : exiger leur arrêt tant qu'elles ne sont pas précisément autorisées et encadrées par la loi. Sa position attentiste la rend complice.

  • 1.

  • 2. Le raisonnement juridique de la CNIL, détaillé dans un document dont nous avons eu communication, est en gros le suivant : « Reporty s’analysait en droit comme l’extension du système de vidéosurveillance de la ville (à travers les ordiphones des gens) ; or, la vidéosurveillance fait l’objet d’un encadrement dans le code de la sécurité intérieure ; comme pour les caméras piéton des policiers, faut donc que la loi autorise expressément le recours par les collectivités aux ordiphones des gens pour surveiller la population ; or cette autorisation législative qui fait pour l’heure défaut ».
  • 3. C'est la conséquence logique de la jurisprudence de base de de CEDH en la matière : toute forme de surveillance qui ne fait pas l’objet d’une règle juridique claire et intelligible associée à des garde-fous est illégale.
  • 4. https://www.cnil.fr/fr/la-cnil-appelle-la-tenue-dun-debat-democratique-sur-les-nouveaux-usages-des-cameras-video
]]>
Depuis plusieurs mois, La Quadrature a commencé à se pencher sur les enjeux liés aux Smart City, alors que plusieurs villes françaises invoquent ce terme pour « déguiser » leurs projets de surveillance policière dopée aux Big Data. Il y a quelques semaines, nous rencontrions la CNIL pour discuter de ces enjeux. Résumé des épisodes précédents, et de cette rencontre pas franchement enthousiasmante.

En France, lorsqu’on évoque la police prédictive et les usages policier du Big Data, il est souvent question de l’entreprise américaine Palantir. Celle-ci agit comme une sorte de chiffon rouge : les usages policiers de ses plateformes logicielles aux États-Unis ont en effet de quoi faire froid dans le dos, et le contrat passé fin 2016 entre la firme et les services de renseignement intérieur français, la DGSI, suscite des inquiétudes légitimes. Mais à trop se focaliser sur Palantir – qui endosse à merveille le rôle de la « méchante boîte américaine » –, on risque d’oublier un peu vite qu’en France aussi, plusieurs multinationales comme Thalès, Atos Bull ou Engie se positionnent sur ces marchés sécuritaires en plein essor.

La Safe City « made in France »

Alors que le sujet était jusqu’alors largement passé sous nos radars, cela fait quelques mois que nous avons commencé à suivre ces projets, baptisés « Safe City ©» par leurs concepteurs (ou comment basculer sans rougir de la Smart City à la « ville sécurisée »).

À Marseille puis à Nice, nous avons commencé à documenter les premiers partenariats public-privé en la matière, qui pullulent actuellement sur le territoire. Au travers de ces marchés publics, on voit des multinationales françaises s'allier avec des élus municipaux peu scrupuleux pour mettre la puissance du Big Data et de l’intelligence artificielle au service de leurs polices municipales (dans les applications envisagées : analyses prédictives, repérage des comportements suspects à travers l'analyse automatique de la vidéosurveillance, surveillance des réseaux sociaux, etc). Ces partenariats soutenus par l'Union européenne ou la Banque publique d'investissement permettent à ces consortiums mêlant grands industriels, « start-ups » et instituts de recherche (comme l'INRIA) de faire financer leur recherche et développement de solutions sécuritaires par le contribuable.

L’une des choses qui frappe lorsqu’on regarde les documents relatifs à ces expérimentations, c’est la créativité dont font preuve les rédacteurs pour minimiser les enjeux en termes de libertés publiques, sans jamais vraiment réussir à convaincre. Surtout, ne pas appeler un chat un chat, et caser les mots à la mode du moment qui permettront de rassurer et de « faire moderne ». C'est ce que relevait récemment la section locale de Ligue des droits de l’Homme à Nice :

Le marketing de la sécurité (de la peur ?), utilise volontiers quelques mots clés qui reviennent constamment en boucle : #intelligent, #temps réel ; on y rencontre aussi des #infaillible aux allures jupitériennes, destinés à clouer le bec de tout contradicteur.

Pour ce qui est de la vie privée, les rédacteurs se contentent d'une vague mention du « RGPD » ou de la « Loi informatique et libertés ». Inutile de vraiment plancher sur une analyse juridique qui démonterait que ces projets sont tout simplement illégaux...

On a rencontré la CNIL (et c’est triste)

Il y a quelques semaines, après la réponse que nous a faite la présidente de la CNIL à un courrier de janvier 2018, nous avons rencontré ses services pour en savoir plus sur la manière dont ils suivaient (ou pas) ces dossiers. Côté Quadrature, nous étions trois. En face de nous, il y avait Jean Lessi, conseiller d’État et secrétaire général de la CNIL, et trois autres personnes travaillant de loin sur ces sujets de « Safe City » au titre de leurs attributions. L'échange a été cordial. Nous avons rencontré des gens aimables, prenant au sérieux nos inquiétudes. Et pourtant, notre discussion a débouché sur un constat particulièrement amer quant à la capacité de la CNIL à être à la hauteur des enjeux.

Aucune analyse juridique détaillée

Le premier constat, c’est que la CNIL n’a en réalité pas de politique détaillée sur les Safe Cities. En 2014 déjà, elle échangeait avec le ministère de l’Intérieur sur des expérimentation locales de dispositifs statistiques à visée de police prédictive (sans même le Big Data à l’époque). L’an dernier, la CNIL publiait une étude prospective tout-à-fait lucide sur les enjeux de la Smart City pour les libertés publiques. Mais aujourd'hui, celle-ci ne dispose encore d’aucune analyse juridique qui puisse faire autorité sur la légalité des expérimentations projetées.

Comme le montrait le courrier envoyé par la présidente de la CNIL au maire de Marseille, la CNIL se borne pour l’heure à appeler au respect de garanties procédurales, avec notamment la nécessaire étude d’impact (la mairie en aurait promis une pour cet hiver...) et un « accompagnement obligatoire » à l’issue des expérimentations (prévu pour les « nouvelles technologies » par l’article 70-4 de la loi informatique et liberté modifiée).

Les analyses juridiques qui fleurissent au Conseil de l’Europe ou ailleurs1, et qui tentent de construire une réflexion pratique sur les liens entre Big Data, Intelligence Artificielle et droits de l’Homme, semblent la laisser de marbre.

Dans le silence de la loi, tout et n'importe quoi

Lorsqu’on demande à nos interlocuteurs pourquoi ils ne demandent tout simplement pas l’arrêt de ces expérimentations, comme il fut fait au printemps s’agissant de l’application Reporty à Nice (décision dont nous avons eu communication : la voici), on nous explique qu'à l'inverse de Reporty, la loi ne dit rien de spécifique sur la Safe City, et que les mairies peuvent donc faire peu ou prou ce qu'elles veulent2.

Nous répondons que, justement, c'est parce que la loi ne dit rien non plus de l’utilisation du Big Data à des fins policières, de la surveillance des réseaux sociaux et de toutes ces choses évoquées dans les projets d’expérimentation « Safe City », que ces derniers sont clairement illégaux3. C'est justement pour cela qu'ils mériteraient l'opposition ferme et résolue de la CNIL.

Silence gêné. On en déduit, que sous couvert d'expérimentations, tout ou presque est permis. La CNIL semble ici adhérer au rapport du député Cédric Villani sur l’intelligence artificielle, qui revendiquait de s'affranchir de la loi pour expérimenter les usages de l'IA à des fins de surveillance (visant sans le nommer le partenariat Palantir-DGSI). Dans la Startuffe Nation, il te suffit de parler d'« expérimentation » et d'« innovation smart », de méthodes « lean » en lien avec « l'écosystème startup », et ça te vaut un sauf-conduit pour faire tout et n'importe quoi.

La CNIL résignée face au discours sécuritaire

Bref. On continue donc la discussion, et nos interlocuteurs de la CNIL continuent de se défiler en nous disant en substance ceci : « Même si les projets d’expérimentation font peur sur le papier, il faut bien faire la différence entre le discours marketing des projets d’expérimentation (qui surenchérit dans la dystopie orwelienne) et l’étape de la mise en œuvre (qui s’avérera décevante et bien plus limitée que ce qui est projeté au départ) ».

Alors oui, on peut être d’accord sur le fait que ces expérimentations ne tiendront pas leurs promesses dans les délais impartis. Pour autant, cette position de la CNIL qui tend à minimiser la portée de ces projets oublie deux choses. La première, c’est que les discours marketing participent déjà de la banalisation des systèmes de surveillance. Et ce d'autant plus qu'ils sont repris par les élus qui, tout en masquant les dangers de la Safe City, tentent d’en faire un atout électoral. Le marketing de la surveillance impose partout la société de surveillance, et ce devrait être le rôle de la CNIL que d'utiliser les moyens à sa disposition pour aider à déconstruire ces discours (et tant pis si cela suscite l’ire des élus locaux).

Surtout, vu le rythme auquel croît l’informatique de contrôle (Big Data, IA & co), il est clair que ces systèmes de surveillance verront le jour. À force de balancer des millions d'euros pour les financer, la technocratie nous enfoncera encore un peu plus dans la dystopie orwellienne. De fait, ces outils existent déjà en Chine et, dans une moindre mesure, aux États-Unis et au Royaume-Uni. L'un des buts de ces expérimentations n’est-il pas justement de permettre aux industriels français de rattraper au plus vite leur retard sur la concurrence étrangère ?

Un appel au débat qui ne mange pas de pain

Au fond, si la CNIL botte en touche sur ces sujets ô combien importants, c’est qu’elle accepte d'être condamnée à l'impuissance.

À l’image d’autres autorités de contrôle dévolues à la protection des libertés publiques, ses moyens financiers et humains sont structurellement dérisoires par rapport à l’ampleur de ses missions. Il faut dire que la conjoncture n’est guère favorable : la CNIL doit faire face à l’entrée en vigueur du RGPD en mai dernier, qui la met en première ligne. Nos interlocuteurs ont d'ailleurs commencé la discussion en pointant leur manque de moyens, comme pour s’excuser par avance de leur relative inaction. On nous a fait comprendre que les personnes que nous avions en face sont en réalité les seules parmi un staff d’environ 200 personnes à plancher sur ces sujets de Safe City. Et encore, seulement de loin, en plus de leurs autres missions touchant aux fichiers régaliens… Le projet de budget 2019 envisage bien une augmentation de ses ressources de +4,8 % (+ 860 000 euros), mais cela est largement insuffisant pour palier aux besoins.

Il y a une seconde explication plus générale à l’impuissance de la CNIL : celle-ci est sciemment organisée par les pouvoirs exécutifs et législatifs. L'attentisme actuel apparaît en effet comme le point d’orgue d’une tendance à l’œuvre depuis les années 1980, qui a vu les pouvoirs de la commission progressivement rognés s’agissant de la surveillance d’État. Alors que ses responsables aiment à rappeler le « mythe fondateur » du scandale SAFARI – provoqué en 1974 par le projet d’une interconnexion des fichiers informatiques de la police, des service fiscaux et sociaux –, la CNIL n’a cesse depuis de perdre du terrain sur ces questions.

Ainsi, en 1991, l’État choisit de créer une nouvelle autorité (la CNCIS) plutôt que de lui permettre de contrôler la surveillance des communications par les services de renseignement. En 2004, on lui ôte le pouvoir de s’opposer à la création de fichiers policiers, en rendant son avis sur les projets de décrets afférents purement consultatif. Enfin, depuis presque vingt ans, on met à sa tête des gens proches des hautes sphères administratives ou politiques, comme une manière de garantir sa relative docilité vis-à-vis de l’État dans des dossiers clés.

Dans ce contexte délétère, la CNIL en est réduite à appeler à un grand « débat démocratique », tout en reconnaissant les graves menaces que font peser ces systèmes pour les droits et libertés. Ce qu'elle a fait le 19 septembre dernier. On lit dans son communiqué publié ce jour-là :

Ces dispositifs, qui s’articulent parfois avec des technologies de big data, soulèvent des enjeux importants pour les droits et libertés individuelles des citoyens. Le sentiment de surveillance renforcée, l’exploitation accrue et potentiellement à grande échelle de données personnelles, pour certaines sensibles (données biométriques), la restriction de la liberté d’aller et de venir anonymement, sont autant de problématiques essentielles pour le bon fonctionnement de notre société démocratique.
Il est aujourd’hui impératif que des garde-fous soient prévus afin d’encadrer les finalités pour lesquelles ces dispositifs peuvent être déployés et prévenir tout mésusage des données traitées par leur biais (…).
Aussi, la CNIL appelle d’urgence à un débat démocratique sur cette problématique, et à ce que le législateur puis le pouvoir réglementaire se saisissent de ces questions afin que soient définis les encadrements appropriés, en recherchant le juste équilibre entre les impératifs de sécurisation, notamment des espaces publics, et la préservation des droits et libertés de chacun4.

Un appel de pure forme, qui finira sans aucun doute par être entendu par les ministères de l'intérieur et de la justice. Le gouvernement a en effet affirmé au printemps vouloir réviser la loi renseignement en 2020. Il lui faudra de toute façon légaliser tout un tas d’usages sécuritaires de l’informatique expérimentés ces derniers temps dans la plus grande illégalité (coucou Palantir à la DGSI, coucou le fichier TES et sa myriade d'usages potentiels qu'on voudra bientôt légaliser, etc.). Au train où vont les lois sécuritaires, et vu que les marchands de peur sont récemment passés ceinture marron dans l'art de pourrir le débat sur ces questions, ils accueillent sans doute l'appel de la CNIL avec sérénité.

Au minimum, la CNIL devrait imposer un moratoire sur les expérimentations en cours : exiger leur arrêt tant qu'elles ne sont pas précisément autorisées et encadrées par la loi. Sa position attentiste la rend complice.

  • 1.

  • 2. Le raisonnement juridique de la CNIL, détaillé dans un document dont nous avons eu communication, est en gros le suivant : « Reporty s’analysait en droit comme l’extension du système de vidéosurveillance de la ville (à travers les ordiphones des gens) ; or, la vidéosurveillance fait l’objet d’un encadrement dans le code de la sécurité intérieure ; comme pour les caméras piéton des policiers, faut donc que la loi autorise expressément le recours par les collectivités aux ordiphones des gens pour surveiller la population ; or cette autorisation législative qui fait pour l’heure défaut ».
  • 3. C'est la conséquence logique de la jurisprudence de base de de CEDH en la matière : toute forme de surveillance qui ne fait pas l’objet d’une règle juridique claire et intelligible associée à des garde-fous est illégale.
  • 4. https://www.cnil.fr/fr/la-cnil-appelle-la-tenue-dun-debat-democratique-sur-les-nouveaux-usages-des-cameras-video
]]>
Smart Cities sécuritaires : la CNIL forfait ?https://www.laquadrature.net/?p=11957http://isyteck.com/autoblog/quadrature/index.php5?20181106_122527_Smart_Cities_securitaires____la_CNIL_forfait___Tue, 06 Nov 2018 11:25:27 +0000Depuis plusieurs mois, La Quadrature a commencé à se pencher sur les enjeux liés aux Smart City, alors que plusieurs villes françaises invoquent ce terme pour « déguiser » leurs projets de surveillance policière dopée aux Big Data. Il y a quelques semaines, nous rencontrions la CNIL pour discuter de ces enjeux. Résumé des épisodes précédents, et de cette rencontre pas franchement enthousiasmante.

En France, lorsqu’on évoque la police prédictive et les usages policier du Big Data, il est souvent question de l’entreprise américaine Palantir. Celle-ci agit comme une sorte de chiffon rouge : les usages policiers de ses plateformes logicielles aux États-Unis ont en effet de quoi faire froid dans le dos, et le contrat passé fin 2016 entre la firme et les services de renseignement intérieur français, la DGSI, suscite des inquiétudes légitimes. Mais à trop se focaliser sur Palantir – qui endosse à merveille le rôle de la « méchante boîte américaine » –, on risque d’oublier un peu vite qu’en France aussi, plusieurs multinationales comme Thalès, Atos Bull ou Engie se positionnent sur ces marchés sécuritaires en plein essor.

La Safe City « made in France »

Alors que le sujet était jusqu’alors largement passé sous nos radars, cela fait quelques mois que nous avons commencé à suivre ces projets, baptisés « Safe City ©» par leurs concepteurs (ou comment basculer sans rougir de la Smart City à la « ville sécurisée »).

À Marseille puis à Nice, nous avons commencé à documenter les premiers partenariats public-privé en la matière, qui pullulent actuellement sur le territoire. Au travers de ces marchés publics, on voit des multinationales françaises s’allier avec des élus municipaux peu scrupuleux pour mettre la puissance du Big Data et de l’intelligence artificielle au service de leurs polices municipales (dans les applications envisagées : analyses prédictives, repérage des comportements suspects à travers l’analyse automatique de la vidéosurveillance, surveillance des réseaux sociaux, etc). Ces partenariats soutenus par l’Union européenne ou la Banque publique d’investissement permettent à ces consortiums mêlant grands industriels, « start-ups » et instituts de recherche (comme l’INRIA) de faire financer leur recherche et développement de solutions sécuritaires par le contribuable.

L’une des choses qui frappe lorsqu’on regarde les documents relatifs à ces expérimentations, c’est la créativité dont font preuve les rédacteurs pour minimiser les enjeux en termes de libertés publiques, sans jamais vraiment réussir à convaincre. Surtout, ne pas appeler un chat un chat, et caser les mots à la mode du moment qui permettront de rassurer et de « faire moderne ». C’est ce que relevait récemment la section locale de Ligue des droits de l’Homme à Nice :

Le marketing de la sécurité (de la peur ?), utilise volontiers quelques mots clés qui reviennent constamment en boucle : #intelligent, #temps réel ; on y rencontre aussi des #infaillible aux allures jupitériennes, destinés à clouer le bec de tout contradicteur.

Pour ce qui est de la vie privée, les rédacteurs se contentent d’une vague mention du « RGPD » ou de la « Loi informatique et libertés ». Inutile de vraiment plancher sur une analyse juridique qui démonterait que ces projets sont tout simplement illégaux…

On a rencontré la CNIL (et c’est triste)

Il y a quelques semaines, après la réponse que nous a faite la présidente de la CNIL à un courrier de janvier 2018, nous avons rencontré ses services pour en savoir plus sur la manière dont ils suivaient (ou pas) ces dossiers. Côté Quadrature, nous étions trois. En face de nous, il y avait Jean Lessi, conseiller d’État et secrétaire général de la CNIL, et trois autres personnes travaillant de loin sur ces sujets de « Safe City » au titre de leurs attributions. L’échange a été cordial. Nous avons rencontré des gens aimables, prenant au sérieux nos inquiétudes. Et pourtant, notre discussion a débouché sur un constat particulièrement amer quant à la capacité de la CNIL à être à la hauteur des enjeux.

Aucune analyse juridique détaillée

Le premier constat, c’est que la CNIL n’a en réalité pas de politique détaillée sur les Safe Cities. En 2014 déjà, elle échangeait avec le ministère de l’Intérieur sur des expérimentation locales de dispositifs statistiques à visée de police prédictive (sans même le Big Data à l’époque). L’an dernier, la CNIL publiait une étude prospective tout-à-fait lucide sur les enjeux de la Smart City pour les libertés publiques. Mais aujourd’hui, celle-ci ne dispose encore d’aucune analyse juridique qui puisse faire autorité sur la légalité des expérimentations projetées.

Comme le montrait le courrier envoyé par la présidente de la CNIL au maire de Marseille, la CNIL se borne pour l’heure à appeler au respect de garanties procédurales, avec notamment la nécessaire étude d’impact (la mairie en aurait promis une pour cet hiver…) et un « accompagnement obligatoire » à l’issue des expérimentations (prévu pour les « nouvelles technologies » par l’article 70-4 de la loi informatique et liberté modifiée).

Les analyses juridiques qui fleurissent au Conseil de l’Europe ou ailleurs1

  • Conseil de l’Europe. (2018). Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data (Consultative committee of the Convention for the protection of individuals with regard to automatic processing of personal data No. T-PD(2018)01). https://rm.coe.int/practical-guide-use-of-personal-data-in-the-police-sector/1680789a74
  • Conseil de l’Europe. (2018). Algorithms and Human Rights: Study on the human rights dimensions of automated data processing techniques and possible regulatory implications. Strasbourg. https://www.coe.int/en/web/human-rights-rule-of-law/-/algorithms-and-human-rights-a-new-study-has-been-published
  • Commission des libertés civiles, de la justice et des affaires intérieures, Parlement européen. (2017). Rapport sur les incidences des mégadonnées pour les droits fondamentaux: respect de la vie privée, protection des données, non-discrimination, sécurité et application de la loi (No. A8- 0044/2017). Retrieved from http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0044+0+DOC+XML+V0//FR

, et qui tentent de construire une réflexion pratique sur les liens entre Big Data, Intelligence Artificielle et droits de l’Homme, semblent la laisser de marbre.

Dans le silence de la loi, tout et n’importe quoi

Lorsqu’on demande à nos interlocuteurs pourquoi ils ne demandent tout simplement pas l’arrêt de ces expérimentations, comme il fut fait au printemps s’agissant de l’application Reporty à Nice (décision dont nous avons eu communication : la voici), on nous explique qu’à l’inverse de Reporty, la loi ne dit rien de spécifique sur la Safe City, et que les mairies peuvent donc faire peu ou prou ce qu’elles veulent2Le raisonnement juridique de la CNIL, détaillé dans un document dont nous avons eu communication, est en gros le suivant : « Reporty s’analysait en droit comme l’extension du système de vidéosurveillance de la ville (à travers les ordiphones des gens) ; or, la vidéosurveillance fait l’objet d’un encadrement dans le code de la sécurité intérieure ; comme pour les caméras piéton des policiers, faut donc que la loi autorise expressément le recours par les collectivités aux ordiphones des gens pour surveiller la population ; or cette autorisation législative qui fait pour l’heure défaut »..

Nous répondons que, justement, c’est parce que la loi ne dit rien non plus de l’utilisation du Big Data à des fins policières, de la surveillance des réseaux sociaux et de toutes ces choses évoquées dans les projets d’expérimentation « Safe City », que ces derniers sont clairement illégaux3C’est la conséquence logique de la jurisprudence de base de de CEDH en la matière : toute forme de surveillance qui ne fait pas l’objet d’une règle juridique claire et intelligible associée à des garde-fous est illégale.. C’est justement pour cela qu’ils mériteraient l’opposition ferme et résolue de la CNIL.

Silence gêné. On en déduit, que sous couvert d’expérimentations, tout ou presque est permis. La CNIL semble ici adhérer au rapport du député Cédric Villani sur l’intelligence artificielle, qui revendiquait de s’affranchir de la loi pour expérimenter les usages de l’IA à des fins de surveillance (visant sans le nommer le partenariat Palantir-DGSI). Dans la Startuffe Nation, il te suffit de parler d’« expérimentation » et d’« innovation smart », de méthodes « lean » en lien avec « l’écosystème startup », et ça te vaut un sauf-conduit pour faire tout et n’importe quoi.

La CNIL résignée face au discours sécuritaire

Bref. On continue donc la discussion, et nos interlocuteurs de la CNIL continuent de se défiler en nous disant en substance ceci : « Même si les projets d’expérimentation font peur sur le papier, il faut bien faire la différence entre le discours marketing des projets d’expérimentation (qui surenchérit dans la dystopie orwelienne) et l’étape de la mise en œuvre (qui s’avérera décevante et bien plus limitée que ce qui est projeté au départ) ».

Alors oui, on peut être d’accord sur le fait que ces expérimentations ne tiendront pas leurs promesses dans les délais impartis. Pour autant, cette position de la CNIL qui tend à minimiser la portée de ces projets oublie deux choses. La première, c’est que les discours marketing participent déjà de la banalisation des systèmes de surveillance. Et ce d’autant plus qu’ils sont repris par les élus qui, tout en masquant les dangers de la Safe City, tentent d’en faire un atout électoral. Le marketing de la surveillance impose partout la société de surveillance, et ce devrait être le rôle de la CNIL que d’utiliser les moyens à sa disposition pour aider à déconstruire ces discours (et tant pis si cela suscite l’ire des élus locaux).

Surtout, vu le rythme auquel croît l’informatique de contrôle (Big Data, IA & co), il est clair que ces systèmes de surveillance verront le jour. À force de balancer des millions d’euros pour les financer, la technocratie nous enfoncera encore un peu plus dans la dystopie orwellienne. De fait, ces outils existent déjà en Chine et, dans une moindre mesure, aux États-Unis et au Royaume-Uni. L’un des buts de ces expérimentations n’est-il pas justement de permettre aux industriels français de rattraper au plus vite leur retard sur la concurrence étrangère ?

Un appel au débat qui ne mange pas de pain

Au fond, si la CNIL botte en touche sur ces sujets ô combien importants, c’est qu’elle accepte d’être condamnée à l’impuissance.

À l’image d’autres autorités de contrôle dévolues à la protection des libertés publiques, ses moyens financiers et humains sont structurellement dérisoires par rapport à l’ampleur de ses missions. Il faut dire que la conjoncture n’est guère favorable : la CNIL doit faire face à l’entrée en vigueur du RGPD en mai dernier, qui la met en première ligne. Nos interlocuteurs ont d’ailleurs commencé la discussion en pointant leur manque de moyens, comme pour s’excuser par avance de leur relative inaction. On nous a fait comprendre que les personnes que nous avions en face sont en réalité les seules parmi un staff d’environ 200 personnes à plancher sur ces sujets de Safe City. Et encore, seulement de loin, en plus de leurs autres missions touchant aux fichiers régaliens… Le projet de budget 2019 envisage bien une augmentation de ses ressources de +4,8 % (+ 860 000 euros), mais cela est largement insuffisant pour palier aux besoins.

Il y a une seconde explication plus générale à l’impuissance de la CNIL : celle-ci est sciemment organisée par les pouvoirs exécutifs et législatifs. L’attentisme actuel apparaît en effet comme le point d’orgue d’une tendance à l’œuvre depuis les années 1980, qui a vu les pouvoirs de la commission progressivement rognés s’agissant de la surveillance d’État. Alors que ses responsables aiment à rappeler le « mythe fondateur » du scandale SAFARI – provoqué en 1974 par le projet d’une interconnexion des fichiers informatiques de la police, des service fiscaux et sociaux –, la CNIL n’a cesse depuis de perdre du terrain sur ces questions.

Ainsi, en 1991, l’État choisit de créer une nouvelle autorité (la CNCIS) plutôt que de lui permettre de contrôler la surveillance des communications par les services de renseignement. En 2004, on lui ôte le pouvoir de s’opposer à la création de fichiers policiers, en rendant son avis sur les projets de décrets afférents purement consultatif. Enfin, depuis presque vingt ans, on met à sa tête des gens proches des hautes sphères administratives ou politiques, comme une manière de garantir sa relative docilité vis-à-vis de l’État dans des dossiers clés.

Dans ce contexte délétère, la CNIL en est réduite à appeler à un grand « débat démocratique », tout en reconnaissant les graves menaces que font peser ces systèmes pour les droits et libertés. Ce qu’elle a fait le 19 septembre dernier. On lit dans son communiqué publié ce jour-là :

Ces dispositifs, qui s’articulent parfois avec des technologies de big data, soulèvent des enjeux importants pour les droits et libertés individuelles des citoyens. Le sentiment de surveillance renforcée, l’exploitation accrue et potentiellement à grande échelle de données personnelles, pour certaines sensibles (données biométriques), la restriction de la liberté d’aller et de venir anonymement, sont autant de problématiques essentielles pour le bon fonctionnement de notre société démocratique.
Il est aujourd’hui impératif que des garde-fous soient prévus afin d’encadrer les finalités pour lesquelles ces dispositifs peuvent être déployés et prévenir tout mésusage des données traitées par leur biais (…).
Aussi, la CNIL appelle d’urgence à un débat démocratique sur cette problématique, et à ce que le législateur puis le pouvoir réglementaire se saisissent de ces questions afin que soient définis les encadrements appropriés, en recherchant le juste équilibre entre les impératifs de sécurisation, notamment des espaces publics, et la préservation des droits et libertés de chacun4https://www.cnil.fr/fr/la-cnil-appelle-la-tenue-dun-debat-democratique-sur-les-nouveaux-usages-des-cameras-video.

Un appel de pure forme, qui finira sans aucun doute par être entendu par les ministères de l’intérieur et de la justice. Le gouvernement a en effet affirmé au printemps vouloir réviser la loi renseignement en 2020. Il lui faudra de toute façon légaliser tout un tas d’usages sécuritaires de l’informatique expérimentés ces derniers temps dans la plus grande illégalité (coucou Palantir à la DGSI, coucou le fichier TES et sa myriade d’usages potentiels qu’on voudra bientôt légaliser, etc.). Au train où vont les lois sécuritaires, et vu que les marchands de peur sont récemment passés ceinture marron dans l’art de pourrir le débat sur ces questions, ils accueillent sans doute l’appel de la CNIL avec sérénité.

Au minimum, la CNIL devrait imposer un moratoire sur les expérimentations en cours : exiger leur arrêt tant qu’elles ne sont pas précisément autorisées et encadrées par la loi. Sa position attentiste la rend complice.

References   [ + ]

1.

  • Conseil de l’Europe. (2018). Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data (Consultative committee of the Convention for the protection of individuals with regard to automatic processing of personal data No. T-PD(2018)01). https://rm.coe.int/practical-guide-use-of-personal-data-in-the-police-sector/1680789a74
  • Conseil de l’Europe. (2018). Algorithms and Human Rights: Study on the human rights dimensions of automated data processing techniques and possible regulatory implications. Strasbourg. https://www.coe.int/en/web/human-rights-rule-of-law/-/algorithms-and-human-rights-a-new-study-has-been-published
  • Commission des libertés civiles, de la justice et des affaires intérieures, Parlement européen. (2017). Rapport sur les incidences des mégadonnées pour les droits fondamentaux: respect de la vie privée, protection des données, non-discrimination, sécurité et application de la loi (No. A8- 0044/2017). Retrieved from http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0044+0+DOC+XML+V0//FR

2. Le raisonnement juridique de la CNIL, détaillé dans un document dont nous avons eu communication, est en gros le suivant : « Reporty s’analysait en droit comme l’extension du système de vidéosurveillance de la ville (à travers les ordiphones des gens) ; or, la vidéosurveillance fait l’objet d’un encadrement dans le code de la sécurité intérieure ; comme pour les caméras piéton des policiers, faut donc que la loi autorise expressément le recours par les collectivités aux ordiphones des gens pour surveiller la population ; or cette autorisation législative qui fait pour l’heure défaut ».
3. C’est la conséquence logique de la jurisprudence de base de de CEDH en la matière : toute forme de surveillance qui ne fait pas l’objet d’une règle juridique claire et intelligible associée à des garde-fous est illégale.
4. https://www.cnil.fr/fr/la-cnil-appelle-la-tenue-dun-debat-democratique-sur-les-nouveaux-usages-des-cameras-video
]]>
En Espagne, les réseaux télécoms citoyens entravés par des pratiques clientélisteshttps://www.laquadrature.net/?p=11955http://isyteck.com/autoblog/quadrature/index.php5?20181029_124110_En_Espagne__les_reseaux_telecoms_citoyens_entraves_par_des_pratiques_clientelistesMon, 29 Oct 2018 11:41:10 +0000En 2014, la Commission européenne publiait un rapport présentant les résultats d’une consultation d’entreprises, dans 28 pays de l’Union Européenne (UE-28), de différents secteurs où celui des télécoms est affirmé comme le secteur économique le plus corrompu après celui du BTP.

Alors que les télécoms sont dominés par des oligopoles au niveau national, les formes et les effets de cette corruption sont multiples. Sur le terrain, les initiatives citoyennes qui cherchent à se réapproprier les infrastructures télécom font en tous cas fréquemment l’expérience de ce qui s’apparente à des pratiques quasi-mafieuses.

C’est pour dénoncer cette situation qu’en Espagne, la fondation Guifi.net – qui travaille à la construction de réseaux télécoms gérés comme biens communs, par et pour des communautés locales – vient de déposer une plainte auprès de la Médiatrice européenne. Depuis des années, Guifi.net constate que le déploiement de ses réseaux libres est entravé par la non-coopération d’entreprises ou d’autorités publiques qui refusent de donner droit à ses demandes d’accès aux infrastructures existantes (réseaux télécoms, ferroviaires, électriques), grâce auxquelles elle entend déployer ses fourreaux de fibre optique et ainsi étendre son réseau. Ses recours en justice ou ses saisine du régulateur des télécoms, la CNMC, sont restés sans véritables effets.

Ces pratiques d’obstruction – contraires au droit européen et pourtant impunies – provoquent des retards, des surcoûts, et des formes de concurrence déloyales. Leur caractère systémique montrent à quel point les politiques publiques font obstacle à la maîtrise citoyenne des réseaux télécoms et, in fine, à la décentralisation d’Internet. Par solidarité avec Guifi.net et parce que, partout en Europe, les réseaux télécoms libres et citoyens font face à des problématiques similaires (voir en France le récent appel de la Fédération FDN à l’Arcep), nous republions ci-dessous le communiqué de Guifi.net, et leur exprimons notre soutien.

Guifi.net dénonce les manquements au droit européen de la concurrence et des télécommunications

Barcelone, le vendredi 26 octobre

La fondation guifi.net dépose une plainte au Médiateur Européen, appelant la Commission Européenne à agir contre les mauvaises pratiques dans les États membres et à garantir le respect des textes européens en matière de télécommunications et de droit de la concurrence.

Ce vendredi 26 octobre, la fondation guifi.net a déposé sa plainte au siège de la Commission européenne à Barcelone. Elle décrit les situations de conflit d’intérêts économiques, les mauvaises pratiques ainsi que les barrières à l’entrée qui s’exercent à tous les niveaux en Espagne.

La décision de déposer cette plainte est motivée par la violation continue et systématique du droit européen des télécommunications et du droit de la concurrence, et plus précisément du décret espagnol RD 330/2016 du 9 septembre relatif à la réduction du coût du déploiement des réseaux de télécommunications électroniques à haut débit, qui transpose la directive 2014/61/UE du Parlement européen. Ce décret permet aux opérateurs de réseaux de communications ouverts au public d’accéder aux infrastructures physiques existantes, et ce peu importe leur localisation.

Les mauvaises actions, ainsi que l’absence d’action dans certains cas, sont commises à la fois par des entreprises privées ainsi qu’à tous les niveaux de l’administration et dans différents territoires de compétence. Cela mène à une impasse (blocus mutuel) rendant irréalisables les projets de réseaux en commun de guifi.net — à travers une infrastructure dont le principal objectif est d’atteindre l’ensemble du territoire pour relier tous les ménages, mettant ainsi fin à la fracture numérique.

La fondation guifi.net est un organisme à but non lucratif et d’intérêt général qui défend l’accès à Internet en tant que droit humain (reconnu par les Nations Unies en 2011) et qui travaille à la promotion d’un réseau de télécommunication en coopération, ouvert, libre et neutre, sur le modèle d’un bien commun.

]]>
En Espagne, les réseaux télécoms citoyens entravés par des pratiques clientélistes10657 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181029_114148_En_Espagne__les_reseaux_telecoms_citoyens_entraves_par_des_pratiques_clientelistesMon, 29 Oct 2018 10:41:48 +000029 octobre 2018

En 2014, la Commission européenne publiait un rapport présentant les résultats d'une consultation d'entreprises, dans 28 pays de l'Union Européenne (UE-28), de différents secteurs où celui des télécoms est affirmé comme le secteur économique le plus corrompu après celui du BTP.

Alors que les télécoms sont dominés par des oligopoles au niveau national, les formes et les effets de cette corruption sont multiples. Sur le terrain, les initiatives citoyennes qui cherchent à se réapproprier les infrastructures télécom font en tous cas fréquemment l'expérience de ce qui s'apparente à des pratiques quasi-mafieuses.

C'est pour dénoncer cette situation qu'en Espagne, la fondation Guifi.net - qui travaille à la construction de réseaux télécoms gérés comme biens communs, par et pour des communautés locales - vient de déposer une plainte auprès de la Médiatrice européenne. Depuis des années, Guifi.net constate que le déploiement de ses réseaux libres est entravé par la non-coopération d'entreprises ou d'autorités publiques qui refusent de donner droit à ses demandes d'accès aux infrastructures existantes (réseaux télécoms, ferroviaires, électriques), grâce auxquelles elle entend déployer ses fourreaux de fibre optique et ainsi étendre son réseau. Ses recours en justice ou ses saisine du régulateur des télécoms, la CNMC, sont restés sans véritables effets.

Ces pratiques d'obstruction - contraires au droit européen et pourtant impunies - provoquent des retards, des surcoûts, et des formes de concurrence déloyales. Leur caractère systémique montrent à quel point les politiques publiques font obstacle à la maîtrise citoyenne des réseaux télécoms et, in fine, à la décentralisation d'Internet. Par solidarité avec Guifi.net et parce que, partout en Europe, les réseaux télécoms libres et citoyens font face à des problématiques similaires (voir en France le récent appel de la Fédération FDN à l'Arcep), nous republions ci-dessous le communiqué de Guifi.net, et leur exprimons notre soutien.

Guifi.net dénonce les manquements au droit européen de la concurrence et des télécommunications

Barcelone, le vendredi 26 octobre

La fondation guifi.net dépose une plainte au Médiateur Européen, appelant la Commission Européenne à agir contre les mauvaises pratiques dans les États membres et à garantir le respect des textes européens en matière de télécommunications et de droit de la concurrence.

Ce vendredi 26 octobre, la fondation guifi.net a déposé sa plainte au siège de la Commission européenne à Barcelone. Elle décrit les situations de conflit d’intérêts économiques, les mauvaises pratiques ainsi que les barrières à l'entrée qui s'exercent à tous les niveaux en Espagne.

La décision de déposer cette plainte est motivée par la violation continue et systématique du droit européen des télécommunications et du droit de la concurrence, et plus précisément du décret espagnol RD 330/2016 du 9 septembre relatif à la réduction du coût du déploiement des réseaux de télécommunications électroniques à haut débit, qui transpose la directive 2014/61/UE du Parlement européen. Ce décret permet aux opérateurs de réseaux de communications ouverts au public d'accéder aux infrastructures physiques existantes, et ce peu importe leur localisation.

Les mauvaises actions, ainsi que l'absence d'action dans certains cas, sont commises à la fois par des entreprises privées ainsi qu'à tous les niveaux de l'administration et dans différents territoires de compétence. Cela mène à une impasse (blocus mutuel) rendant irréalisables les projets de réseaux en commun de guifi.net -- à travers une infrastructure dont le principal objectif est d’atteindre l’ensemble du territoire pour relier tous les ménages, mettant ainsi fin à la fracture numérique.

La fondation guifi.net est un organisme à but non lucratif et d'intérêt général qui défend l'accès à Internet en tant que droit humain (reconnu par les Nations Unies en 2011) et qui travaille à la promotion d'un réseau de télécommunication en coopération, ouvert, libre et neutre, sur le modèle d'un bien commun.

]]>
29 octobre 2018

En 2014, la Commission européenne publiait un rapport présentant les résultats d'une consultation d'entreprises, dans 28 pays de l'Union Européenne (UE-28), de différents secteurs où celui des télécoms est affirmé comme le secteur économique le plus corrompu après celui du BTP.

Alors que les télécoms sont dominés par des oligopoles au niveau national, les formes et les effets de cette corruption sont multiples. Sur le terrain, les initiatives citoyennes qui cherchent à se réapproprier les infrastructures télécom font en tous cas fréquemment l'expérience de ce qui s'apparente à des pratiques quasi-mafieuses.

C'est pour dénoncer cette situation qu'en Espagne, la fondation Guifi.net - qui travaille à la construction de réseaux télécoms gérés comme biens communs, par et pour des communautés locales - vient de déposer une plainte auprès de la Médiatrice européenne. Depuis des années, Guifi.net constate que le déploiement de ses réseaux libres est entravé par la non-coopération d'entreprises ou d'autorités publiques qui refusent de donner droit à ses demandes d'accès aux infrastructures existantes (réseaux télécoms, ferroviaires, électriques), grâce auxquelles elle entend déployer ses fourreaux de fibre optique et ainsi étendre son réseau. Ses recours en justice ou ses saisine du régulateur des télécoms, la CNMC, sont restés sans véritables effets.

Ces pratiques d'obstruction - contraires au droit européen et pourtant impunies - provoquent des retards, des surcoûts, et des formes de concurrence déloyales. Leur caractère systémique montrent à quel point les politiques publiques font obstacle à la maîtrise citoyenne des réseaux télécoms et, in fine, à la décentralisation d'Internet. Par solidarité avec Guifi.net et parce que, partout en Europe, les réseaux télécoms libres et citoyens font face à des problématiques similaires (voir en France le récent appel de la Fédération FDN à l'Arcep), nous republions ci-dessous le communiqué de Guifi.net, et leur exprimons notre soutien.

Guifi.net dénonce les manquements au droit européen de la concurrence et des télécommunications

Barcelone, le vendredi 26 octobre

La fondation guifi.net dépose une plainte au Médiateur Européen, appelant la Commission Européenne à agir contre les mauvaises pratiques dans les États membres et à garantir le respect des textes européens en matière de télécommunications et de droit de la concurrence.

Ce vendredi 26 octobre, la fondation guifi.net a déposé sa plainte au siège de la Commission européenne à Barcelone. Elle décrit les situations de conflit d’intérêts économiques, les mauvaises pratiques ainsi que les barrières à l'entrée qui s'exercent à tous les niveaux en Espagne.

La décision de déposer cette plainte est motivée par la violation continue et systématique du droit européen des télécommunications et du droit de la concurrence, et plus précisément du décret espagnol RD 330/2016 du 9 septembre relatif à la réduction du coût du déploiement des réseaux de télécommunications électroniques à haut débit, qui transpose la directive 2014/61/UE du Parlement européen. Ce décret permet aux opérateurs de réseaux de communications ouverts au public d'accéder aux infrastructures physiques existantes, et ce peu importe leur localisation.

Les mauvaises actions, ainsi que l'absence d'action dans certains cas, sont commises à la fois par des entreprises privées ainsi qu'à tous les niveaux de l'administration et dans différents territoires de compétence. Cela mène à une impasse (blocus mutuel) rendant irréalisables les projets de réseaux en commun de guifi.net -- à travers une infrastructure dont le principal objectif est d’atteindre l’ensemble du territoire pour relier tous les ménages, mettant ainsi fin à la fracture numérique.

La fondation guifi.net est un organisme à but non lucratif et d'intérêt général qui défend l'accès à Internet en tant que droit humain (reconnu par les Nations Unies en 2011) et qui travaille à la promotion d'un réseau de télécommunication en coopération, ouvert, libre et neutre, sur le modèle d'un bien commun.

]]>
[LeMonde] Le contrôle des données numériques personnelles est un enjeu de liberté collectivehttp://isyteck.com/autoblog/quadrature/index.php5?20181025_160000__LeMonde__Le_controle_des_donnees_numeriques_personnelles_est_un_enjeu_de_liberte_collectiveThu, 25 Oct 2018 14:00:00 +0000[LeMonde] Le contrôle des données numériques personnelles est un enjeu de liberté collective

Les révélations des failles de sécurité touchant des services en ligne s’accumulent. Et la collecte de nos données fait peser un risque collectif d’envergure. […]

Pendant des décennies, à raison, défendre la vie privée revenait à protéger l’individu. Aujourd’hui encore, on s’obstine à rechercher et mesurer les conséquences individuelles de cette collecte effrénée de données personnelles et de ces piratages à répétition. Mais le paradigme a changé : la question des données personnelle n’est pas un problème d’intimité. C’est un enjeu de liberté collective. […]

Les algorithmes enserrent nos vies : ils nous disent quoi acheter, où partir en vacances, qui rencontrer, quel article de presse lire, comment nous déplacer, décident ce que nous pouvons écrire. Cette trame nouée autour de nos vies est tissée de nos données personnelles. Pas seulement des nôtres, individu connecté, mais de toutes les autres : les algorithmes ne fonctionnent qu’assis sur des masses de données. C’est la somme, l’agrégat et la combinaison des données à l’échelle de milliers, voire de millions d’êtres humains, qui font leur puissance. […]

https://www.lemonde.fr/pixels/article/2018/10/19/le-controle-des-donnees-numeriques-personnelles-est-un-enjeu-de-liberte-collective_5371789_4408996.html

]]>
[Mediapart] La régulation des Gafam, un chantier débattu des deux côtés de l’Atlantiquehttp://isyteck.com/autoblog/quadrature/index.php5?20181025_150000__Mediapart__La_regulation_des_Gafam__un_chantier_debattu_des_deux_cotes_de_l___AtlantiqueThu, 25 Oct 2018 13:00:00 +0000[Mediapart] La régulation des Gafam, un chantier débattu des deux côtés de l’Atlantique

[…] Si le RGPD promet la portabilité des données, c’est-à-dire le transfert de vos données d’un opérateur vers un autre (imaginez que vous vouliez changer de réseau social et réinstaller toute votre activité Facebook… ailleurs !), l’étape suivante pourrait être celle de l’interopérabilité. Des données stockées de telle sorte qu’elles puissent être utilisées où bon vous semble, quand bon vous semble : par exemple, écouter sa playlist sur n’importe quel service de streaming, ou utiliser ses adresses préférées dans n’importe quel GPS.

Un tel changement de paradigme pourrait permettre de casser ce que les économistes appellent “l’effet de réseau” – selon lequel la croissance d’un réseau s’auto-alimente, le réseau devenant de plus en plus intéressant au fur et à mesure que plus de monde s’y retrouve – et l’effet de “silo” ou d’écosystème – un possesseur d’iPhone achetant ses applis sur l’Apple Store et sauvegardant ses photos dans le cloud d’Apple. Un effet dont risque par exemple de souffrir le fabricant de GPS TomTom, après l’annonce par Renault-Nissan-Mitsubishi d’un partenariat avec la filiale d’Alphabet, qui leur permettra de proposer dans leurs systèmes de divertissement embarqué la navigation par Google Maps, l’accès aux applications automobiles de Google Play Store et la commande vocale via Google Assistant.

Pour Sébastien Soriano, interrogé par Alternatives économiques, casser les effets de réseau permettrait de « favoriser l’émergence de nouveaux entrants et de limiter les stratégies de silos des acteurs en place au profit de services plus interopérables et de données plus partagées. Ainsi les effets de réseaux ne seraient plus accaparés par quelques acteurs mais redistribués aux utilisateurs par le truchement de la concurrence » […].

https://www.mediapart.fr/journal/economie/161018/la-regulation-des-gafam-un-chantier-debattu-des-deux-cotes-de-l-atlantique?onglet=full

]]>
[01net] Fibre optique : les opérateurs associatifs interpellent Orange et le gendarme des télécomshttps://beta.grange.lqdn.fr/2018/10/24/01net-fibre-optique-les-operateurs-associatifs-interpellent-orange-et-le-gendarme-des-telecoms/http://isyteck.com/autoblog/quadrature/index.php5?20181024_150000__01net__Fibre_optique_nbsp__les_operateurs_associatifs_interpellent_Orange_et_le_gendarme_des_telecomsWed, 24 Oct 2018 13:00:00 +0000[01net] Fibre optique : les opérateurs associatifs interpellent Orange et le gendarme des télécoms

Ces petites structures souhaiteraient proposer de la fibre optique à leurs adhérents. Mais pour cela, il faudrait qu’elles puissent louer les offres activées d’un opérateur comme c’est le cas pour l’ADSL.

Coincés. D’un côté, les opérateurs associatifs grands publics n’ont pas les moyens de déployer leur propre réseau FttH. Et de l’autre, il n’existe pas d’offre leur permettant de louer la fibre optique activée à un autre opérateur. C’est pourtant déjà le cas pour l’ADSL avec Orange, on appelle cela une offre « activée » ou « bitstream ».

Ces acteurs prennent aujourd’hui la plume pour exprimer leur mécontentement dans une lettre adressée au président de l’Arcep Sébastien Soriano et au patron d’Orange Stéphane Richard. Elle est signée par la Fédération FDN, la Fédération des fournisseurs d’accès Internet associatifs qui regroupe une trentaine d’associations sur tout le territoire comme FDN, Aquilenet ou Rézine. […]

https://www.01net.com/actualites/fibre-optique-les-operateurs-associatif…

]]>
Un tiers médiaire10646 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181016_144552_Un_tiers_mediaireTue, 16 Oct 2018 12:45:52 +000017 octobre 2018 - Pour avancer encore dans nos discussions sur le statut des hébergeurs et la régulation d'Internet, nous partageons aujourd'hui une tribune de Laurent Chemla, membre de La Quadrature du Net.

Avec les communiqués de La Quadrature du Net autour de la Directive Droit d'Auteur et les différentes réactions et tribunes qu'ils ont suscité, pas mal de choses ont été dites, critiquées, expliquées et décortiquées.

Quelques points pourtant sont restés à mon sens trop peu développés.

Mais, first thing first, je voudrais d'abord expliquer ma propre position sur le sujet du fameux « statut intermédiaire » entre éditeur et hébergeur, que La Quadrature a très finement choisi de nommer « afficheur ». Et pour ça je vais devoir vous raconter ma vie (comme d'habitude, oui).

Je te préviens c'est long et chiant. Tu peux retourner sur Twitter tout de suite.

C'était en 1997, je crois, que ce thème a été abordé pour la première fois. J'étais à l'époque vice-président d'un des ancêtres de LQDN : l'Association des Utilisateurs d'Internet (AUI). L'AUI avait, assez naïvement, déjà classé les intermédiaires techniques en trois catégories : FAI, FSI et FHI. Respectivement : fournisseur d'accès, de services, et d'hébergement. Le FAI a des obligations (couverture du territoire, neutralité), le FSI a des contrats (c'est un simple commerçant), et le FHI est transparent (il n'a aucun rôle éditorial et en contrepartie aucune responsabilité équivalente à ce que la loi de 1881 sur la Presse impose aux divers intermédiaires de la chaîne de responsabilité éditoriale).

La case « fournisseur de services » (puisque c'est surtout d'elle qu'il s'agit) était, à l'époque, pensée comme regroupant votre serveur de mail, votre vendeur de nom de domaine, ce genre de bidules techniques qui ne relève clairement ni de l'accès ni de l'hébergement proprement dit. Tout ce qui n'est ni fournisseur d'accès ni totalement transparent tombait dans ce statut.

Une autre façon de présenter les choses serait de définir l'accès comme la fourniture des droits fondamentaux à l'expression et à l'information, et l'hébergement comme le moyen de ces mêmes droits fondamentaux. Un peu comme un parallèle à l'enseignement de la lecture et à la Presse. Et ce qui ne relève ni de l'accès ni du moyen tombe dans le simple commerce.

Il peut sembler évident que, de ce point de vue, un intermédiaire qui - de facto - choisit ce qu'il diffuse ou non (parce qu'il hiérarchise les contenus de ses utilisateurs au point d'en faire disparaître certains, par exemple), n'étant pas « transparent », tombe dans cette case. En tous cas, à l'époque, ça semblait suffisamment évident à certains pour me démissionner de l'AUI au prétexte que je ne considérais pas que les choses étaient aussi simples.

Ma position (qui n'a que peu varié depuis) était que, d'une part, la totale déresponsabilisation des hébergeurs conduirait inévitablement à des services spécialisés dans la diffusion de la haine (« Mais oh la la c'est pas ma faute si tous les haineux m'ont choisi comme hébergeur M. le juge : je suis totalement transparent moi », toute ressemblance avec le 18-25 d'une certaine période étant fortuite), et que d'autre part en tant que petit hébergeur (j'étais petit hébergeur à cette époque) j'aurais bien du mal à dormir en sachant que mes machines servaient à diffuser de la haine sans que je n'y puisse rien (« transparence » oblige).

Forcément, ce type d'idée ne facilite pas les convictions tranchées, bien binaires comme il faut.

Pour me sortir de ce qui ressemblait à une contradiction (défendre la liberté d'expression mais rester quand même un citoyen « non transparent »), j'ai fini par développer une position, sinon intermédiaire, au moins un peu plus complexe que le « tout ou rien » : dans ma vision l'hébergeur était un « fournisseur de liberté d'expression », un statut spécial, une sorte de « reconnaissance d'utilité publique » si vous voulez.

En tant que tel il devenait irresponsable des contenus hébergés, MAIS il s'engageait à ne pas intervenir sur ces contenus SAUF à en répondre SYSTÉMATIQUEMENT devant la justice.

Si jamais je tombais sur un site négationniste parmi ceux que j'hébergeais, et que j'en coupais l'accès, je risquais d'être condamné pour ça, et ça m'allait très bien : de la même manière que j'engage ma responsabilité pénale si je cogne sur le type qui essaie de voler le sac d'une vieille dame dans la rue, je laissais à la justice - saisie automatiquement - la décision de dire si j'avais agi à raison ou non.

Pour résumer, j'avais développé un cadre contractuel en parallèle, que l'hébergeur se devait de respecter pour bénéficier de ce statut (mais je préfère rester hahaha bref).

C'est là que nos chers juristes m'ont expliqué que « c'est pas con mais c'est pas possible : y'a pas de qualification pénale pour censure abusive dans notre droit ».

What ?

Eh bah oui : si c'est l'État qui censure la Presse ou les Syndicats, il existe un article de loi pour porter plainte. Mais si c'est un commerçant qui censure un particulier, y'a pas. Et c'est logique, puisqu'à l'époque où ces textes ont été écrits, personne ne pensait qu'un jour le simple citoyen aurait accès à l'expression publique. Oui, ok, c'est un droit constitutionnel, carrément un « Droit de l'Homme » même, mais celui-là n'est pas protégé par la loi. Voilà.

Et il ne l'est toujours pas, 20 ans plus tard.

Bon j'avoue qu'à ce stade des débats les choses se sont un peu compliquées et que - je résume, je t'ai dit ! - je me suis fait démissionner de l'association pour cause d'hérésie. Et j'ai un peu lâché l'affaire.

Pendant 20 ans, ouais.

Retour au temps présent. Il ne t'aura pas échappé que ma vision du passé n'est pas exactement celle qui est aujourd'hui défendue par La Quadrature. Déjà parce que c'est pas moi qui décide de la position de La Quadrature. Mais surtout parce qu'Internet n'est pas TOUT À FAIT le même qu'il y a 20 ans : l'avènement du « Web 2.0 » a changé la nature de l'hébergement, en créant des services réunissant sur la même « page » les publications d'une foule de différents acteurs. Benjamin l'explique très bien dans sa tribune.

Mais ce qui compte, pour moi, et mon histoire passée l'explique sans doute, c'est qu'on débatte ENFIN de ça : oui, ok, bien sûr, il ne faut pas qu'un hébergeur soit responsable des contenus publiés par ses utilisateurs. Parce que s'il l'est, il sera obligé de sélectionner ces contenus. Et que donc - toutes choses étant égales par ailleurs - toute opinion un peu divergente de celle de ceux qui font la loi sera petit à petit supprimée de l'espace public. C'est comme ça.

MAIS - et c'est un PUTAIN DE GROS MAIS - il doit avoir, en contrepartie, un devoir de neutralité. Parce que s'il n'est pas responsable, alors en échange IL NE DOIT PAS CENSURER. Rien. Jamais. Sauf à en assumer la responsabilité. Et oui, je considère que trier les documents, si ça conduit à toujours rendre invisibles les mêmes, c'est encore de la censure.

Ça se discute ? Discutons-en.

Et oui, la Quadrature défend l'idée que - s'il fait le choix de censurer - alors il ne passe pas devant un tribunal pour ça (rappel : y'a pas de loi qui le permette) mais il perd sa qualité d'hébergeur et [re]devient un simple intermédiaire, qualifié d'afficheur pourquoi pas. Un FSI au sens antique de l'AUI. C'est son contrat qui prévaut dans ses rapports avec ses utilisateurs MAIS il perd - au moins en partie - son irresponsabilité totale.

Ça se discute ? Discutons-en.

Et oui, la Quadrature propose que ce statut intermédiaire « d'afficheur » ne s'applique qu'à certaines conditions (de taille, de position hégémonique, de pouvoir...) et DONC que certains puissent conserver le statut d'hébergeur tout en choisissant des règles de modération autres que strictement neutres.

Ça se discute ? Discutons-en.

Par exemple, je suis personnellement favorable à ce qu'une des conditions pour passer du statut d'hébergeur à celui d'afficheur soit le choix du modèle économique : le tien est basé sur l'exploitation commerciale des données personnelles de tes utilisateurs ? Ok, t'es afficheur, pas hébergeur.

Parce que oui, le modèle économique, ça compte aussi ! Parce que quand ton revenu dépend de la publicité, alors FORCÉMENT tu as intérêt à ne pas fâcher tes clients (les publicitaires, donc), et FORCÉMENT tu vas avoir envie de privilégier certains contenus à même de retenir l'attention de leurs cibles, et FORCÉMENT tu vas être poussé à ne pas mélanger leurs publicités à des contenus, disons, discutables.

Et donc, FORCÉMENT, tu n'es plus neutre (et si tu essaies quand même de l'être, ce qui est le cas de mes amis de Qwant par exemple, tu te retrouves à lutter contre la puissance économique de ceux qui - n'ayant pas plus d'obligations que toi tout en n'ayant pas la même éthique que toi - ont mille fois plus de clients potentiels que toi. Bon courage).

Accessoirement, je préfère aussi le rappeler, le modèle « publicité contre gratuité » nous conduit aussi irrémédiablement dans le mur de la minitelisation du Web que le modèle capitaliste nous conduit dans le mur de la disparition du vivant (je résume, je te l'ai déjà dit). Parce que pour vendre plus de pub - ou pour la vendre plus cher - tu vas devoir avoir plus d'utilisateurs, tout simplement. Ce qui conduit très logiquement à voir apparaître des géants hégémoniques et à la disparition, par asphyxie économique, des plus petits. Et donc à un pouvoir démesuré sur la liberté d'expression pour ceux qui restent. C'est le modèle qui veut ça.

Bref. Tout ça se discute. Alors discutons-en.

Sans anathème, de préférence : j'ai déjà vécu ça et ça ne m'a pas plu des masses.

On peut discuter. On doit discuter. J'ai mes limites, bien sûr : pour moi il n'existe pas de liberté sans responsabilité donc, pour moi, celui qui prend la liberté de censurer ce qui lui déplaît prend en partie la responsabilité de ce qu'il diffuse. C'est un principe, mais il se discute, il s'amende, il prend en compte la réalité. Sans insultes et sans parti-pris : si je n'entends pas d'arguments pour me faire changer d'avis, la discussion va vite s'arrêter là.

Bref.

J'ai pas fini.

Ne t'y trompes pas, ami lecteur masochiste qui a tenu jusque-là : même s'ils semblent aller dans mon sens, quand les pouvoirs en place votent l'article 13 de la directive Copyright, ou même le RGPD, ils ne sont pas mes amis. Du tout. Parce qu'ils favorisent ceux qu'ils disent combattre.

L'obligation de filtrage automatisé imposée par l'article 13 ne dérange EN RIEN les GAFAM : elle ne fait qu'avaliser une pratique déjà en place et VOULUE par ces mêmes GAFAM, puisque c'est à la base même de leur modèle économique (filtrer pour mieux attirer la cible des publicitaires et garantir un environnement « sain »). Son seul aspect positif (et encore : mon petit doigt m'a dit qu'on risquait gros pendant le trilogue en cours), c'est qu'il introduit une distinction entre hébergeur et intermédiaire pratiquant « l'optimisation des contenus », ce qui permet l'excellente chose (selon moi) que nous ayons ENFIN ce débat là.

C'est d'ailleurs ce que disent @Calimaq et La Quadrature quand ils rappellent qu'il est PLUTÔT BON que ces mastodontes ne bénéficient plus de l'exception totale de responsabilité des contenus. Et j'en suis bien d'accord. Mais ça s'arrête là !

Je me doute bien que ça ne fait pas très plaisir aux GAFAM de se retrouver avec une responsabilité potentielle, mais ne nous leurrons pas : tout ça n'est rien d'autre que la mise en place d'un rapport de forces entre l'UE et Google/Facebook et al. pour que la première puisse mieux négocier ensuite avec les seconds le type de filtrage qu'il faudra mettre en place.

L'UE a intériorisé le fait que presque rien n'existe qui ne passe par la poignée de « géants du Net » et que c'est donc là, et nulle part ailleurs, que le pouvoir peut s'exercer. L'Internet décentralisé, tel que « nous » le souhaitons, n'est pas contrôlable. L'Internet des GAFAM l'est, et c'est exactement ce que souhaitent les États, ne soyons pas naïfs. Google, selon cette étude est le plus grand bénéficiaire du RGPD. Probablement pas par hasard.

Pour prendre l'exemple français : imposer l'exception culturelle telle que voulue par nos très chers ayant-tous-les-droits nécessite que les contenus soient « optimisés » pour afficher un certain pourcentage « d’œuvres » françaises. Permettre à une nouvelle HADOPI d'empêcher efficacement le streaming illicite des évènements sportifs suppose que le nombre de services de streaming soit limité à quelques géants. Montrer ses muscles avant les prochaines élections européennes - pour tenter d'éviter qu'une certaine droite ne remporte trop de sièges - nécessite qu'on impose (très bientôt) la censure « en moins d'une heure » des contenus terroristes. Ce que seuls quelques géants ont la capacité de faire.

Les autres, non seulement « les petits » mais aussi tous ceux qui n'ont pas la censure pour modèle économique, risquent de se retrouver de facto hors la loi et de disparaître ? Oui, et c'est pas pire, pour un pouvoir qui souhaite le retour à un réseau hypercentralisé qu'il pourra mieux contrôler.

Notre pays a l'habitude des réseaux très centralisés dans lesquels l'État dispose du pouvoir d'imposer ses volontés et d'empêcher tout ou partie de l'expression publique citoyenne. C'est nous qui avons inventé le Minitel. Cocorico.

Allez, encore un mot sur le RGPD et la centralisation et je te laisse retourner faire la sieste.

Le RGPD (et la loi Lemaire avant lui) a inventé un « droit à la portabilité des données ». Haha.

Tu sais : le truc qui va te permettre d'exporter tes données personnelles depuis Facebook vers... euh. Ah. Merde.

Ah si : tu vas pouvoir exporter tes contacts et ta mailbox Gmail chez un autre fournisseur d'email. Oui, tu pouvais déjà, mais maintenant c'est un droit ! Donc c'est cool. Wait.

Il y a plus d'un milliard d'utilisateurs de Gmail, largement contraints souvent parce qu'il faut une adresse Gmail pour activer un téléphone Android. Google s'en fiche bien si quelques dizaines de millions vont voir ailleurs : ceux-là continueront forcément à échanger avec la très grande majorité qui sera restée. Et donc à fournir des données à Google. Or c'est de données que se nourrit Google, pas d'utilisateurs. Google s'en cogne, que tu « portes tes données » ailleurs, soyons sérieux.

Les GAFAM s'en cognent même tellement qu'ils sont en train de finaliser un joli logiciel libre qui va permettre à tout le monde de porter ses données personnelles chez un autre géant que le géant précédent.

TROP BIEN.

Pendant ce temps Facebook empêche les clients tiers d’accéder à tes messages persos et Twitter change son API pour limiter la possibilité d'afficher des flux sans publicité. Tu peux porter des données ailleurs, ça ils s'en foutent (et d'ailleurs, où ?), mais tu dois garder ton attention sur ce qui compte vraiment : la pub. Et la pub ne s'affiche que si tu restes dans l'écosystème hégémonique qu'elle impose au Web et qui arrange bien nos gouvernements.

C'est pour ça que la position de la Quadrature sur la décentralisation est FONDAMENTALE. C'est pour ça qu'en affirmant qu'on peut s'appuyer sur l'article 13 pour développer des services décentralisés, la Quadrature est bien dans son rôle de protection des libertés.

C'est pour ça qu'il faut DÉFONCER cette notion de « droit à la portabilité des données » et la remplacer dans tous nos combats par un « droit à l'accessibilité des données ». Imposer que NOS données puissent être lues par NOUS avec l'outil qu'on choisit, quel qu'il soit, où que ces données soient stockées. Même si c'est chez Facebook.

Ça ne changera rien, ou pas grand chose, au modèle économique dominant, mais ça permettra à tous ceux qui souhaitent en sortir de le faire sans laisser leurs amis derrière eux. C'est, peu ou prou, le modèle d'ActivityPub, par exemple, mais nous devons étendre ce modèle à TOUTES nos données personnelles, y compris passées, pour que puisse se développer une autre économie du Web qui prenne en compte l'existant.

Je ne crois pas aux ruptures. Les humains sont beaucoup trop flemmards pour ça.

Imposer l'accès aux données personnelles c'est la garantie qu'un Internet décentralisé continuera à exister, même si c'est en parallèle de l'autre. Et tant pis. Et tant mieux, même : c'est justement parce que cette idée ne détruit pas le modèle économique des GAFAM qu'il a une (toute petite) chance d'être soutenu par le politique. Restons pragmatiques. On démolira l'existant seulement quand on aura construit le remplaçant.

Et je ne dis pas ça parce que j'en ai besoin pour Caliopen.

En tous cas pas que.

]]>
17 octobre 2018 - Pour avancer encore dans nos discussions sur le statut des hébergeurs et la régulation d'Internet, nous partageons aujourd'hui une tribune de Laurent Chemla, membre de La Quadrature du Net.

Avec les communiqués de La Quadrature du Net autour de la Directive Droit d'Auteur et les différentes réactions et tribunes qu'ils ont suscité, pas mal de choses ont été dites, critiquées, expliquées et décortiquées.

Quelques points pourtant sont restés à mon sens trop peu développés.

Mais, first thing first, je voudrais d'abord expliquer ma propre position sur le sujet du fameux « statut intermédiaire » entre éditeur et hébergeur, que La Quadrature a très finement choisi de nommer « afficheur ». Et pour ça je vais devoir vous raconter ma vie (comme d'habitude, oui).

Je te préviens c'est long et chiant. Tu peux retourner sur Twitter tout de suite.

C'était en 1997, je crois, que ce thème a été abordé pour la première fois. J'étais à l'époque vice-président d'un des ancêtres de LQDN : l'Association des Utilisateurs d'Internet (AUI). L'AUI avait, assez naïvement, déjà classé les intermédiaires techniques en trois catégories : FAI, FSI et FHI. Respectivement : fournisseur d'accès, de services, et d'hébergement. Le FAI a des obligations (couverture du territoire, neutralité), le FSI a des contrats (c'est un simple commerçant), et le FHI est transparent (il n'a aucun rôle éditorial et en contrepartie aucune responsabilité équivalente à ce que la loi de 1881 sur la Presse impose aux divers intermédiaires de la chaîne de responsabilité éditoriale).

La case « fournisseur de services » (puisque c'est surtout d'elle qu'il s'agit) était, à l'époque, pensée comme regroupant votre serveur de mail, votre vendeur de nom de domaine, ce genre de bidules techniques qui ne relève clairement ni de l'accès ni de l'hébergement proprement dit. Tout ce qui n'est ni fournisseur d'accès ni totalement transparent tombait dans ce statut.

Une autre façon de présenter les choses serait de définir l'accès comme la fourniture des droits fondamentaux à l'expression et à l'information, et l'hébergement comme le moyen de ces mêmes droits fondamentaux. Un peu comme un parallèle à l'enseignement de la lecture et à la Presse. Et ce qui ne relève ni de l'accès ni du moyen tombe dans le simple commerce.

Il peut sembler évident que, de ce point de vue, un intermédiaire qui - de facto - choisit ce qu'il diffuse ou non (parce qu'il hiérarchise les contenus de ses utilisateurs au point d'en faire disparaître certains, par exemple), n'étant pas « transparent », tombe dans cette case. En tous cas, à l'époque, ça semblait suffisamment évident à certains pour me démissionner de l'AUI au prétexte que je ne considérais pas que les choses étaient aussi simples.

Ma position (qui n'a que peu varié depuis) était que, d'une part, la totale déresponsabilisation des hébergeurs conduirait inévitablement à des services spécialisés dans la diffusion de la haine (« Mais oh la la c'est pas ma faute si tous les haineux m'ont choisi comme hébergeur M. le juge : je suis totalement transparent moi », toute ressemblance avec le 18-25 d'une certaine période étant fortuite), et que d'autre part en tant que petit hébergeur (j'étais petit hébergeur à cette époque) j'aurais bien du mal à dormir en sachant que mes machines servaient à diffuser de la haine sans que je n'y puisse rien (« transparence » oblige).

Forcément, ce type d'idée ne facilite pas les convictions tranchées, bien binaires comme il faut.

Pour me sortir de ce qui ressemblait à une contradiction (défendre la liberté d'expression mais rester quand même un citoyen « non transparent »), j'ai fini par développer une position, sinon intermédiaire, au moins un peu plus complexe que le « tout ou rien » : dans ma vision l'hébergeur était un « fournisseur de liberté d'expression », un statut spécial, une sorte de « reconnaissance d'utilité publique » si vous voulez.

En tant que tel il devenait irresponsable des contenus hébergés, MAIS il s'engageait à ne pas intervenir sur ces contenus SAUF à en répondre SYSTÉMATIQUEMENT devant la justice.

Si jamais je tombais sur un site négationniste parmi ceux que j'hébergeais, et que j'en coupais l'accès, je risquais d'être condamné pour ça, et ça m'allait très bien : de la même manière que j'engage ma responsabilité pénale si je cogne sur le type qui essaie de voler le sac d'une vieille dame dans la rue, je laissais à la justice - saisie automatiquement - la décision de dire si j'avais agi à raison ou non.

Pour résumer, j'avais développé un cadre contractuel en parallèle, que l'hébergeur se devait de respecter pour bénéficier de ce statut (mais je préfère rester hahaha bref).

C'est là que nos chers juristes m'ont expliqué que « c'est pas con mais c'est pas possible : y'a pas de qualification pénale pour censure abusive dans notre droit ».

What ?

Eh bah oui : si c'est l'État qui censure la Presse ou les Syndicats, il existe un article de loi pour porter plainte. Mais si c'est un commerçant qui censure un particulier, y'a pas. Et c'est logique, puisqu'à l'époque où ces textes ont été écrits, personne ne pensait qu'un jour le simple citoyen aurait accès à l'expression publique. Oui, ok, c'est un droit constitutionnel, carrément un « Droit de l'Homme » même, mais celui-là n'est pas protégé par la loi. Voilà.

Et il ne l'est toujours pas, 20 ans plus tard.

Bon j'avoue qu'à ce stade des débats les choses se sont un peu compliquées et que - je résume, je t'ai dit ! - je me suis fait démissionner de l'association pour cause d'hérésie. Et j'ai un peu lâché l'affaire.

Pendant 20 ans, ouais.

Retour au temps présent. Il ne t'aura pas échappé que ma vision du passé n'est pas exactement celle qui est aujourd'hui défendue par La Quadrature. Déjà parce que c'est pas moi qui décide de la position de La Quadrature. Mais surtout parce qu'Internet n'est pas TOUT À FAIT le même qu'il y a 20 ans : l'avènement du « Web 2.0 » a changé la nature de l'hébergement, en créant des services réunissant sur la même « page » les publications d'une foule de différents acteurs. Benjamin l'explique très bien dans sa tribune.

Mais ce qui compte, pour moi, et mon histoire passée l'explique sans doute, c'est qu'on débatte ENFIN de ça : oui, ok, bien sûr, il ne faut pas qu'un hébergeur soit responsable des contenus publiés par ses utilisateurs. Parce que s'il l'est, il sera obligé de sélectionner ces contenus. Et que donc - toutes choses étant égales par ailleurs - toute opinion un peu divergente de celle de ceux qui font la loi sera petit à petit supprimée de l'espace public. C'est comme ça.

MAIS - et c'est un PUTAIN DE GROS MAIS - il doit avoir, en contrepartie, un devoir de neutralité. Parce que s'il n'est pas responsable, alors en échange IL NE DOIT PAS CENSURER. Rien. Jamais. Sauf à en assumer la responsabilité. Et oui, je considère que trier les documents, si ça conduit à toujours rendre invisibles les mêmes, c'est encore de la censure.

Ça se discute ? Discutons-en.

Et oui, la Quadrature défend l'idée que - s'il fait le choix de censurer - alors il ne passe pas devant un tribunal pour ça (rappel : y'a pas de loi qui le permette) mais il perd sa qualité d'hébergeur et [re]devient un simple intermédiaire, qualifié d'afficheur pourquoi pas. Un FSI au sens antique de l'AUI. C'est son contrat qui prévaut dans ses rapports avec ses utilisateurs MAIS il perd - au moins en partie - son irresponsabilité totale.

Ça se discute ? Discutons-en.

Et oui, la Quadrature propose que ce statut intermédiaire « d'afficheur » ne s'applique qu'à certaines conditions (de taille, de position hégémonique, de pouvoir...) et DONC que certains puissent conserver le statut d'hébergeur tout en choisissant des règles de modération autres que strictement neutres.

Ça se discute ? Discutons-en.

Par exemple, je suis personnellement favorable à ce qu'une des conditions pour passer du statut d'hébergeur à celui d'afficheur soit le choix du modèle économique : le tien est basé sur l'exploitation commerciale des données personnelles de tes utilisateurs ? Ok, t'es afficheur, pas hébergeur.

Parce que oui, le modèle économique, ça compte aussi ! Parce que quand ton revenu dépend de la publicité, alors FORCÉMENT tu as intérêt à ne pas fâcher tes clients (les publicitaires, donc), et FORCÉMENT tu vas avoir envie de privilégier certains contenus à même de retenir l'attention de leurs cibles, et FORCÉMENT tu vas être poussé à ne pas mélanger leurs publicités à des contenus, disons, discutables.

Et donc, FORCÉMENT, tu n'es plus neutre (et si tu essaies quand même de l'être, ce qui est le cas de mes amis de Qwant par exemple, tu te retrouves à lutter contre la puissance économique de ceux qui - n'ayant pas plus d'obligations que toi tout en n'ayant pas la même éthique que toi - ont mille fois plus de clients potentiels que toi. Bon courage).

Accessoirement, je préfère aussi le rappeler, le modèle « publicité contre gratuité » nous conduit aussi irrémédiablement dans le mur de la minitelisation du Web que le modèle capitaliste nous conduit dans le mur de la disparition du vivant (je résume, je te l'ai déjà dit). Parce que pour vendre plus de pub - ou pour la vendre plus cher - tu vas devoir avoir plus d'utilisateurs, tout simplement. Ce qui conduit très logiquement à voir apparaître des géants hégémoniques et à la disparition, par asphyxie économique, des plus petits. Et donc à un pouvoir démesuré sur la liberté d'expression pour ceux qui restent. C'est le modèle qui veut ça.

Bref. Tout ça se discute. Alors discutons-en.

Sans anathème, de préférence : j'ai déjà vécu ça et ça ne m'a pas plu des masses.

On peut discuter. On doit discuter. J'ai mes limites, bien sûr : pour moi il n'existe pas de liberté sans responsabilité donc, pour moi, celui qui prend la liberté de censurer ce qui lui déplaît prend en partie la responsabilité de ce qu'il diffuse. C'est un principe, mais il se discute, il s'amende, il prend en compte la réalité. Sans insultes et sans parti-pris : si je n'entends pas d'arguments pour me faire changer d'avis, la discussion va vite s'arrêter là.

Bref.

J'ai pas fini.

Ne t'y trompes pas, ami lecteur masochiste qui a tenu jusque-là : même s'ils semblent aller dans mon sens, quand les pouvoirs en place votent l'article 13 de la directive Copyright, ou même le RGPD, ils ne sont pas mes amis. Du tout. Parce qu'ils favorisent ceux qu'ils disent combattre.

L'obligation de filtrage automatisé imposée par l'article 13 ne dérange EN RIEN les GAFAM : elle ne fait qu'avaliser une pratique déjà en place et VOULUE par ces mêmes GAFAM, puisque c'est à la base même de leur modèle économique (filtrer pour mieux attirer la cible des publicitaires et garantir un environnement « sain »). Son seul aspect positif (et encore : mon petit doigt m'a dit qu'on risquait gros pendant le trilogue en cours), c'est qu'il introduit une distinction entre hébergeur et intermédiaire pratiquant « l'optimisation des contenus », ce qui permet l'excellente chose (selon moi) que nous ayons ENFIN ce débat là.

C'est d'ailleurs ce que disent @Calimaq et La Quadrature quand ils rappellent qu'il est PLUTÔT BON que ces mastodontes ne bénéficient plus de l'exception totale de responsabilité des contenus. Et j'en suis bien d'accord. Mais ça s'arrête là !

Je me doute bien que ça ne fait pas très plaisir aux GAFAM de se retrouver avec une responsabilité potentielle, mais ne nous leurrons pas : tout ça n'est rien d'autre que la mise en place d'un rapport de forces entre l'UE et Google/Facebook et al. pour que la première puisse mieux négocier ensuite avec les seconds le type de filtrage qu'il faudra mettre en place.

L'UE a intériorisé le fait que presque rien n'existe qui ne passe par la poignée de « géants du Net » et que c'est donc là, et nulle part ailleurs, que le pouvoir peut s'exercer. L'Internet décentralisé, tel que « nous » le souhaitons, n'est pas contrôlable. L'Internet des GAFAM l'est, et c'est exactement ce que souhaitent les États, ne soyons pas naïfs. Google, selon cette étude est le plus grand bénéficiaire du RGPD. Probablement pas par hasard.

Pour prendre l'exemple français : imposer l'exception culturelle telle que voulue par nos très chers ayant-tous-les-droits nécessite que les contenus soient « optimisés » pour afficher un certain pourcentage « d’œuvres » françaises. Permettre à une nouvelle HADOPI d'empêcher efficacement le streaming illicite des évènements sportifs suppose que le nombre de services de streaming soit limité à quelques géants. Montrer ses muscles avant les prochaines élections européennes - pour tenter d'éviter qu'une certaine droite ne remporte trop de sièges - nécessite qu'on impose (très bientôt) la censure « en moins d'une heure » des contenus terroristes. Ce que seuls quelques géants ont la capacité de faire.

Les autres, non seulement « les petits » mais aussi tous ceux qui n'ont pas la censure pour modèle économique, risquent de se retrouver de facto hors la loi et de disparaître ? Oui, et c'est pas pire, pour un pouvoir qui souhaite le retour à un réseau hypercentralisé qu'il pourra mieux contrôler.

Notre pays a l'habitude des réseaux très centralisés dans lesquels l'État dispose du pouvoir d'imposer ses volontés et d'empêcher tout ou partie de l'expression publique citoyenne. C'est nous qui avons inventé le Minitel. Cocorico.

Allez, encore un mot sur le RGPD et la centralisation et je te laisse retourner faire la sieste.

Le RGPD (et la loi Lemaire avant lui) a inventé un « droit à la portabilité des données ». Haha.

Tu sais : le truc qui va te permettre d'exporter tes données personnelles depuis Facebook vers... euh. Ah. Merde.

Ah si : tu vas pouvoir exporter tes contacts et ta mailbox Gmail chez un autre fournisseur d'email. Oui, tu pouvais déjà, mais maintenant c'est un droit ! Donc c'est cool. Wait.

Il y a plus d'un milliard d'utilisateurs de Gmail, largement contraints souvent parce qu'il faut une adresse Gmail pour activer un téléphone Android. Google s'en fiche bien si quelques dizaines de millions vont voir ailleurs : ceux-là continueront forcément à échanger avec la très grande majorité qui sera restée. Et donc à fournir des données à Google. Or c'est de données que se nourrit Google, pas d'utilisateurs. Google s'en cogne, que tu « portes tes données » ailleurs, soyons sérieux.

Les GAFAM s'en cognent même tellement qu'ils sont en train de finaliser un joli logiciel libre qui va permettre à tout le monde de porter ses données personnelles chez un autre géant que le géant précédent.

TROP BIEN.

Pendant ce temps Facebook empêche les clients tiers d’accéder à tes messages persos et Twitter change son API pour limiter la possibilité d'afficher des flux sans publicité. Tu peux porter des données ailleurs, ça ils s'en foutent (et d'ailleurs, où ?), mais tu dois garder ton attention sur ce qui compte vraiment : la pub. Et la pub ne s'affiche que si tu restes dans l'écosystème hégémonique qu'elle impose au Web et qui arrange bien nos gouvernements.

C'est pour ça que la position de la Quadrature sur la décentralisation est FONDAMENTALE. C'est pour ça qu'en affirmant qu'on peut s'appuyer sur l'article 13 pour développer des services décentralisés, la Quadrature est bien dans son rôle de protection des libertés.

C'est pour ça qu'il faut DÉFONCER cette notion de « droit à la portabilité des données » et la remplacer dans tous nos combats par un « droit à l'accessibilité des données ». Imposer que NOS données puissent être lues par NOUS avec l'outil qu'on choisit, quel qu'il soit, où que ces données soient stockées. Même si c'est chez Facebook.

Ça ne changera rien, ou pas grand chose, au modèle économique dominant, mais ça permettra à tous ceux qui souhaitent en sortir de le faire sans laisser leurs amis derrière eux. C'est, peu ou prou, le modèle d'ActivityPub, par exemple, mais nous devons étendre ce modèle à TOUTES nos données personnelles, y compris passées, pour que puisse se développer une autre économie du Web qui prenne en compte l'existant.

Je ne crois pas aux ruptures. Les humains sont beaucoup trop flemmards pour ça.

Imposer l'accès aux données personnelles c'est la garantie qu'un Internet décentralisé continuera à exister, même si c'est en parallèle de l'autre. Et tant pis. Et tant mieux, même : c'est justement parce que cette idée ne détruit pas le modèle économique des GAFAM qu'il a une (toute petite) chance d'être soutenu par le politique. Restons pragmatiques. On démolira l'existant seulement quand on aura construit le remplaçant.

Et je ne dis pas ça parce que j'en ai besoin pour Caliopen.

En tous cas pas que.

]]>
Nos plaintes contres les GAFAM avancent !10636 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181010_164424_Nos_plaintes_contres_les_GAFAM_avancent__Wed, 10 Oct 2018 14:44:24 +000010 octobre 2018 - Nous venons de recevoir des nouvelles de la CNIL au sujet de nos plaintes collectives, engagées en mai 2018 contre Google, Apple, Facebook, Amazon et Microsoft. Ces nouvelles sont encourageantes.

Les plaintes contre Apple, Facebook et Microsoft ont été transmises à l'autorité irlandaise de protection des données, qui a commencé l'instruction des dossiers. Pourquoi est-ce l'autorité irlandaise qui instruira nos plaintes, plutôt que la CNIL française, à qui nos plaintes étaient destinées ?

Comme nous le rappelions déjà en mai dernier, le RGPD a posé un nouveau cadre de coopération entre les différentes « CNIL » européennes : si une entreprise collecte des données dans plusieurs pays européens, les CNIL de tous ces pays doivent collaborer pour contrôler cette entreprise. La CNIL de l'État où l'entreprise a le « centre de ses activités » dans l'Union européenne est désignée « autorité chef de file ». Cette autorité chef de file est chargée de conduire l'instruction et d'animer la coopération entre les autorités. C'est en Irlande que Apple, Facebook et Microsoft ont le centre de leurs activités européennes. La CNIL irlandaise est donc l'autorité chef de file pour instruire nos plaintes.

S'agissant d'Amazon, la plainte a été transmise à l'autorité du Luxembourg - puisque, cette fois-ci, c'est dans ce pays qu'Amazon a le centre de ses activités au sein de l'Union.

Enfin, qu'en est-il de Google ? C'est ici que la situation devient la plus intéressante.

Le RGPD prévoit une exception au mécanisme de « l'autorité chef de file ». Si une entreprise n'a pas « d'établissement principal » au sein de l'Union, mais agit principalement depuis l'étranger, la CNIL de n'importe quel État peut la contrôler (voir les lignes directrices WP244, page 11, du G291).

C'est cette exception que la CNIL française a retenue s'agissant de Google : l'entreprise ne dispose dans l'Union d'aucun « établissement principal » qui dirigerait les activités que nous dénonçons comme contraires au RGPD. Concrètement, la CNIL considère que le siège de Google à Dublin ne prend pas de décisions importantes dans notre affaire et ne doit donc pas être pris en considération.

Ainsi, la CNIL française se reconnaît compétente pour instruire directement notre plainte contre Google (et pour, en fin de course, prononcer sa sanction). Toutefois, elle nous indique qu'elle compte conduire ce dossier en coopération avec les autres CNIL, avec lesquelles elle aurait commencé à travailler lors de leur dernière réunion européenne du 25 et 26 septembre. C'est une bonne chose.

Dans l'ensemble, la situation est des plus encourageantes : nos plaintes avancent concrètement et celle contre Google reste dans les mains d'une autorité dont les dernières décisions ont toutes imposé strictement la notion de « consentement libre », qui est au cœur de nos actions.

Nous vous garderons informés des prochains avancements sur ces dossiers.

En attendant, nous vous rappelons que nos plaintes sont libres de droit (disponibles ici) : n'hésitez pas à en reprendre les arguments (ils ont été pensés pour être faciles à reprendre) afin de rédiger des plaintes individuelles ou collectives contre d'autres entreprises - qui ne manquent pas pour violer le RGPD.

  • 1. Le G29 était l'organisation créée en 1995 pour regrouper les CNIL de tous les États de l'Union européenne et dégager des positions communes. Le RGPD a transformé le G29 en un nouveau « Comité Européen de la Protection des Données », qui reprend la même mission et organisation mais se voit désormais confier des pouvoirs de décisions dans le cadre de la nouvelle coopération entre les différentes CNIL
]]>
10 octobre 2018 - Nous venons de recevoir des nouvelles de la CNIL au sujet de nos plaintes collectives, engagées en mai 2018 contre Google, Apple, Facebook, Amazon et Microsoft. Ces nouvelles sont encourageantes.

Les plaintes contre Apple, Facebook et Microsoft ont été transmises à l'autorité irlandaise de protection des données, qui a commencé l'instruction des dossiers. Pourquoi est-ce l'autorité irlandaise qui instruira nos plaintes, plutôt que la CNIL française, à qui nos plaintes étaient destinées ?

Comme nous le rappelions déjà en mai dernier, le RGPD a posé un nouveau cadre de coopération entre les différentes « CNIL » européennes : si une entreprise collecte des données dans plusieurs pays européens, les CNIL de tous ces pays doivent collaborer pour contrôler cette entreprise. La CNIL de l'État où l'entreprise a le « centre de ses activités » dans l'Union européenne est désignée « autorité chef de file ». Cette autorité chef de file est chargée de conduire l'instruction et d'animer la coopération entre les autorités. C'est en Irlande que Apple, Facebook et Microsoft ont le centre de leurs activités européennes. La CNIL irlandaise est donc l'autorité chef de file pour instruire nos plaintes.

S'agissant d'Amazon, la plainte a été transmise à l'autorité du Luxembourg - puisque, cette fois-ci, c'est dans ce pays qu'Amazon a le centre de ses activités au sein de l'Union.

Enfin, qu'en est-il de Google ? C'est ici que la situation devient la plus intéressante.

Le RGPD prévoit une exception au mécanisme de « l'autorité chef de file ». Si une entreprise n'a pas « d'établissement principal » au sein de l'Union, mais agit principalement depuis l'étranger, la CNIL de n'importe quel État peut la contrôler (voir les lignes directrices WP244, page 11, du G291).

C'est cette exception que la CNIL française a retenue s'agissant de Google : l'entreprise ne dispose dans l'Union d'aucun « établissement principal » qui dirigerait les activités que nous dénonçons comme contraires au RGPD. Concrètement, la CNIL considère que le siège de Google à Dublin ne prend pas de décisions importantes dans notre affaire et ne doit donc pas être pris en considération.

Ainsi, la CNIL française se reconnaît compétente pour instruire directement notre plainte contre Google (et pour, en fin de course, prononcer sa sanction). Toutefois, elle nous indique qu'elle compte conduire ce dossier en coopération avec les autres CNIL, avec lesquelles elle aurait commencé à travailler lors de leur dernière réunion européenne du 25 et 26 septembre. C'est une bonne chose.

Dans l'ensemble, la situation est des plus encourageantes : nos plaintes avancent concrètement et celle contre Google reste dans les mains d'une autorité dont les dernières décisions ont toutes imposé strictement la notion de « consentement libre », qui est au cœur de nos actions.

Nous vous garderons informés des prochains avancements sur ces dossiers.

En attendant, nous vous rappelons que nos plaintes sont libres de droit (disponibles ici) : n'hésitez pas à en reprendre les arguments (ils ont été pensés pour être faciles à reprendre) afin de rédiger des plaintes individuelles ou collectives contre d'autres entreprises - qui ne manquent pas pour violer le RGPD.

  • 1. Le G29 était l'organisation créée en 1995 pour regrouper les CNIL de tous les États de l'Union européenne et dégager des positions communes. Le RGPD a transformé le G29 en un nouveau « Comité Européen de la Protection des Données », qui reprend la même mission et organisation mais se voit désormais confier des pouvoirs de décisions dans le cadre de la nouvelle coopération entre les différentes CNIL
]]>
Intermédiaires techniques : un éléphant, ce n'est pas une souris en plus gros10635 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181010_122055_Intermediaires_techniques___un_elephant__ce_n_est_pas_une_souris_en_plus_grosWed, 10 Oct 2018 10:20:55 +000010 octobre 2018 - Nous partageons la tribune de Benjamin Bayart, publiée aujourd'hui sur son blog et poursuivant nos discussions sur le statut des hébergeurs (relire notre article sur la décentralisation, la tribune de Calimaq et celle d'Arthur).

C'est un débat ancien autour des libertés numériques, que de délimiter la responsabilité des intermédiaires techniques. Pour essayer de raconter ça, il faut que je fasse appel à des notions assez nombreuses, et parfois peu habituelles dans le domaine. Après un petit rappel des positions historiques, sur les notions d'éditeur et d'hébergeur, je vais poser quelques notions venues d'autres domaines, ou de phénomènes plus récents. Le but est d'essayer de proposer une grille de lecture différente : un troisième statut, quelque part entre éditeur et hébergeur, et les conséquences que ça porte.

On peut arriver à la même conclusion (ce troisième statut) par d'autres arguments, dont je n'ai pas besoin pour articuler mon raisonnement. J'ai regroupé ces arguments, pour au moins les citer, qu'ils ne donnent pas l'impression d'avoir été oublié.

Tout ça est le fruit de beaucoup de discussions. L'idée de quelque chose entre éditeur et hébergeur est sortie de discussions ces 3-4 dernières années à la quadrature. La façon dont j'articule entre eux ces différents éléments est le fruit de mon expérience personnelle, le mélange des réflexions de plusieurs collectifs.

Contexte historique

On peut faire remonter la question, en France, à l'affaire "Estelle Hallyday contre Altern". Ce n'est pas la première fois que la question se posait, mais c'est celle qui a marqué les esprits.

Altern était un hébergeur associatif, articulé avec une TPE (la TPE permettait au mec de manger, l'association hébergeait gratuitement). Près de 50.000 sites perso étaient hébergés chez Altern. On situe mal, mais 50.000 sites, à la fin des années 90, c'est un morceau colossal du web en France. Et toutes ces pages sont hébergées gratuitement, sans pub, sans contre-partie, par une association.

Des photos dénudées d'Estelle Hallyday avaient été publiées dans la presse. Un petit malin les a scannées et mises en ligne sur son site. La dame a porté plainte... contre l'hébergeur. À aucun moment la police ou la justice ne se sont intéressées à savoir qui était derrière le site, le nom de l'hébergeur leur suffisait bien. Il a été très lourdement condamné, une somme déraisonnable qui a forcé à fermer le volet associatif d'Altern : le risque était devenu trop grand. Une FAQ de 1999 sur l'affaire redonne les éléments clefs de la discussion de l'époque.

C'est cette histoire qui a été utilisée pour expliquer aux députés et sénateurs de l'époque que nous avions un problème dans le numérique. On se trompait de responsable devant la justice dans les affaires de presse (diffamation, injure, atteinte à la vie privée, etc). Le législateur français a mis très longtemps à converger vers une solution acceptable. C'est autour de 2004 que le débat arrive à la bonne conclusion.

Position définie par la LCEN

La LCEN organise en 2004 la responsabilité entre trois types d'acteurs1. Les fournisseurs d'accès et opérateurs réseaux, qui transportent l'information, les hébergeurs qui stockent l'information, et les éditeurs qui publient le contenu. Les éditeurs sont responsables de ce qui est publié, et assument les propos de l'auteur, en particulier dans les affaires dites de presse (diffamation, injure, publication d'informations portant atteinte à la vie privée des gens, etc). Les hébergeurs, quant à eux, ne sont pas responsables de ce qui est publié. Il devient obligatoire de faire figurer sur tout site web une indication de qui en est l'éditeur.

Le droit européen est articulé peu ou prou de la même manière. Les opérateurs du réseau doivent se comporter comme un "mere conduit", c'est-à-dire comme un simple/pur tuyau. Ils transportent les données sans tenir compte du contenu, et donc ne peuvent être responsable de ce qui se passe sur le réseau. De mémoire cette première notion, bien plus ancienne que celle de la neutralité du net, se trouve dans des directives de 2000 sur le commerce électronique.

Dans le web de la fin des années 90, et jusqu'à la fin des années 2000, ces notions suffisent à lire le monde. Si je prend des exemples actuels que tout le monde peut comprendre, OVH est un hébergeur, l'éditeur du site https://lefigaro.fr est le journal du même nom, et FDN ou Orange, quand ils vous permettent d'accéder au contenu mis en ligne par ce site web ne sont pas responsables si un de ces contenus est illégal. Et ce, que cette illégalité soit un délit de presse ou un autre délit (par exemple, la publication sans autorisation d'un contenu soumis au droit d'auteur, une des variantes de ce que la loi nomme contrefaçon, même si le terme semble bien impropre2).

La jurisprudence est venue apporter des nuances, parfois intéressantes, parfois idiotes. Dans les jurisprudences intéressantes : en 2010 Tiscali, qui hébergeait les pages perso de ses abonnés, et aurait à ce titre dû être considéré comme hébergeur, s'est vu requalifier par la Cour de cassation en éditeur parce qu'elle ajoutait de la publicité dans ces pages. Le juge a estimé que modifier le contenu, avec des visées lucratives, en faisait un éditeur et pas un simple hébergeur.

Par ailleurs, la LCEN prévoit que quand l'hébergeur a connaissance d'un contenu illicite, il doit le retirer rapidement. Le Conseil Constitutionnel, qui avait été saisi de la LCEN, avait bien précisé que ça ne pouvait être applicable que pour les contenus manifestement illicites (ergo, dans la pensée de l'époque, les contenus manifestement pédo-pornographiques et/ou manifestement néo-nazis). Les jurisprudences diverses, en France et en Europe, sont venues affaiblir cette décision du Conseil Constitutionnel. On considère de nos jours que quasiment toutes les illégalités sont manifestes3.

Évolution du paysage

Le développement de ce que les startupeurs digitaux appellent le Web 2.0 vient un peu compliquer l'affaire, mais à peine. Le Web 2.0, c'est le fait qu'une plateforme est mise à disposition du public, et que c'est le public qui produit le contenu. Par exemple les commentaires organisés en forum de discussion sous un article d'actualité. Par exemple les forums de chat fournis par tel ou tel site web pour la communauté de ses habitués. Par exemple Facebook au tout début.

L'analyse reste sensiblement la même. L'utilisateur est auteur-éditeur du message qu'il publie, de la page qui regroupe ses messages. Et la plateforme est analysée comme un hébergeur, qui se contente d'afficher au lecteur les messages regroupés comme le lecteur le lui a demandé, c'est-à-dire dans l'ordre chronologique des publications de chacun des utilisateurs dont il suit le fil de publication. C'est assez assimilable dans la théorie, à ce que fait un agrégateur de flux RSS, pour les gens qui voient ce que c'est.

Mais la pratique change. Ces grandes plateformes interviennent le plus en plus dans le flux des informations. Elles hiérarchisent l'information, selon des critères qui n'appartiennent qu'à elles. Strictement, elles hébergent un contenu qu'elles n'ont pas produit, le plus souvent, mais choisissent l'ordre d'affichage, et même si un contenu sera affiché ou non pour un lecteur donné. Plus elles interviennent dans l'affichage des contenus, moins leur rôle d'hébergeur passif semble adapté.

Responsabilité du fait d'autrui

Le principe de droit sous-jacent à une bonne part du débat est le fait que nul ne peut être tenu responsable du fait d'autrui. Si j'écris sur mon mur Facebook des choses contraires à la loi, il est légitime que j'en sois tenu responsable, et qu'on n'aille pas en faire reproche à quelqu'un d'autre (genre Facebook, qui a permis la diffusion de mon message, mon FAI qui m'a permis de publier, ton FAI qui t'a permis de le lire, le fabriquant de ton écran qui a permis l'affichage, ton marchand de lunettes qui t'a permis de lire malgré ta myopie, etc).

Tenir Facebook pour responsable de ce qu'écrivent les gens, c'est pas bon. Mais prétendre que Facebook ne fait rien et donc n'est responsable de rien, c'est pas bon non plus, parce que ce n'est pas vrai. On voit bien que quelque chose cloche ici. Il nous manque une notion, qui décrive ce que fait Facebook. Quand nous travaillons sur ces sujets, à La Quadrature, le mot que nous utilisons, c'est "afficheur". Facebook serait un afficheur, et en tant qu'afficheur il n'est pas neutre. C'est un intermédiaire technique qui n'est pas neutre dans l'exécution de son rôle, il doit donc logiquement assumer la responsabilité de ce qui découle de cette non-neutralité.

La neutralité du net

Les débats sur la neutralité du net sont pour moi, en dernière analyse, des débats sur un intermédiaire technique particulier, le fournisseur d'accès à Internet (et plus généralement, l'opérateur réseau).

Cet intermédiaire technique est tout-puissant. Il peut tout. Il peut m'empêcher d'accéder à un contenu, il peut ralentir l'accès à un service jusqu'à le rendre pénible à utiliser, il peut dégrader un service (perdre un paquet sur dix dans le flux d'une discussion audio la rend extrêmement pénible par exemple). Il peut surveiller à peu près la totalité de ce que je fais.

Du point de vue de l'abonné, il est tout-puissant, et incontournable : les gens n'ont qu'un seul accès à Internet chez eux, ils ne jonglent pas entre 5 abonnements à Internet à tout moment, utilisant l'abonnement Machin pour accéder à un site et l'abonnement Truc pour accéder à un autre. Les gens normaux (quelques geeks dans mon genre font autrement) ont un seul opérateur pour accéder à Internet et ils espèrent bien accéder à tout Internet, de manière indiscriminée.

Ce que disent les textes sur la neutralité du net peut se résumer assez facilement : en tant qu'intermédiaire technique incontournable, ayant de grands pouvoirs, l'opérateur n'a pas le droit d'utiliser ces grands pouvoirs n'importe comment. En particulier, s'il s'en sert pour (dé)favoriser un contenu, une adresse source, une adresse de destination, un type de service, etc, ça lui sera reproché. S'il sort d'une stricte neutralité d'intermédiaire technique sans raison valable, ça lui sera reproché.

Et les texte européens listent les raisons valables connues : la sécurité du réseau, le bon fonctionnement du réseau, une décision de justice, etc. Un accord commercial avec une plateforme n'est, ainsi, pas une raison valable de prioriser des flux.

Les textes sur la neutralité du net ne parlent pas de la responsabilité éditoriale, bien entendu, mais ils posent des principes de droit qui sont utiles : un intermédiaire technique, quand il sort de la neutralité qu'on attend de lui, prend une responsabilité, il devient responsable de ce qui arrive suite à cette sortie de route.

La transposition à la responsabilité éditoriale est cependant assez simple : quand une plateforme joue un rôle central dans la capacité du public à diffuser de l'information, ou à accéder à l'information, et qu'elle sort de la neutralité technique, alors elle devrait recevoir la responsabilité des effets de cette sortie. Que ce soient des effets économiques (concurrence, distorsion d'un marché, etc) ou des effets sociaux (montée des violences, montée des haines, etc). On ne peut pas jouer un rôle actif dans une position de puissance et dire qu'on n'est pas responsable des effets du rôle qu'on joue.

Un opérateur dominant

Une autre notion intéressante est celle, venue du droit de la concurrence, d'acteur dominant sur un marché. C'est une notion qui s'analyse de manière locale, sur un marché donné. Ainsi si on s'intéresse au marché européen, au marché français, ou au marché d'un bassin de vie, les acteurs dominants identifiés ne sont pas les mêmes.

Certaines pratiques sont interdites pour un ou des acteurs dominants sur un ou des marchés donnés.

Ainsi, un tarif d'éviction. C'est quand un acteur, dominant sur un marché, pratique des prix tellement bas qu'il empêche les autres de s'installer sur ce marché, et donc s'assure la perpétuité de sa position dominante. Ainsi, si autour de chez moi il y a une boulangerie qui a une part tellement forte du marché des croissants qu'on la considère comme un acteur dominant (genre 90% des ventes de croissants du coin). Quand une nouvelle boulangerie ouvre, elle fait une promotion intenable (le croissant à 10 centimes, mettons). On peut analyser ça comme la pratique d'un tarif d'éviction. Dans une boulangerie qui a une petite part de marché, ce serait simplement une promo pour attirer le client. Dans une boulangerie qui détient une part colossale du marché, c'est un tarif destiné à tuer les concurrents et assurer un monopole pour l'opérateur dominant sur le marché une fois que les concurrents auront coulé, auront été évincés (d'où le nom "tarif d'éviction").

Il faut bien analyser ça sur le bon marché. En effet, la position dominante de la boulangerie ne joue pas sur le marché des fruits et légumes, ou ne joue pas sur le marché national des croissants. Elle fait bien 90% dans ma ville, mais un pourcentage infime au niveau national ou européen.

On peut essayer de transposer ces principes dans le cas qui nous intéresse. Les grandes plateformes sont des acteurs dominants sur certains marchés. Traditionnellement, on fait cette analyse sur un vrai marché, commercial. On peut par exemple se demander si Facebook et Google sont des acteurs dominants sur le marché de la publicité en ligne. Mais on peut utiliser cet outil pour penser des choses qui ne sont pas des marchés au sens commercial, et se demander si Facebook et Twitter jouent un rôle central dans la diffusion des contenus publiés par leurs utilisateurs, et si on peut donc leur reprocher les effets de leurs décisions en raison de leur taille. La même décision, de la part d'un acteur hyper minoritaire et n'ayant pas d'influence significative sur le "marché" (ou sur le phénomène social) considéré n'aurait pas la même responsabilité.

La taille est bien un critère pertinent pour juger de la responsabilité des acteurs. Non, un éléphant, ce n'est pas une souris en plus gros.

La censure

Facebook, ou Apple, opèrent une censure. Une censure a priori, où certains contenus sont censurés d'autorité, selon des procédures floues et discrétionnaires, le plus souvent sans appel et sans contradictoire. C'est un rôle actif, qui sort totalement de la notion d'intermédiaire technique neutre. Et qui est le fait d'acteurs dominants sur les "marchés" considérés.

On peut soit considérer que ces censeurs sont sortis de leur rôle neutre et technique, et que donc ils perdent l'exemption générale de responsabilité, qu'ils portent atteinte au principe de neutralité qu'on attend d'eux (même si, pour l'heure, aucun texte de loi ne prévoit ça de manière claire). Soit considérer, ce qui est sensiblement équivalent, qu'ils jouent un rôle actif dont ils sont responsables. N'ayant pas réussi à censurer les contenus illégaux, alors qu'ils jouent un rôle actif de censure a priori (Facebook censure les images dont ses outils supposent que ce sont des nus, avec régulièrement des erreurs) et de censure a posteriori (ces plateformes censurent sur signalement par les utilisateurs), on peut les considérer comme responsable de l'échec de leur censure.

Dans un cas, on estime que ces plateformes devraient se voir interdire la censure discrétionnaire, qu'il devrait y avoir des mécanismes transparents et conformes au droit pour traiter les problèmes. Par exemple du notice-and-notice : quelqu'un signale qu'un contenu pose problème. Le signalement est transmis anonymement à l'auteur. L'auteur peut retirer son contenu, ou décider de persister. Si les deux parties persistent à dire qu'il y a problème, le dossier complet est transmis à la justice qui arbitre le différend. Dans une posture comme celle-là, l'intermédiaire technique est de nouveau neutre. Il n'a pas décidé si le contenu lui semblait légal ou pas. On ne peut pas le tenir responsable d'une décision.

Dans l'autre cas, on estime normal que la plateforme joue un rôle de censeur, et qu'on peut lui tenir rigueur de ses erreurs dans la censure. Auquel cas tout contenu illégal qui arrive à franchir la barrière peut lui être reproché.

Je préfère bien entendu la première solution. Mais les deux sont logiques.

Centralisation ou ouverture

Le fait qu'une plateforme soit centralisée ou non est également un critère. L'exemple qui vient spontanément en tête est la comparaison entre les systèmes de messagerie fermés (iMessage d'Apple, Messenger de Facebook, les messages directs de Twitter, etc) et les systèmes de messagerie ouverts (par exemple le mail). Ou la comparaison entre un réseau de micro-blog fermé (Twitter) et un réseau de micro-blog ouvert (Mastodon).

Dans le cas d'un système centralisé et fermé, une décision de la plateforme centrale a un effet absolu. Si je suis banni de Twitter, je suis banni de l'intégralité du réseau de Twitter. Si cette décision est arbitraire, et fondée sur des critères qui ne peuvent pas être négociés, elle est absolue et incontournable. Elle est le fait d'un acteur dominant.

Dans le cas d'un système acentré et ouvert, une décision de la plateforme qui hébergeait mon compte de me bannir a un effet bien moindre. Je peux aller ouvrir un compte sur une autre instance du même réseau (quand mon compte mail de laposte.net est fermé, je peux aller ouvrir une adresse mail ailleurs). Si un nœud du réseau se met à détenir une part élevée des comptes, alors l'analyse en position dominante redevient pertinente : quand gmail.com ou outlook.com décident d'imposer des règles en matière de mail, même si le réseau est ouvert, ils représentent une part tellement grande du réseau du mail que leur norme s'impose de fait à tous les autres. Ils deviennent bien un acteur dominant de ce réseau.

La définition des libertés

À la fin du 18e siècle, quand on a défini les libertés fondamentales, on les a défini par rapport à la puissance publique. Quand on parle de liberté d'expression, on parle d'empêcher l'État (ou le roi) de censurer de manière arbitraire. Les libertés fondamentales, les droits de l'Homme, sont définis pour protéger les citoyens, les individus, contre les abus de la puissance publique.

Typiquement, le premier amendement de la constitution américaine, qui protège la liberté d'expression, interdit au législateur de faire une loi dont l'effet serait de priver le citoyen de la libre expression de son opinion. Facebook n'étant pas législateur, ça ne le concerne pas, il peut bien censurer comme il a envie et prendre toutes décisions visant à censurer.

Le rapport asymétrique qui existe aujourd'hui entre un particulier et une grande multi-nationale crée un rapport d'une nature similaire à celui qui existe entre le citoyen et l'État, un rapport asymétrique où une seule des deux parties peut établir les clauses du contrat. Le contrat qui existe entre Facebook et ses utilisateurs n'est pas de la même nature que le contrat qui existe entre deux particuliers. Les deux signataires du contrat ne sont pas dans un rapport de force symétrique. Or tout le droit autour de la liberté de contracter suppose une adhésion, soit que chaque clause était négociable (pour un contrat de gré à gré), soit qu'on pouvait ne pas adhérer au contrat et aller chercher un service similaire ailleurs (pour un contrat d'adhésion). Bref, on suppose que les deux parties sont engagées par un consentement mutuel entre pairs.

Il y a déjà de nombreuses zones du droit où l'asymétrie du rapport de forces a été prise en compte pour définir des droits qui ne sont pas symétriques. Par exemple l'obligation de conseil d'un pro : il ne doit pas vous laisser choisir une mauvaise solution s'il sait qu'elle est mauvaise, il doit vous conseiller au mieux de vos intérêts, pas des siens. Par exemple le contrat de prêt que vous signez avec le banquier : vous n'êtes pas en position de le négocier, alors la loi a très strictement encadré ce que le banquier a le droit de vous proposer. C'est toute cette partie du droit qui permet régulièrement aux tribunaux de dire que des clauses d'un contrat étaient abusives, et qu'on doit donc considérer qu'elles n'existent pas (les juristes parlent de "clauses réputées non-écrites").

Il n'y a pas, pour le moment, de garantie des libertés dans un rapport contractuel asymétrique. Facebook, Twitter ou Google ne peuvent pas être condamnés pour censure abusive de mes propos. Seul l'État pourrait être condamné pour ça. C'est par exemple pour ça qu'il y a quelques années, avec quelques autres, nous avions rédigé une proposition de loi de défense de la liberté d'expression. On retrouve un concept similaire dans la protection des données personnelles prévue par le RGPD : le rapport asymétrique entre l'entité qui collecte des données et le particulier dont on collecte les données crée une obligation particulière du collecteur pour protéger les libertés de l'individu.

Laissé dans l'ombre

Il y a d'autres angles de lecture que je laisse dans l'ombre ici, parce qu'ils ne sont pas utiles à mon raisonnement, bien qu'ils aillent clairement dans le même sens. Je veux citer ceux que j'ai en tête, pour qu'on ne pense pas qu'ils ont été oubliés. Ils demandent souvent une analyse assez longue, et qui ne me semblait pas rigoureusement nécessaire ici.

D'abord il y a l'inversion des rapports entre sujet et objet. Dans le contrat qui me lie à mon fournisseur d'accès à Internet (FDN, ou Orange), l'accès à Internet est l'objet du contrat, et le FAI et moi en sommes les sujets. Nous convenons entre nous comment l'un va à la demande de l'autre réaliser une prestation qui porte sur l'objet. Quand un service est financé par la publicité, ce rapport s'inverse. Le contrat, le vrai contrat, celui qui fait rentrer de l'argent, est entre le publicitaire et le service. C'est ce contrat qui compte. Et dans ce contrat, je suis devenu l'objet. Le publicitaire passe un contrat avec le prestataire du service qui porte sur la mise à disposition de l'objet du contrat, à savoir l'utilisateur. Dans ce modèle l'utilisateur est devenu l'objet d'un contrat auquel il n'a pas accès. C'est vicié, de base. Ça veut dire que l'utilisateur n'a rien à attendre du prestataire, qui n'est pas à son service.

Ensuite, il y a l'économie de l'attention. Ce qui intéresse ces grands afficheurs, c'est de pouvoir focaliser l'attention des gens. Donc de mettre en avant des émotions, et ce faisant de faire passer la raison en arrière plan (les publicitaires veulent ça, ça rend beaucoup plus perméable aux messages). Les messages qui font le plus directement appel à nos émotions sont donc favorisés, que ce soient des émotions douces (oh, le jouli petit chat...) ou des émotions dures (les propos haineux, la rage de voir encore une horreur de dite, etc). Le mécanisme de la publicité a besoin de faire appel à nos émotions, et cet état émotif nous fait rester plus longtemps face aux contenus, nous fait interagir plus. C'est ce qui donne sa valeur au contenu putaclic.

Ensuite, il y a la notion d'éthique de l'entreprise. Certaines entreprises ont une éthique, ça arrive. Mais cette éthique n'est que celle portée par le pacte d'actionnaires. Que les actionnaires changent et l'éthique change. L'entreprise lucrative n'est pas mauvaise en elle-même, mais les questions éthiques y ont forcément un rôle second. Parfois, sa survie dépend de l'éthique qu'elle affiche (Free, dans son jeune temps, avait besoin de se montrer cool avec les geeks pour exister, par exemple). Mais sitôt que ce n'est plus le cas, que l'éthique n'est plus une condition de la survie, alors les questions éthiques passent en second plan, ou disparaissent complètement.

La somme

La somme de tous ces éléments nous amène bien à analyser le rôle de ces plateformes, de ces intermédiaires techniques, avec tous ces éléments.

  • L'action de leur propre chef, et non comme résultant d'un choix explicite et délibéré de l'utilisateur (hiérarchisation des contenus, censure discrétionnaire, etc) crée une forme de responsabilité.
  • Les visées lucratives jouent également un rôle : le but de la hiérarchisation est bien de maximiser le revenu publicitaire, pas de servir l'intérêt général ou les goûts du lecteur. Ce n'est pas la position neutre d'un intermédiaire technique au sens strict.
  • La centralisation du réseau considéré empêche de changer de "fournisseur", en empêchant l'interconnexion et la normalisation, et donc crée de fait un monopole sur le marché considéré sitôt qu'il concerne un grand nombre d'utilisateurs. On peut par exemple considérer que Facebook occupe une position de monopole de la censure sur son réseau, et une position d'acteur dominant sur le marché de la publication des contenus, et monopolistique si on le rapporte au réseau Facebook, alors qu'aucune plateforme n'est en position monopolistique pour le réseau Mastodon/Fediverse.
  • Enfin, la taille joue, en plus de la centralisation. Un très gros acteur sur un réseau ouvert doit être considéré comme un acteur dominant. Un acteur centralisé, mais très petit, ne crée par un dommage considérable à la société par son action, ou en tous cas pas un dommage aussi considérable que s'il était utilisé par une large part de la population.

Ce sont tous ces éléments-là qui m'amènent à penser que l'analyse de Calimaq est relativement juste. Son propos reprenait cette distinction, ce nouveau rôle, sans l'avoir convenablement introduite, ça peut dérouter.

Il y a bien un modèle de réseau qui me semble plus souhaitable socialement et économiquement, le modèle de réseau ouvert, fait de nombreux acteurs, offrant une capacité d'interconnexion, etc. Il me semble raisonnable que les acteurs qui ont un rôle dominant, soit par leur centralisation soit par leur grande taille, se voient contraints à une grande neutralité pour nous protéger contre l'arbitraire.

Je suis en désaccord avec les choix de la directive copyright. Mon approche est que la position particulière de ces grands acteurs devrait leur interdire toute censure en dehors d'un processus contradictoire, tranché par une autorité indépendante, susceptible d'appel, et passant au moment voulu par la Justice. Mais l'approche qui consiste à dire qu'ils sont des professionnels de la censure et qu'ils ont donc des obligations de résultat de ce fait est toute aussi logique. Malsaine pour la société, parce qu'on a privatisé la censure. Mais logique.

Et le fait que cette directive fasse une différence entre ces grands acteurs dangereux et des acteurs plus souhaitables socialement, c'est également un point plutôt positif.

C'est bien parce que l'éléphant n'est pas la souris qu'on a inventé des législations pour se protéger des géants économiques : de l'anti-trust, de l'anti-monopole, de la régulation sectorielle (l'industrie pharmaceutique ne répond pas aux mêmes normes que les marchands de souvenirs, par exemple).

Ce dont je suis convaincu, c'est que l'irresponsabilité associée au statut d'hébergeur tel qu'il était défini historiquement doit être revisitée. Cette irresponsabilité était une conséquence logique du fait que cet intermédiaire technique n'avait pas d'action propre, autre que la réalisation du transport ou de l'hébergement des données. Et il est certain que les grandes plateformes ont une action propre.

Je ne suis pas certain des conclusions, des critères exacts qu'il faut utiliser pour délimiter ce nouveau rôle. Ce que je propose ici c'est une piste de définition de ces critères.

  • 1. Le législateur étant ce qu'il est, ces noms n'apparaissent jamais. On parle toujours des personnes désignées au 1. du I de l'article 6 de la LCEN, ou désignées au 1 et 2 du I de l'article... Bref, des périphrases affreuses et incompréhensibles. Il faut bien justifier le salaire des juristes.
  • 2. En effet, si on veut s'en tenir au mot, une contrefaçon, un produit contrefait, c'est un produit qui prétend être (par exemple de telle grande marque) mais qui n'est pas. Par exemple les "fausses Rolex", ou les "fausses Nikes". Un fichier musical mis en ligne sans accord des ayants droits n'est pas véritablement contrefait. C'est vraiment le fichier musical que ça prétend, et pas une mauvaise reprise jouée par des amateurs dans leur cave. Dans un cas il y a tromperie sur la qualité de la marchandise, dans l'autre c'est bien le bon produit, mais il y a un défaut d'autorisation et/ou de rémunération. Reste que la loi amalgame les deux. Lutter contre la contrefaçon c'est autant lutter contre les faux médicaments, les imitations des grandes marques, que lutter contre le partage des œuvres entre particuliers sans accord des maisons d'édition.
  • 3. C'est un peu à l'opposé de l'idée qu'il existe une justice : si la décision de savoir si c'est conforme à la loi ou pas est toujours manifeste, et donc simple, à quoi peuvent bien servir les juges qui ont à en décider ? Par exemple, savoir si "Le Petit Prince" est encore couvert par le droit d'auteur ou non est une question fort complexe. Il se trouve que ça dépend du pays, pour de sombres histoires de durée du droit d'auteur après la mort de l'auteur (variable d'un pays à l'autre), et de savoir si les années de guerre sont comptées ou non dans cette durée (les années de guerre ne sont pas les mêmes d'un pays à l'autre). Bien malin l'hébergeur qui sait si l'extrait du Petit Prince qui est mis en ligne chez lui est manifestement illégal, ou pas.
]]>
10 octobre 2018 - Nous partageons la tribune de Benjamin Bayart, publiée aujourd'hui sur son blog et poursuivant nos discussions sur le statut des hébergeurs (relire notre article sur la décentralisation, la tribune de Calimaq et celle d'Arthur).

C'est un débat ancien autour des libertés numériques, que de délimiter la responsabilité des intermédiaires techniques. Pour essayer de raconter ça, il faut que je fasse appel à des notions assez nombreuses, et parfois peu habituelles dans le domaine. Après un petit rappel des positions historiques, sur les notions d'éditeur et d'hébergeur, je vais poser quelques notions venues d'autres domaines, ou de phénomènes plus récents. Le but est d'essayer de proposer une grille de lecture différente : un troisième statut, quelque part entre éditeur et hébergeur, et les conséquences que ça porte.

On peut arriver à la même conclusion (ce troisième statut) par d'autres arguments, dont je n'ai pas besoin pour articuler mon raisonnement. J'ai regroupé ces arguments, pour au moins les citer, qu'ils ne donnent pas l'impression d'avoir été oublié.

Tout ça est le fruit de beaucoup de discussions. L'idée de quelque chose entre éditeur et hébergeur est sortie de discussions ces 3-4 dernières années à la quadrature. La façon dont j'articule entre eux ces différents éléments est le fruit de mon expérience personnelle, le mélange des réflexions de plusieurs collectifs.

Contexte historique

On peut faire remonter la question, en France, à l'affaire "Estelle Hallyday contre Altern". Ce n'est pas la première fois que la question se posait, mais c'est celle qui a marqué les esprits.

Altern était un hébergeur associatif, articulé avec une TPE (la TPE permettait au mec de manger, l'association hébergeait gratuitement). Près de 50.000 sites perso étaient hébergés chez Altern. On situe mal, mais 50.000 sites, à la fin des années 90, c'est un morceau colossal du web en France. Et toutes ces pages sont hébergées gratuitement, sans pub, sans contre-partie, par une association.

Des photos dénudées d'Estelle Hallyday avaient été publiées dans la presse. Un petit malin les a scannées et mises en ligne sur son site. La dame a porté plainte... contre l'hébergeur. À aucun moment la police ou la justice ne se sont intéressées à savoir qui était derrière le site, le nom de l'hébergeur leur suffisait bien. Il a été très lourdement condamné, une somme déraisonnable qui a forcé à fermer le volet associatif d'Altern : le risque était devenu trop grand. Une FAQ de 1999 sur l'affaire redonne les éléments clefs de la discussion de l'époque.

C'est cette histoire qui a été utilisée pour expliquer aux députés et sénateurs de l'époque que nous avions un problème dans le numérique. On se trompait de responsable devant la justice dans les affaires de presse (diffamation, injure, atteinte à la vie privée, etc). Le législateur français a mis très longtemps à converger vers une solution acceptable. C'est autour de 2004 que le débat arrive à la bonne conclusion.

Position définie par la LCEN

La LCEN organise en 2004 la responsabilité entre trois types d'acteurs1. Les fournisseurs d'accès et opérateurs réseaux, qui transportent l'information, les hébergeurs qui stockent l'information, et les éditeurs qui publient le contenu. Les éditeurs sont responsables de ce qui est publié, et assument les propos de l'auteur, en particulier dans les affaires dites de presse (diffamation, injure, publication d'informations portant atteinte à la vie privée des gens, etc). Les hébergeurs, quant à eux, ne sont pas responsables de ce qui est publié. Il devient obligatoire de faire figurer sur tout site web une indication de qui en est l'éditeur.

Le droit européen est articulé peu ou prou de la même manière. Les opérateurs du réseau doivent se comporter comme un "mere conduit", c'est-à-dire comme un simple/pur tuyau. Ils transportent les données sans tenir compte du contenu, et donc ne peuvent être responsable de ce qui se passe sur le réseau. De mémoire cette première notion, bien plus ancienne que celle de la neutralité du net, se trouve dans des directives de 2000 sur le commerce électronique.

Dans le web de la fin des années 90, et jusqu'à la fin des années 2000, ces notions suffisent à lire le monde. Si je prend des exemples actuels que tout le monde peut comprendre, OVH est un hébergeur, l'éditeur du site https://lefigaro.fr est le journal du même nom, et FDN ou Orange, quand ils vous permettent d'accéder au contenu mis en ligne par ce site web ne sont pas responsables si un de ces contenus est illégal. Et ce, que cette illégalité soit un délit de presse ou un autre délit (par exemple, la publication sans autorisation d'un contenu soumis au droit d'auteur, une des variantes de ce que la loi nomme contrefaçon, même si le terme semble bien impropre2).

La jurisprudence est venue apporter des nuances, parfois intéressantes, parfois idiotes. Dans les jurisprudences intéressantes : en 2010 Tiscali, qui hébergeait les pages perso de ses abonnés, et aurait à ce titre dû être considéré comme hébergeur, s'est vu requalifier par la Cour de cassation en éditeur parce qu'elle ajoutait de la publicité dans ces pages. Le juge a estimé que modifier le contenu, avec des visées lucratives, en faisait un éditeur et pas un simple hébergeur.

Par ailleurs, la LCEN prévoit que quand l'hébergeur a connaissance d'un contenu illicite, il doit le retirer rapidement. Le Conseil Constitutionnel, qui avait été saisi de la LCEN, avait bien précisé que ça ne pouvait être applicable que pour les contenus manifestement illicites (ergo, dans la pensée de l'époque, les contenus manifestement pédo-pornographiques et/ou manifestement néo-nazis). Les jurisprudences diverses, en France et en Europe, sont venues affaiblir cette décision du Conseil Constitutionnel. On considère de nos jours que quasiment toutes les illégalités sont manifestes3.

Évolution du paysage

Le développement de ce que les startupeurs digitaux appellent le Web 2.0 vient un peu compliquer l'affaire, mais à peine. Le Web 2.0, c'est le fait qu'une plateforme est mise à disposition du public, et que c'est le public qui produit le contenu. Par exemple les commentaires organisés en forum de discussion sous un article d'actualité. Par exemple les forums de chat fournis par tel ou tel site web pour la communauté de ses habitués. Par exemple Facebook au tout début.

L'analyse reste sensiblement la même. L'utilisateur est auteur-éditeur du message qu'il publie, de la page qui regroupe ses messages. Et la plateforme est analysée comme un hébergeur, qui se contente d'afficher au lecteur les messages regroupés comme le lecteur le lui a demandé, c'est-à-dire dans l'ordre chronologique des publications de chacun des utilisateurs dont il suit le fil de publication. C'est assez assimilable dans la théorie, à ce que fait un agrégateur de flux RSS, pour les gens qui voient ce que c'est.

Mais la pratique change. Ces grandes plateformes interviennent le plus en plus dans le flux des informations. Elles hiérarchisent l'information, selon des critères qui n'appartiennent qu'à elles. Strictement, elles hébergent un contenu qu'elles n'ont pas produit, le plus souvent, mais choisissent l'ordre d'affichage, et même si un contenu sera affiché ou non pour un lecteur donné. Plus elles interviennent dans l'affichage des contenus, moins leur rôle d'hébergeur passif semble adapté.

Responsabilité du fait d'autrui

Le principe de droit sous-jacent à une bonne part du débat est le fait que nul ne peut être tenu responsable du fait d'autrui. Si j'écris sur mon mur Facebook des choses contraires à la loi, il est légitime que j'en sois tenu responsable, et qu'on n'aille pas en faire reproche à quelqu'un d'autre (genre Facebook, qui a permis la diffusion de mon message, mon FAI qui m'a permis de publier, ton FAI qui t'a permis de le lire, le fabriquant de ton écran qui a permis l'affichage, ton marchand de lunettes qui t'a permis de lire malgré ta myopie, etc).

Tenir Facebook pour responsable de ce qu'écrivent les gens, c'est pas bon. Mais prétendre que Facebook ne fait rien et donc n'est responsable de rien, c'est pas bon non plus, parce que ce n'est pas vrai. On voit bien que quelque chose cloche ici. Il nous manque une notion, qui décrive ce que fait Facebook. Quand nous travaillons sur ces sujets, à La Quadrature, le mot que nous utilisons, c'est "afficheur". Facebook serait un afficheur, et en tant qu'afficheur il n'est pas neutre. C'est un intermédiaire technique qui n'est pas neutre dans l'exécution de son rôle, il doit donc logiquement assumer la responsabilité de ce qui découle de cette non-neutralité.

La neutralité du net

Les débats sur la neutralité du net sont pour moi, en dernière analyse, des débats sur un intermédiaire technique particulier, le fournisseur d'accès à Internet (et plus généralement, l'opérateur réseau).

Cet intermédiaire technique est tout-puissant. Il peut tout. Il peut m'empêcher d'accéder à un contenu, il peut ralentir l'accès à un service jusqu'à le rendre pénible à utiliser, il peut dégrader un service (perdre un paquet sur dix dans le flux d'une discussion audio la rend extrêmement pénible par exemple). Il peut surveiller à peu près la totalité de ce que je fais.

Du point de vue de l'abonné, il est tout-puissant, et incontournable : les gens n'ont qu'un seul accès à Internet chez eux, ils ne jonglent pas entre 5 abonnements à Internet à tout moment, utilisant l'abonnement Machin pour accéder à un site et l'abonnement Truc pour accéder à un autre. Les gens normaux (quelques geeks dans mon genre font autrement) ont un seul opérateur pour accéder à Internet et ils espèrent bien accéder à tout Internet, de manière indiscriminée.

Ce que disent les textes sur la neutralité du net peut se résumer assez facilement : en tant qu'intermédiaire technique incontournable, ayant de grands pouvoirs, l'opérateur n'a pas le droit d'utiliser ces grands pouvoirs n'importe comment. En particulier, s'il s'en sert pour (dé)favoriser un contenu, une adresse source, une adresse de destination, un type de service, etc, ça lui sera reproché. S'il sort d'une stricte neutralité d'intermédiaire technique sans raison valable, ça lui sera reproché.

Et les texte européens listent les raisons valables connues : la sécurité du réseau, le bon fonctionnement du réseau, une décision de justice, etc. Un accord commercial avec une plateforme n'est, ainsi, pas une raison valable de prioriser des flux.

Les textes sur la neutralité du net ne parlent pas de la responsabilité éditoriale, bien entendu, mais ils posent des principes de droit qui sont utiles : un intermédiaire technique, quand il sort de la neutralité qu'on attend de lui, prend une responsabilité, il devient responsable de ce qui arrive suite à cette sortie de route.

La transposition à la responsabilité éditoriale est cependant assez simple : quand une plateforme joue un rôle central dans la capacité du public à diffuser de l'information, ou à accéder à l'information, et qu'elle sort de la neutralité technique, alors elle devrait recevoir la responsabilité des effets de cette sortie. Que ce soient des effets économiques (concurrence, distorsion d'un marché, etc) ou des effets sociaux (montée des violences, montée des haines, etc). On ne peut pas jouer un rôle actif dans une position de puissance et dire qu'on n'est pas responsable des effets du rôle qu'on joue.

Un opérateur dominant

Une autre notion intéressante est celle, venue du droit de la concurrence, d'acteur dominant sur un marché. C'est une notion qui s'analyse de manière locale, sur un marché donné. Ainsi si on s'intéresse au marché européen, au marché français, ou au marché d'un bassin de vie, les acteurs dominants identifiés ne sont pas les mêmes.

Certaines pratiques sont interdites pour un ou des acteurs dominants sur un ou des marchés donnés.

Ainsi, un tarif d'éviction. C'est quand un acteur, dominant sur un marché, pratique des prix tellement bas qu'il empêche les autres de s'installer sur ce marché, et donc s'assure la perpétuité de sa position dominante. Ainsi, si autour de chez moi il y a une boulangerie qui a une part tellement forte du marché des croissants qu'on la considère comme un acteur dominant (genre 90% des ventes de croissants du coin). Quand une nouvelle boulangerie ouvre, elle fait une promotion intenable (le croissant à 10 centimes, mettons). On peut analyser ça comme la pratique d'un tarif d'éviction. Dans une boulangerie qui a une petite part de marché, ce serait simplement une promo pour attirer le client. Dans une boulangerie qui détient une part colossale du marché, c'est un tarif destiné à tuer les concurrents et assurer un monopole pour l'opérateur dominant sur le marché une fois que les concurrents auront coulé, auront été évincés (d'où le nom "tarif d'éviction").

Il faut bien analyser ça sur le bon marché. En effet, la position dominante de la boulangerie ne joue pas sur le marché des fruits et légumes, ou ne joue pas sur le marché national des croissants. Elle fait bien 90% dans ma ville, mais un pourcentage infime au niveau national ou européen.

On peut essayer de transposer ces principes dans le cas qui nous intéresse. Les grandes plateformes sont des acteurs dominants sur certains marchés. Traditionnellement, on fait cette analyse sur un vrai marché, commercial. On peut par exemple se demander si Facebook et Google sont des acteurs dominants sur le marché de la publicité en ligne. Mais on peut utiliser cet outil pour penser des choses qui ne sont pas des marchés au sens commercial, et se demander si Facebook et Twitter jouent un rôle central dans la diffusion des contenus publiés par leurs utilisateurs, et si on peut donc leur reprocher les effets de leurs décisions en raison de leur taille. La même décision, de la part d'un acteur hyper minoritaire et n'ayant pas d'influence significative sur le "marché" (ou sur le phénomène social) considéré n'aurait pas la même responsabilité.

La taille est bien un critère pertinent pour juger de la responsabilité des acteurs. Non, un éléphant, ce n'est pas une souris en plus gros.

La censure

Facebook, ou Apple, opèrent une censure. Une censure a priori, où certains contenus sont censurés d'autorité, selon des procédures floues et discrétionnaires, le plus souvent sans appel et sans contradictoire. C'est un rôle actif, qui sort totalement de la notion d'intermédiaire technique neutre. Et qui est le fait d'acteurs dominants sur les "marchés" considérés.

On peut soit considérer que ces censeurs sont sortis de leur rôle neutre et technique, et que donc ils perdent l'exemption générale de responsabilité, qu'ils portent atteinte au principe de neutralité qu'on attend d'eux (même si, pour l'heure, aucun texte de loi ne prévoit ça de manière claire). Soit considérer, ce qui est sensiblement équivalent, qu'ils jouent un rôle actif dont ils sont responsables. N'ayant pas réussi à censurer les contenus illégaux, alors qu'ils jouent un rôle actif de censure a priori (Facebook censure les images dont ses outils supposent que ce sont des nus, avec régulièrement des erreurs) et de censure a posteriori (ces plateformes censurent sur signalement par les utilisateurs), on peut les considérer comme responsable de l'échec de leur censure.

Dans un cas, on estime que ces plateformes devraient se voir interdire la censure discrétionnaire, qu'il devrait y avoir des mécanismes transparents et conformes au droit pour traiter les problèmes. Par exemple du notice-and-notice : quelqu'un signale qu'un contenu pose problème. Le signalement est transmis anonymement à l'auteur. L'auteur peut retirer son contenu, ou décider de persister. Si les deux parties persistent à dire qu'il y a problème, le dossier complet est transmis à la justice qui arbitre le différend. Dans une posture comme celle-là, l'intermédiaire technique est de nouveau neutre. Il n'a pas décidé si le contenu lui semblait légal ou pas. On ne peut pas le tenir responsable d'une décision.

Dans l'autre cas, on estime normal que la plateforme joue un rôle de censeur, et qu'on peut lui tenir rigueur de ses erreurs dans la censure. Auquel cas tout contenu illégal qui arrive à franchir la barrière peut lui être reproché.

Je préfère bien entendu la première solution. Mais les deux sont logiques.

Centralisation ou ouverture

Le fait qu'une plateforme soit centralisée ou non est également un critère. L'exemple qui vient spontanément en tête est la comparaison entre les systèmes de messagerie fermés (iMessage d'Apple, Messenger de Facebook, les messages directs de Twitter, etc) et les systèmes de messagerie ouverts (par exemple le mail). Ou la comparaison entre un réseau de micro-blog fermé (Twitter) et un réseau de micro-blog ouvert (Mastodon).

Dans le cas d'un système centralisé et fermé, une décision de la plateforme centrale a un effet absolu. Si je suis banni de Twitter, je suis banni de l'intégralité du réseau de Twitter. Si cette décision est arbitraire, et fondée sur des critères qui ne peuvent pas être négociés, elle est absolue et incontournable. Elle est le fait d'un acteur dominant.

Dans le cas d'un système acentré et ouvert, une décision de la plateforme qui hébergeait mon compte de me bannir a un effet bien moindre. Je peux aller ouvrir un compte sur une autre instance du même réseau (quand mon compte mail de laposte.net est fermé, je peux aller ouvrir une adresse mail ailleurs). Si un nœud du réseau se met à détenir une part élevée des comptes, alors l'analyse en position dominante redevient pertinente : quand gmail.com ou outlook.com décident d'imposer des règles en matière de mail, même si le réseau est ouvert, ils représentent une part tellement grande du réseau du mail que leur norme s'impose de fait à tous les autres. Ils deviennent bien un acteur dominant de ce réseau.

La définition des libertés

À la fin du 18e siècle, quand on a défini les libertés fondamentales, on les a défini par rapport à la puissance publique. Quand on parle de liberté d'expression, on parle d'empêcher l'État (ou le roi) de censurer de manière arbitraire. Les libertés fondamentales, les droits de l'Homme, sont définis pour protéger les citoyens, les individus, contre les abus de la puissance publique.

Typiquement, le premier amendement de la constitution américaine, qui protège la liberté d'expression, interdit au législateur de faire une loi dont l'effet serait de priver le citoyen de la libre expression de son opinion. Facebook n'étant pas législateur, ça ne le concerne pas, il peut bien censurer comme il a envie et prendre toutes décisions visant à censurer.

Le rapport asymétrique qui existe aujourd'hui entre un particulier et une grande multi-nationale crée un rapport d'une nature similaire à celui qui existe entre le citoyen et l'État, un rapport asymétrique où une seule des deux parties peut établir les clauses du contrat. Le contrat qui existe entre Facebook et ses utilisateurs n'est pas de la même nature que le contrat qui existe entre deux particuliers. Les deux signataires du contrat ne sont pas dans un rapport de force symétrique. Or tout le droit autour de la liberté de contracter suppose une adhésion, soit que chaque clause était négociable (pour un contrat de gré à gré), soit qu'on pouvait ne pas adhérer au contrat et aller chercher un service similaire ailleurs (pour un contrat d'adhésion). Bref, on suppose que les deux parties sont engagées par un consentement mutuel entre pairs.

Il y a déjà de nombreuses zones du droit où l'asymétrie du rapport de forces a été prise en compte pour définir des droits qui ne sont pas symétriques. Par exemple l'obligation de conseil d'un pro : il ne doit pas vous laisser choisir une mauvaise solution s'il sait qu'elle est mauvaise, il doit vous conseiller au mieux de vos intérêts, pas des siens. Par exemple le contrat de prêt que vous signez avec le banquier : vous n'êtes pas en position de le négocier, alors la loi a très strictement encadré ce que le banquier a le droit de vous proposer. C'est toute cette partie du droit qui permet régulièrement aux tribunaux de dire que des clauses d'un contrat étaient abusives, et qu'on doit donc considérer qu'elles n'existent pas (les juristes parlent de "clauses réputées non-écrites").

Il n'y a pas, pour le moment, de garantie des libertés dans un rapport contractuel asymétrique. Facebook, Twitter ou Google ne peuvent pas être condamnés pour censure abusive de mes propos. Seul l'État pourrait être condamné pour ça. C'est par exemple pour ça qu'il y a quelques années, avec quelques autres, nous avions rédigé une proposition de loi de défense de la liberté d'expression. On retrouve un concept similaire dans la protection des données personnelles prévue par le RGPD : le rapport asymétrique entre l'entité qui collecte des données et le particulier dont on collecte les données crée une obligation particulière du collecteur pour protéger les libertés de l'individu.

Laissé dans l'ombre

Il y a d'autres angles de lecture que je laisse dans l'ombre ici, parce qu'ils ne sont pas utiles à mon raisonnement, bien qu'ils aillent clairement dans le même sens. Je veux citer ceux que j'ai en tête, pour qu'on ne pense pas qu'ils ont été oubliés. Ils demandent souvent une analyse assez longue, et qui ne me semblait pas rigoureusement nécessaire ici.

D'abord il y a l'inversion des rapports entre sujet et objet. Dans le contrat qui me lie à mon fournisseur d'accès à Internet (FDN, ou Orange), l'accès à Internet est l'objet du contrat, et le FAI et moi en sommes les sujets. Nous convenons entre nous comment l'un va à la demande de l'autre réaliser une prestation qui porte sur l'objet. Quand un service est financé par la publicité, ce rapport s'inverse. Le contrat, le vrai contrat, celui qui fait rentrer de l'argent, est entre le publicitaire et le service. C'est ce contrat qui compte. Et dans ce contrat, je suis devenu l'objet. Le publicitaire passe un contrat avec le prestataire du service qui porte sur la mise à disposition de l'objet du contrat, à savoir l'utilisateur. Dans ce modèle l'utilisateur est devenu l'objet d'un contrat auquel il n'a pas accès. C'est vicié, de base. Ça veut dire que l'utilisateur n'a rien à attendre du prestataire, qui n'est pas à son service.

Ensuite, il y a l'économie de l'attention. Ce qui intéresse ces grands afficheurs, c'est de pouvoir focaliser l'attention des gens. Donc de mettre en avant des émotions, et ce faisant de faire passer la raison en arrière plan (les publicitaires veulent ça, ça rend beaucoup plus perméable aux messages). Les messages qui font le plus directement appel à nos émotions sont donc favorisés, que ce soient des émotions douces (oh, le jouli petit chat...) ou des émotions dures (les propos haineux, la rage de voir encore une horreur de dite, etc). Le mécanisme de la publicité a besoin de faire appel à nos émotions, et cet état émotif nous fait rester plus longtemps face aux contenus, nous fait interagir plus. C'est ce qui donne sa valeur au contenu putaclic.

Ensuite, il y a la notion d'éthique de l'entreprise. Certaines entreprises ont une éthique, ça arrive. Mais cette éthique n'est que celle portée par le pacte d'actionnaires. Que les actionnaires changent et l'éthique change. L'entreprise lucrative n'est pas mauvaise en elle-même, mais les questions éthiques y ont forcément un rôle second. Parfois, sa survie dépend de l'éthique qu'elle affiche (Free, dans son jeune temps, avait besoin de se montrer cool avec les geeks pour exister, par exemple). Mais sitôt que ce n'est plus le cas, que l'éthique n'est plus une condition de la survie, alors les questions éthiques passent en second plan, ou disparaissent complètement.

La somme

La somme de tous ces éléments nous amène bien à analyser le rôle de ces plateformes, de ces intermédiaires techniques, avec tous ces éléments.

  • L'action de leur propre chef, et non comme résultant d'un choix explicite et délibéré de l'utilisateur (hiérarchisation des contenus, censure discrétionnaire, etc) crée une forme de responsabilité.
  • Les visées lucratives jouent également un rôle : le but de la hiérarchisation est bien de maximiser le revenu publicitaire, pas de servir l'intérêt général ou les goûts du lecteur. Ce n'est pas la position neutre d'un intermédiaire technique au sens strict.
  • La centralisation du réseau considéré empêche de changer de "fournisseur", en empêchant l'interconnexion et la normalisation, et donc crée de fait un monopole sur le marché considéré sitôt qu'il concerne un grand nombre d'utilisateurs. On peut par exemple considérer que Facebook occupe une position de monopole de la censure sur son réseau, et une position d'acteur dominant sur le marché de la publication des contenus, et monopolistique si on le rapporte au réseau Facebook, alors qu'aucune plateforme n'est en position monopolistique pour le réseau Mastodon/Fediverse.
  • Enfin, la taille joue, en plus de la centralisation. Un très gros acteur sur un réseau ouvert doit être considéré comme un acteur dominant. Un acteur centralisé, mais très petit, ne crée par un dommage considérable à la société par son action, ou en tous cas pas un dommage aussi considérable que s'il était utilisé par une large part de la population.

Ce sont tous ces éléments-là qui m'amènent à penser que l'analyse de Calimaq est relativement juste. Son propos reprenait cette distinction, ce nouveau rôle, sans l'avoir convenablement introduite, ça peut dérouter.

Il y a bien un modèle de réseau qui me semble plus souhaitable socialement et économiquement, le modèle de réseau ouvert, fait de nombreux acteurs, offrant une capacité d'interconnexion, etc. Il me semble raisonnable que les acteurs qui ont un rôle dominant, soit par leur centralisation soit par leur grande taille, se voient contraints à une grande neutralité pour nous protéger contre l'arbitraire.

Je suis en désaccord avec les choix de la directive copyright. Mon approche est que la position particulière de ces grands acteurs devrait leur interdire toute censure en dehors d'un processus contradictoire, tranché par une autorité indépendante, susceptible d'appel, et passant au moment voulu par la Justice. Mais l'approche qui consiste à dire qu'ils sont des professionnels de la censure et qu'ils ont donc des obligations de résultat de ce fait est toute aussi logique. Malsaine pour la société, parce qu'on a privatisé la censure. Mais logique.

Et le fait que cette directive fasse une différence entre ces grands acteurs dangereux et des acteurs plus souhaitables socialement, c'est également un point plutôt positif.

C'est bien parce que l'éléphant n'est pas la souris qu'on a inventé des législations pour se protéger des géants économiques : de l'anti-trust, de l'anti-monopole, de la régulation sectorielle (l'industrie pharmaceutique ne répond pas aux mêmes normes que les marchands de souvenirs, par exemple).

Ce dont je suis convaincu, c'est que l'irresponsabilité associée au statut d'hébergeur tel qu'il était défini historiquement doit être revisitée. Cette irresponsabilité était une conséquence logique du fait que cet intermédiaire technique n'avait pas d'action propre, autre que la réalisation du transport ou de l'hébergement des données. Et il est certain que les grandes plateformes ont une action propre.

Je ne suis pas certain des conclusions, des critères exacts qu'il faut utiliser pour délimiter ce nouveau rôle. Ce que je propose ici c'est une piste de définition de ces critères.

  • 1. Le législateur étant ce qu'il est, ces noms n'apparaissent jamais. On parle toujours des personnes désignées au 1. du I de l'article 6 de la LCEN, ou désignées au 1 et 2 du I de l'article... Bref, des périphrases affreuses et incompréhensibles. Il faut bien justifier le salaire des juristes.
  • 2. En effet, si on veut s'en tenir au mot, une contrefaçon, un produit contrefait, c'est un produit qui prétend être (par exemple de telle grande marque) mais qui n'est pas. Par exemple les "fausses Rolex", ou les "fausses Nikes". Un fichier musical mis en ligne sans accord des ayants droits n'est pas véritablement contrefait. C'est vraiment le fichier musical que ça prétend, et pas une mauvaise reprise jouée par des amateurs dans leur cave. Dans un cas il y a tromperie sur la qualité de la marchandise, dans l'autre c'est bien le bon produit, mais il y a un défaut d'autorisation et/ou de rémunération. Reste que la loi amalgame les deux. Lutter contre la contrefaçon c'est autant lutter contre les faux médicaments, les imitations des grandes marques, que lutter contre le partage des œuvres entre particuliers sans accord des maisons d'édition.
  • 3. C'est un peu à l'opposé de l'idée qu'il existe une justice : si la décision de savoir si c'est conforme à la loi ou pas est toujours manifeste, et donc simple, à quoi peuvent bien servir les juges qui ont à en décider ? Par exemple, savoir si "Le Petit Prince" est encore couvert par le droit d'auteur ou non est une question fort complexe. Il se trouve que ça dépend du pays, pour de sombres histoires de durée du droit d'auteur après la mort de l'auteur (variable d'un pays à l'autre), et de savoir si les années de guerre sont comptées ou non dans cette durée (les années de guerre ne sont pas les mêmes d'un pays à l'autre). Bien malin l'hébergeur qui sait si l'extrait du Petit Prince qui est mis en ligne chez lui est manifestement illégal, ou pas.
]]>
Régulation des contenus : quelles obligations pour les géants du Web ?10634 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181009_141531_Regulation_des_contenus___quelles_obligations_pour_les_geants_du_Web__Tue, 09 Oct 2018 12:15:31 +0000Tribune d'Arthur Messaud

9 octobre 2018 - Il y a 10 jours, nous expliquions que décentraliser le Web offrait l'espoir d'une organisation démocratique de nos échanges en ligne, en solution à l'hégémonie de l'économie de l'attention. En effet, les géants du Web distordent nos échanges pour des raisons économiques en favorisant les propos anxiogènes, caricaturaux, violents ou payés... au détriment des autres, et cela doit être corrigé.

Pour favoriser une alternative décentralisée, nous proposions que les hébergeurs libres (qui ne nous imposent pas une hiérarchisation des contenus) ne soient plus soumis aux mêmes obligations légales que les plateformes géantes (qui nous imposent leur hiérarchisation des contenus).

Ces obligations légales, qui exigent de censurer de plus en plus vite les contenus « manifestement illicites » dont les hébergeurs ont connaissance, freinent le développement du Web décentralisé. Ainsi, nous proposions que les hébergeurs libres n'aient plus à supporter ces lourdes obligations : que seul un juge puisse exiger d'eux qu'ils censurent un contenu.

Aujourd'hui, la question que nous abordons ne concerne plus les hébergeurs libres, mais les autres : quelles obligations imposer aux plateformes géantes ?

Le pouvoir des géants

Ce récit est malheureusement assez commun : vous vous êtes inscrit sur Facebook, Youtube ou Twitter il y a de nombreuses années et, depuis, vous y avez tissé de nombreuses relations (des « amis » ajoutés sur Facebook au fil des rencontres, un public attentif réuni sur Youtube, des personnes pertinentes suivies sur Twitter). Au fil des années, ces plateformes ont adopté des règles de hiérarchisation des contenus de plus en plus contraignantes.

Facebook et Instagram se sont mis à censurer toute image contraire à leur vision puritaine de la société, à masquer les sites de presse contraires à ce qu'ils jugent être le « juste débat » et à organiser nos « fils d'actualité » pour nous rendre plus réceptifs à leur publicité. Youtube favorise des vidéos de plus en plus anxiogènes, pour nous faire rester le plus longtemps possible sur son site, au détriment des autres vidéos dont l'audience devient de plus en plus gérée par l'entreprise seule. Twitter organise nos échanges pour les rendre de plus en plus vifs et captifs, sans se soucier des conséquences sur le débat public.

Plus généralement, s'est tissé « un lien pervers entre propos haineux et impact publicitaire : les personnes tenant des propos choquants ou extrémistes sont celles qui "rapportent" le plus car l'une d'entre elles peut en provoquer cinquante ou cent autres. Sous cet angle, l’intérêt financier des réseaux sociaux est d’en héberger le plus possible » (« Renforcer la lutte contre le racisme et l'antisémitisme sur Internet », Rapport au Premier Ministre, p. 36).

Pourtant, nombre d'entre nous restons sur ces plateformes. Nous ne pouvons pas rompre d'un coup tous les liens que nous y avons tissés. Nous subissons toutes ces nouvelles contraintes sans les avoir choisies ni sans pouvoir vraiment y échapper. C'est ce qu'il faut corriger.

Un nouveau statut juridique

Si l'on souhaite utiliser le droit pour corriger les géants, il faut d'abord trouver un critère objectif pour les identifier. Ensuite, autour de ce critère, le droit pourra poser des obligations spécifiques pour former un « statut juridique » adapté à leur situation. Ce nouveau statut juridique se placerait à mi-chemin entre celui d'hébergeur et d'éditeur ; moins souple que le premier, moins strict que le second.

Le « pouvoir de contrainte » des géants pourrait être ce critère permettant de délimiter leur nouveau statut. Ce « pouvoir » apparaît lorsque les utilisateurs d'une plateforme ne peuvent pas la quitter sans subir des « conséquences négatives », ce qui permet à la plateforme d'imposer les règles de son choix. Dans notre exemple précédent, ces « conséquences négatives » étaient la perte des liens humains tissés sur la plateforme. Pour mesurer la gravité de cette perte, ces liens peuvent être appréciés selon la taille de la plateforme, sa durée d'existence et son fonctionnement, par exemple.

Les « conséquences négatives » à prendre en compte pour mesurer le « pouvoir de contrainte » des plateformes ne doivent pas se limiter à ce seul exemple. En effet, pour choisir ce critère, nous nous sommes directement inspirés du principe de « liberté du consentement » qui est au cœur du RGPD (voir par exemple notre plainte contre Google, p. 4, pour plus de détails). Aujourd'hui, nous proposons d'étendre ce critère aux questions de liberté d'information, avec toute la souplesse qu'il offre pour s'adapter à différentes situations.

Une fois ce critère posé, vient la question du contenu de ce nouveau statut (dans la suite de notre propos, nous appelons « géants » tout service qui dispose du « pouvoir de contrainte » défini ci-dessus - et pas seulement les GAFAM).

Il y a plusieurs façons d'empêcher les géants d'abuser de leur pouvoir pour nous enfermer dans leurs règles nocives, qui distordent nos échanges à leurs fins personnelles. Dans les débats à venir, nous devrons identifier les meilleures façons de le faire. Nous soumettons ici des premières pistes.

Et, pour commencer, il semble utile de revenir aux fondamentaux. De repartir du principe à la base de la neutralité du Net : si vous n'avez pas vraiment le choix d'utiliser un service pour communiquer, ce service ne doit pas être autorisé à hiérarchiser (favoriser, ralentir ou censurer) les informations que vous publiez et recevez, sauf si la loi l'exige (relire notre rapport de 2010 sur la neutralité du Net).

Ainsi, il faut imposer aux géants le choix suivant : renoncer à leur pouvoir de contrainte (et donc redevenir de simples hébergeurs) ou devenir neutre.

S'ouvrir à la décentralisation...

En pratique, pour ne pas perdre nos liens tissés sur les géants, nous n'avons pas d'autre choix que de continuer à les utiliser. C'est une chose qui peut être corrigée si les géants deviennent « interopérables » avec d'autres services : s'ils nous permettent de continuer de parler avec nos « amis Facebook » sans être nous-même encore inscrits sur Facebook.

Techniquement, cette « interopérabilité » passe par l'application de « standards de communication » : un langage partagé par plusieurs services afin de communiquer entre eux. Par exemple, le standard ActivityPub propose un standard pour « réseaux sociaux décentralisés » - et nous y voyons l'espoir concret de l'essor d'un Web décentralisé. De plus, appliquer de tels standards serait une façon de rendre effectif le « droit à la portabilité » créé par le RGPD (à l'article 20) et qui, sans interopérabilité entre plateformes, peine pour l'instant à démontrer son utilité.

Concrètement, nous pourrions quitter un géant (par exemple Twitter) pour migrer vers un autre service (Mamot.fr, le service décentralisé de micro-bloging Mastodon proposé par La Quadrature). Depuis ce nouveau service, nous pourrions continuer de recevoir et d'envoyer des messages aux personnes restées sur le géant (Twitter), sans rompre nos liens avec elles.

Ainsi, dès lors qu'un géant abandonnerait son pouvoir de contrainte, nous pourrions librement échapper au cadre destructeur de sa capitalisation de notre attention. Le cercle vertueux de la décentralisation reprenant le pas, le pouvoir de contrainte de ce géant-ci pourrait diminuer, jusqu'au point où, éventuellement, il pourrait revenir dans le statut plus souple des hébergeurs.

Dans tous les cas, il serait tenu, comme n'importe quel hébergeur, d'afficher clairement ses règles de hiérarchisation des contenus, nous permettant de nous y soumettre ou non en pleine connaissance de cause. De même, revenir à un cadre d'hébergeur « plus souple » ne signifie en aucun cas d'alléger les obligations en matière de protection des données personnelles : ces données ne doivent jamais permettre de hiérarchiser les contenus sans le consentement explicite de chaque personne concernée.

... ou devenir neutre

Dans le cas où un géant refuserait de s'ouvrir à la décentralisation (en refusant d'appliquer les standards le permettant), il devrait lui être interdit de hiérarchiser nos échanges selon ses propres règles - puisque nous ne pouvons pas échapper à celles-ci.

Cette interdiction pourrait prendre différentes formes. Par exemple, cela pourrait être une interdiction de principe contrôlée par une autorité indépendante (de même que la neutralité du Net est protégée par l'ARCEP - l'autorité de régulation des communications électroniques et des postes). Aussi, cela pourrait être la possibilité pour chaque personne d'attaquer en justice un géant qui aurait censuré un contenu licite. Enfin, en cas de censure répétée de contenus licites, par exemple, ces actions en justice pourraient prendre la forme de plaintes collectives (de la même façon que le RGPD nous a permis d'agir à 12 000 personnes contre les GAFAM pour protéger nos données personnelles). Rappelons, que, aujourd'hui, se défendre contre ces censures abusives est pratiquement impossible.

Pour résumer : si les géants continuent de nous enfermer (en refusant de s'ouvrir à la décentralisation), ils doivent devenir neutres (ne pas censurer de contenus licites ni en favoriser certains aux détriments d'autres). Cette absence de hiérarchisation serait vaine si elle n'était pas totale : elle doit autant interdire la censure de nus réalisée par Facebook que la mise en avant de contenus favorisant l'économie de l'attention ou étant payés par leur émetteur (à des fins publicitaires). C'est cette même rigueur qui est la base de la neutralité du Net et qu'il faudra appliquer strictement. Autrement, aucune des dérives de l'économie de l'attention ne sera corrigée.

Aucune censure automatisée

Dans tous les cas, les géants, mêmes neutres, ne doivent être soumis à aucune obligation de surveiller les contenus qu'ils diffusent pour censurer les informations « manifestement illicites » de façon automatique. Pourtant, c'est ce que prévoient en creux la directive sur le droit d'auteur ou la récente proposition de règlement européen contre la diffusion de contenus terroristes. Ces obligations sont inacceptables, au moins pour trois raison.

En premier lieu, la directive européenne de 2000 qui encadre l'activité des intermédiaires du Net prévoit déjà ceci, à son article 15 : « les États membres ne doivent pas imposer aux prestataires [...] une obligation générale de surveiller les informations qu'ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ». Cette protection bénéficie à tous les intermédiaires du Net, même ceux non-neutres et ne bénéficiant pas du statut des hébergeurs stricto-sensu.

En deuxième lieu, indépendamment de cette directive, la Cour de justice de l'Union européenne juge depuis 2012 que ces obligations violeraient nos droits à la vie privée et à la liberté d'information, tels que reconnus par la Charte de droits fondamentaux de l'Union européenne. Précisément, la Cour affirme qu'imposer à une plateforme de « procéder à une surveillance active de la quasi-totalité des données concernant l’ensemble des utilisateurs de ses services, afin de prévenir toute atteinte future à des droits de propriété intellectuelle » (il s'agissait alors d'une affaire de contrefaçon) « impliquerait, d’une part, l’identification, l’analyse systématique et le traitement des informations relatives aux profils créés sur le réseau social par les utilisateurs de ce dernier » et, d'autre part, « risquerait de porter atteinte à la liberté d’information, puisque ce système risquerait de ne pas suffisamment distinguer entre un contenu illicite et un contenu licite, de sorte que son déploiement pourrait avoir pour effet d’entraîner le blocage de communications à contenu licite ». Ainsi, une telle obligation « ne respecterait pas l’exigence d’assurer un juste équilibre entre le droit de propriété intellectuelle, d’une part, et la liberté d’entreprise, le droit à la protection des données à caractère personnel et la liberté de recevoir ou de communiquer des informations, d’autre part » (SABAM c. Netlog, CJUE, 3ème ch., 16 février 2012, C-360/10, points 38, 49, 50 et 51).

En troisième et dernier lieu, exiger que les géants surveillent tous les contenus en temps réel ne fera que favoriser le phénomène déjà problématique de la délocalisation à bas coût de la modération des contenus vers des armées d'employés travaillant dans des conditions extrêmement anxiogènes, afin de « compenser » des machines forcément imparfaites. La plupart souffrent déjà de traumatismes mentaux à force de « rester, des heures durant, l’œil rivé sur un écran d’ordinateur, où s’affichent des images et des vidéos de corps déchiquetés et écartelés, d’enfants noyés ou violentés, sans compter le flot continu d’injures et d’appels aux meurtres ».

Vouloir renforcer les obligations de censure imposées aux géants du Web est une fuite en avant. Elle repose sur l'idée aussi absurde que dangereuse que des solutions technologiques pourraient régler des problèmes avant tout sociaux et politiques. Surtout, elle refuse de prendre le problème à sa racine, pour se contenter d'en gérer les symptômes (nous dénoncions le même manque d'ambition dans la proposition de loi sur la diffusion de « fausses informations »).

L'économie de l'attention, devenue hégémonique sur Internet, est au centre du problème que le gouvernement prétend vouloir résoudre : la sur-diffusion de propos anxiogènes ou violents et notre sur-exposition à des interactions non-souhaitées. Seul le développement de services ouverts ou neutres permettra d'en contenir les dérives - ce qui, au passage, permettra au juge de se recentrer sur les infractions les plus graves.

Il y a bien des façons de favoriser le développement de ces alternatives. Nos propositions juridiques actuelles sont pensées comme des premières pistes, que nous vous invitons à discuter en nous écrivant ou en venant à notre prochaine réunion publique dans nos locaux, vendredi 12 octobre dès 19h, par exemple :)

]]>
Tribune d'Arthur Messaud

9 octobre 2018 - Il y a 10 jours, nous expliquions que décentraliser le Web offrait l'espoir d'une organisation démocratique de nos échanges en ligne, en solution à l'hégémonie de l'économie de l'attention. En effet, les géants du Web distordent nos échanges pour des raisons économiques en favorisant les propos anxiogènes, caricaturaux, violents ou payés... au détriment des autres, et cela doit être corrigé.

Pour favoriser une alternative décentralisée, nous proposions que les hébergeurs libres (qui ne nous imposent pas une hiérarchisation des contenus) ne soient plus soumis aux mêmes obligations légales que les plateformes géantes (qui nous imposent leur hiérarchisation des contenus).

Ces obligations légales, qui exigent de censurer de plus en plus vite les contenus « manifestement illicites » dont les hébergeurs ont connaissance, freinent le développement du Web décentralisé. Ainsi, nous proposions que les hébergeurs libres n'aient plus à supporter ces lourdes obligations : que seul un juge puisse exiger d'eux qu'ils censurent un contenu.

Aujourd'hui, la question que nous abordons ne concerne plus les hébergeurs libres, mais les autres : quelles obligations imposer aux plateformes géantes ?

Le pouvoir des géants

Ce récit est malheureusement assez commun : vous vous êtes inscrit sur Facebook, Youtube ou Twitter il y a de nombreuses années et, depuis, vous y avez tissé de nombreuses relations (des « amis » ajoutés sur Facebook au fil des rencontres, un public attentif réuni sur Youtube, des personnes pertinentes suivies sur Twitter). Au fil des années, ces plateformes ont adopté des règles de hiérarchisation des contenus de plus en plus contraignantes.

Facebook et Instagram se sont mis à censurer toute image contraire à leur vision puritaine de la société, à masquer les sites de presse contraires à ce qu'ils jugent être le « juste débat » et à organiser nos « fils d'actualité » pour nous rendre plus réceptifs à leur publicité. Youtube favorise des vidéos de plus en plus anxiogènes, pour nous faire rester le plus longtemps possible sur son site, au détriment des autres vidéos dont l'audience devient de plus en plus gérée par l'entreprise seule. Twitter organise nos échanges pour les rendre de plus en plus vifs et captifs, sans se soucier des conséquences sur le débat public.

Plus généralement, s'est tissé « un lien pervers entre propos haineux et impact publicitaire : les personnes tenant des propos choquants ou extrémistes sont celles qui "rapportent" le plus car l'une d'entre elles peut en provoquer cinquante ou cent autres. Sous cet angle, l’intérêt financier des réseaux sociaux est d’en héberger le plus possible » (« Renforcer la lutte contre le racisme et l'antisémitisme sur Internet », Rapport au Premier Ministre, p. 36).

Pourtant, nombre d'entre nous restons sur ces plateformes. Nous ne pouvons pas rompre d'un coup tous les liens que nous y avons tissés. Nous subissons toutes ces nouvelles contraintes sans les avoir choisies ni sans pouvoir vraiment y échapper. C'est ce qu'il faut corriger.

Un nouveau statut juridique

Si l'on souhaite utiliser le droit pour corriger les géants, il faut d'abord trouver un critère objectif pour les identifier. Ensuite, autour de ce critère, le droit pourra poser des obligations spécifiques pour former un « statut juridique » adapté à leur situation. Ce nouveau statut juridique se placerait à mi-chemin entre celui d'hébergeur et d'éditeur ; moins souple que le premier, moins strict que le second.

Le « pouvoir de contrainte » des géants pourrait être ce critère permettant de délimiter leur nouveau statut. Ce « pouvoir » apparaît lorsque les utilisateurs d'une plateforme ne peuvent pas la quitter sans subir des « conséquences négatives », ce qui permet à la plateforme d'imposer les règles de son choix. Dans notre exemple précédent, ces « conséquences négatives » étaient la perte des liens humains tissés sur la plateforme. Pour mesurer la gravité de cette perte, ces liens peuvent être appréciés selon la taille de la plateforme, sa durée d'existence et son fonctionnement, par exemple.

Les « conséquences négatives » à prendre en compte pour mesurer le « pouvoir de contrainte » des plateformes ne doivent pas se limiter à ce seul exemple. En effet, pour choisir ce critère, nous nous sommes directement inspirés du principe de « liberté du consentement » qui est au cœur du RGPD (voir par exemple notre plainte contre Google, p. 4, pour plus de détails). Aujourd'hui, nous proposons d'étendre ce critère aux questions de liberté d'information, avec toute la souplesse qu'il offre pour s'adapter à différentes situations.

Une fois ce critère posé, vient la question du contenu de ce nouveau statut (dans la suite de notre propos, nous appelons « géants » tout service qui dispose du « pouvoir de contrainte » défini ci-dessus - et pas seulement les GAFAM).

Il y a plusieurs façons d'empêcher les géants d'abuser de leur pouvoir pour nous enfermer dans leurs règles nocives, qui distordent nos échanges à leurs fins personnelles. Dans les débats à venir, nous devrons identifier les meilleures façons de le faire. Nous soumettons ici des premières pistes.

Et, pour commencer, il semble utile de revenir aux fondamentaux. De repartir du principe à la base de la neutralité du Net : si vous n'avez pas vraiment le choix d'utiliser un service pour communiquer, ce service ne doit pas être autorisé à hiérarchiser (favoriser, ralentir ou censurer) les informations que vous publiez et recevez, sauf si la loi l'exige (relire notre rapport de 2010 sur la neutralité du Net).

Ainsi, il faut imposer aux géants le choix suivant : renoncer à leur pouvoir de contrainte (et donc redevenir de simples hébergeurs) ou devenir neutre.

S'ouvrir à la décentralisation...

En pratique, pour ne pas perdre nos liens tissés sur les géants, nous n'avons pas d'autre choix que de continuer à les utiliser. C'est une chose qui peut être corrigée si les géants deviennent « interopérables » avec d'autres services : s'ils nous permettent de continuer de parler avec nos « amis Facebook » sans être nous-même encore inscrits sur Facebook.

Techniquement, cette « interopérabilité » passe par l'application de « standards de communication » : un langage partagé par plusieurs services afin de communiquer entre eux. Par exemple, le standard ActivityPub propose un standard pour « réseaux sociaux décentralisés » - et nous y voyons l'espoir concret de l'essor d'un Web décentralisé. De plus, appliquer de tels standards serait une façon de rendre effectif le « droit à la portabilité » créé par le RGPD (à l'article 20) et qui, sans interopérabilité entre plateformes, peine pour l'instant à démontrer son utilité.

Concrètement, nous pourrions quitter un géant (par exemple Twitter) pour migrer vers un autre service (Mamot.fr, le service décentralisé de micro-bloging Mastodon proposé par La Quadrature). Depuis ce nouveau service, nous pourrions continuer de recevoir et d'envoyer des messages aux personnes restées sur le géant (Twitter), sans rompre nos liens avec elles.

Ainsi, dès lors qu'un géant abandonnerait son pouvoir de contrainte, nous pourrions librement échapper au cadre destructeur de sa capitalisation de notre attention. Le cercle vertueux de la décentralisation reprenant le pas, le pouvoir de contrainte de ce géant-ci pourrait diminuer, jusqu'au point où, éventuellement, il pourrait revenir dans le statut plus souple des hébergeurs.

Dans tous les cas, il serait tenu, comme n'importe quel hébergeur, d'afficher clairement ses règles de hiérarchisation des contenus, nous permettant de nous y soumettre ou non en pleine connaissance de cause. De même, revenir à un cadre d'hébergeur « plus souple » ne signifie en aucun cas d'alléger les obligations en matière de protection des données personnelles : ces données ne doivent jamais permettre de hiérarchiser les contenus sans le consentement explicite de chaque personne concernée.

... ou devenir neutre

Dans le cas où un géant refuserait de s'ouvrir à la décentralisation (en refusant d'appliquer les standards le permettant), il devrait lui être interdit de hiérarchiser nos échanges selon ses propres règles - puisque nous ne pouvons pas échapper à celles-ci.

Cette interdiction pourrait prendre différentes formes. Par exemple, cela pourrait être une interdiction de principe contrôlée par une autorité indépendante (de même que la neutralité du Net est protégée par l'ARCEP - l'autorité de régulation des communications électroniques et des postes). Aussi, cela pourrait être la possibilité pour chaque personne d'attaquer en justice un géant qui aurait censuré un contenu licite. Enfin, en cas de censure répétée de contenus licites, par exemple, ces actions en justice pourraient prendre la forme de plaintes collectives (de la même façon que le RGPD nous a permis d'agir à 12 000 personnes contre les GAFAM pour protéger nos données personnelles). Rappelons, que, aujourd'hui, se défendre contre ces censures abusives est pratiquement impossible.

Pour résumer : si les géants continuent de nous enfermer (en refusant de s'ouvrir à la décentralisation), ils doivent devenir neutres (ne pas censurer de contenus licites ni en favoriser certains aux détriments d'autres). Cette absence de hiérarchisation serait vaine si elle n'était pas totale : elle doit autant interdire la censure de nus réalisée par Facebook que la mise en avant de contenus favorisant l'économie de l'attention ou étant payés par leur émetteur (à des fins publicitaires). C'est cette même rigueur qui est la base de la neutralité du Net et qu'il faudra appliquer strictement. Autrement, aucune des dérives de l'économie de l'attention ne sera corrigée.

Aucune censure automatisée

Dans tous les cas, les géants, mêmes neutres, ne doivent être soumis à aucune obligation de surveiller les contenus qu'ils diffusent pour censurer les informations « manifestement illicites » de façon automatique. Pourtant, c'est ce que prévoient en creux la directive sur le droit d'auteur ou la récente proposition de règlement européen contre la diffusion de contenus terroristes. Ces obligations sont inacceptables, au moins pour trois raison.

En premier lieu, la directive européenne de 2000 qui encadre l'activité des intermédiaires du Net prévoit déjà ceci, à son article 15 : « les États membres ne doivent pas imposer aux prestataires [...] une obligation générale de surveiller les informations qu'ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ». Cette protection bénéficie à tous les intermédiaires du Net, même ceux non-neutres et ne bénéficiant pas du statut des hébergeurs stricto-sensu.

En deuxième lieu, indépendamment de cette directive, la Cour de justice de l'Union européenne juge depuis 2012 que ces obligations violeraient nos droits à la vie privée et à la liberté d'information, tels que reconnus par la Charte de droits fondamentaux de l'Union européenne. Précisément, la Cour affirme qu'imposer à une plateforme de « procéder à une surveillance active de la quasi-totalité des données concernant l’ensemble des utilisateurs de ses services, afin de prévenir toute atteinte future à des droits de propriété intellectuelle » (il s'agissait alors d'une affaire de contrefaçon) « impliquerait, d’une part, l’identification, l’analyse systématique et le traitement des informations relatives aux profils créés sur le réseau social par les utilisateurs de ce dernier » et, d'autre part, « risquerait de porter atteinte à la liberté d’information, puisque ce système risquerait de ne pas suffisamment distinguer entre un contenu illicite et un contenu licite, de sorte que son déploiement pourrait avoir pour effet d’entraîner le blocage de communications à contenu licite ». Ainsi, une telle obligation « ne respecterait pas l’exigence d’assurer un juste équilibre entre le droit de propriété intellectuelle, d’une part, et la liberté d’entreprise, le droit à la protection des données à caractère personnel et la liberté de recevoir ou de communiquer des informations, d’autre part » (SABAM c. Netlog, CJUE, 3ème ch., 16 février 2012, C-360/10, points 38, 49, 50 et 51).

En troisième et dernier lieu, exiger que les géants surveillent tous les contenus en temps réel ne fera que favoriser le phénomène déjà problématique de la délocalisation à bas coût de la modération des contenus vers des armées d'employés travaillant dans des conditions extrêmement anxiogènes, afin de « compenser » des machines forcément imparfaites. La plupart souffrent déjà de traumatismes mentaux à force de « rester, des heures durant, l’œil rivé sur un écran d’ordinateur, où s’affichent des images et des vidéos de corps déchiquetés et écartelés, d’enfants noyés ou violentés, sans compter le flot continu d’injures et d’appels aux meurtres ».

Vouloir renforcer les obligations de censure imposées aux géants du Web est une fuite en avant. Elle repose sur l'idée aussi absurde que dangereuse que des solutions technologiques pourraient régler des problèmes avant tout sociaux et politiques. Surtout, elle refuse de prendre le problème à sa racine, pour se contenter d'en gérer les symptômes (nous dénoncions le même manque d'ambition dans la proposition de loi sur la diffusion de « fausses informations »).

L'économie de l'attention, devenue hégémonique sur Internet, est au centre du problème que le gouvernement prétend vouloir résoudre : la sur-diffusion de propos anxiogènes ou violents et notre sur-exposition à des interactions non-souhaitées. Seul le développement de services ouverts ou neutres permettra d'en contenir les dérives - ce qui, au passage, permettra au juge de se recentrer sur les infractions les plus graves.

Il y a bien des façons de favoriser le développement de ces alternatives. Nos propositions juridiques actuelles sont pensées comme des premières pistes, que nous vous invitons à discuter en nous écrivant ou en venant à notre prochaine réunion publique dans nos locaux, vendredi 12 octobre dès 19h, par exemple :)

]]>
Un collectif assumé : compte rendu de notre assemblée générale 10633 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181005_163812_Un_collectif_assume___compte_rendu_de_notre_assemblee_generale_Fri, 05 Oct 2018 14:38:12 +0000Paris, 5 octobre 2018 – Comme annoncé fin 2017 lors du bilan de ses dix premières années, La Quadrature du Net a entamé une transformation profonde de son organisation et de ses modes d'action, pour tenir compte de son histoire et s'adapter à un environnement politique transformé. Cela s'est notamment traduit par un élargissement du noyau de l'équipe : il y a quelques mois, nous avons intégré une trentaine de bénévoles au fonctionnement et au travail quotidien de l'association, en qualité de membres.

Pendant le week-end du 29-30 septembre, 26 membres et salarié·es de l'association se sont réuni·es pour une seconde assemblée générale (AG), accompagné·es à distance par certain·es des absent·es excusé·es. Beaucoup de choses devaient être évoquées : des souffrances personnelles qui avaient été exprimées, des réflexions collectives que nous devions faire aboutir, des chantiers ouverts à reprendre. Il fallait notamment définir l'accueil et l'organisation des nouveaux membres, la mise en place des outils nécessaires à nos actions et la feuille de route des prochaines actions militantes.

C'est ce point d'étape que nous partageons avec vous aujourd'hui.

Bilan des six derniers mois

L'AG précédente avait formé des groupes de travail, soit en fonction des sujets traités par l'association (Startuffe Nation, surveillance d'État, régulation des télécoms, copyright, etc.), soit plus opérationnels comme le groupe adminsys, la revue de presse, la communication, ou le « routage » (l'accompagnement des nouveaux militants).

Six mois après, nous constatons que cette méthode est efficace. Ces groupes possèdent une vraie souplesse, notamment pour travailler avec d'autres associations (par exemple, sur la régulation des télécoms, sujet partagé avec la Fédération FDN).
Sans occulter les difficultés, nous avons partagé nos expériences les plus enthousiasmantes, les moments où nous avons été fièr·es de notre action à La Quadrature, où nous avons remporté des victoires.

  • La campagne GAFAM a largement rempli ses objectifs. La balle est aujourd'hui dans le camp des CNIL européennes.
  • La réforme européenne du droit des télécoms propose, pour la première fois, un cadre réglementaire taillé sur mesure pour les petits opérateurs (notamment ceux de FFDN, on vous en reparle bientôt).
  • La campagne Stop Data Retention a rassemblé pour la première fois soixante ONG à travers l'Europe, et nos autres recours devant les juges avancent .
  • Nous commençons à soulever le lièvre de la Smart City et de sa dimension « surveillance ».
  • Nous avons amorcé un changement de position sur le statut des hébergeurs qui, même s'il suscite des interrogations chez nos allié·es historiques, nous semble ouvrir une voie utile pour limiter la nocivité des géants du Net et garantir un cadre juridique vivable aux hébergeurs neutres, et ainsi mieux protéger la liberté d'expression sur Internet.

Concernant notre organisation, nous pouvons mentionner, en vrac : l'implication active des bénévoles dans la communication et l'image de La Quadrature (le nouveau site arrive), nos nombreuses interventions auprès d'étudiant·es et du grand public (nous avons quelque chose à transmettre !), notre instance Peertube qui est une des plus fournies du Fediverse.

Pour plusieurs de nos membres, ces six derniers mois ont été l'occasion de faire leurs premières interventions publiques au nom de La Quadrature : l'association n'est plus centrée sur ses cofondateurs et portes-parole habituels, mais s'est élargie à l'ensemble de ses membres. Les expertises et les points de vue particuliers se confrontent, recréent du débat et nourrissent maintenant la voix de l'association.

Au cours de ces six derniers mois, l'association a développé ses actions avec des méthodes de travail nouvelles qui portent déjà leurs fruits.

Militer, ensemble : les vies de La Quadrature

À travers une discussion ouverte et apaisée, nous avons pu faire le douloureux (mais lucide) constat d'un problème dans l'articulation entre deux éléments : une équipe de salarié·es faisant face à de très nombreuses sollicitations, dans un climat où en matière de libertés fondamentales tous les sujets ou presque sont urgents ; un bureau bénévole qui continuait à cristalliser des attentes irraisonnables, pour la plupart héritées de la structure très resserrée des débuts de La Quadrature, et empêchait mécaniquement une meilleure répartition des tâches et des responsabilités avec les autres membres. Tout cela générait des tensions.

C'est dans ce contexte que, après dix ans d'engagement au sein de La Quadrature, Félix — l'un des deux co-présidents — a annoncé qu'il quittait le bureau, estimant que les chantiers d'organisation étaient suffisamment avancés pour qu'il prenne un peu de recul. Benjamin Bayart, qui l'épaulait à ce poste, a décidé de faire de même. Tous les deux restent membres de l'association et continuent à s'investir dans des dossiers majeurs.

Tout ceci nous a conduit à prendre le temps d'une discussion de fond et à repenser en profondeur l'organisation de l'association. L'idée est de permettre à l'ensemble des membres de travailler main dans la main avec l'équipe salariée, à travers différents groupes fluides et fonctionnels. Nous avons également consacré la collégialité dans la prise de décision, avec une large autonomie laissée à ces groupes.

Un nouveau bureau a été élu — destiné à jouer un rôle purement administratif (c'est une obligation légale) — et les rôles au sein du bureau ont été tirés au sort. Sa composition est transitoire et sera revue à l'occasion de la refonte des statuts lors de la prochaine AG, dans 6 mois.

L'ouverture en actes

Le gros chantier de cette AG consistait à définir les conditions d'accueil des nouve·lles membres, dans le cadre d'un deuxième élargissement à venir pour s'ouvrir à de nouvelles expertises et bonnes volontés. Tout était à inventer. Nous publierons avant la fin de l'année des informations sur la manière dont les bénévoles peuvent devenir membres de LQDN.

Le statut de membre entérine en fait un engagement aux côtés de l'association. Ce qui implique que l'action quotidienne de LQDN s'accompagne de nouveaux espaces de travail ouverts à tou·tes. C'est une nécessité, compte tenu du nombre des sujets à traiter, de l'importance de faire vivre le débat, de partager les expertises, et de trouver de nouveaux leviers de mobilisation collective. Nous vous présenterons donc, dans les prochaines semaines, de nouveaux espaces pour travailler ensemble sur les très nombreux sujets dont La Quadrature peut s'emparer.

Conclusion

Au total, cette assemblée générale à mi-parcours nous a tou·tes surpris·es. Tout s'est encore mieux passé que prévu. Nous avons pris deux jours pour faire le point, comprendre les souffrances de chacun·e, dans un calme et une écoute exemplaires. Nous sommes parvenu·es à tout mettre sur la table pour acter des méthodes nouvelles et précises, sans fâcher ni exclure personne. Il s'agit maintenant de pérenniser ce travail dans nos statuts.

L'horizon politique est ce qu'il est, et celui du numérique est inquiétant. En dépit d'un contexte hostile, ou à cause de lui, nous jouerons à fond notre rôle dans la défense politique et juridique d'un Internet libre, tourné vers l'émancipation, en lien avec d'autres organisations militantes. En repensant notre organisation, nous travaillons à nous remettre en question pour nous réinventer et jouer ce rôle du mieux que nous le pourrons, en prenant soin les un·es des autres.

Internet, Datalove et libertés <3

]]>
Paris, 5 octobre 2018 – Comme annoncé fin 2017 lors du bilan de ses dix premières années, La Quadrature du Net a entamé une transformation profonde de son organisation et de ses modes d'action, pour tenir compte de son histoire et s'adapter à un environnement politique transformé. Cela s'est notamment traduit par un élargissement du noyau de l'équipe : il y a quelques mois, nous avons intégré une trentaine de bénévoles au fonctionnement et au travail quotidien de l'association, en qualité de membres.

Pendant le week-end du 29-30 septembre, 26 membres et salarié·es de l'association se sont réuni·es pour une seconde assemblée générale (AG), accompagné·es à distance par certain·es des absent·es excusé·es. Beaucoup de choses devaient être évoquées : des souffrances personnelles qui avaient été exprimées, des réflexions collectives que nous devions faire aboutir, des chantiers ouverts à reprendre. Il fallait notamment définir l'accueil et l'organisation des nouveaux membres, la mise en place des outils nécessaires à nos actions et la feuille de route des prochaines actions militantes.

C'est ce point d'étape que nous partageons avec vous aujourd'hui.

Bilan des six derniers mois

L'AG précédente avait formé des groupes de travail, soit en fonction des sujets traités par l'association (Startuffe Nation, surveillance d'État, régulation des télécoms, copyright, etc.), soit plus opérationnels comme le groupe adminsys, la revue de presse, la communication, ou le « routage » (l'accompagnement des nouveaux militants).

Six mois après, nous constatons que cette méthode est efficace. Ces groupes possèdent une vraie souplesse, notamment pour travailler avec d'autres associations (par exemple, sur la régulation des télécoms, sujet partagé avec la Fédération FDN).
Sans occulter les difficultés, nous avons partagé nos expériences les plus enthousiasmantes, les moments où nous avons été fièr·es de notre action à La Quadrature, où nous avons remporté des victoires.

  • La campagne GAFAM a largement rempli ses objectifs. La balle est aujourd'hui dans le camp des CNIL européennes.
  • La réforme européenne du droit des télécoms propose, pour la première fois, un cadre réglementaire taillé sur mesure pour les petits opérateurs (notamment ceux de FFDN, on vous en reparle bientôt).
  • La campagne Stop Data Retention a rassemblé pour la première fois soixante ONG à travers l'Europe, et nos autres recours devant les juges avancent .
  • Nous commençons à soulever le lièvre de la Smart City et de sa dimension « surveillance ».
  • Nous avons amorcé un changement de position sur le statut des hébergeurs qui, même s'il suscite des interrogations chez nos allié·es historiques, nous semble ouvrir une voie utile pour limiter la nocivité des géants du Net et garantir un cadre juridique vivable aux hébergeurs neutres, et ainsi mieux protéger la liberté d'expression sur Internet.

Concernant notre organisation, nous pouvons mentionner, en vrac : l'implication active des bénévoles dans la communication et l'image de La Quadrature (le nouveau site arrive), nos nombreuses interventions auprès d'étudiant·es et du grand public (nous avons quelque chose à transmettre !), notre instance Peertube qui est une des plus fournies du Fediverse.

Pour plusieurs de nos membres, ces six derniers mois ont été l'occasion de faire leurs premières interventions publiques au nom de La Quadrature : l'association n'est plus centrée sur ses cofondateurs et portes-parole habituels, mais s'est élargie à l'ensemble de ses membres. Les expertises et les points de vue particuliers se confrontent, recréent du débat et nourrissent maintenant la voix de l'association.

Au cours de ces six derniers mois, l'association a développé ses actions avec des méthodes de travail nouvelles qui portent déjà leurs fruits.

Militer, ensemble : les vies de La Quadrature

À travers une discussion ouverte et apaisée, nous avons pu faire le douloureux (mais lucide) constat d'un problème dans l'articulation entre deux éléments : une équipe de salarié·es faisant face à de très nombreuses sollicitations, dans un climat où en matière de libertés fondamentales tous les sujets ou presque sont urgents ; un bureau bénévole qui continuait à cristalliser des attentes irraisonnables, pour la plupart héritées de la structure très resserrée des débuts de La Quadrature, et empêchait mécaniquement une meilleure répartition des tâches et des responsabilités avec les autres membres. Tout cela générait des tensions.

C'est dans ce contexte que, après dix ans d'engagement au sein de La Quadrature, Félix — l'un des deux co-présidents — a annoncé qu'il quittait le bureau, estimant que les chantiers d'organisation étaient suffisamment avancés pour qu'il prenne un peu de recul. Benjamin Bayart, qui l'épaulait à ce poste, a décidé de faire de même. Tous les deux restent membres de l'association et continuent à s'investir dans des dossiers majeurs.

Tout ceci nous a conduit à prendre le temps d'une discussion de fond et à repenser en profondeur l'organisation de l'association. L'idée est de permettre à l'ensemble des membres de travailler main dans la main avec l'équipe salariée, à travers différents groupes fluides et fonctionnels. Nous avons également consacré la collégialité dans la prise de décision, avec une large autonomie laissée à ces groupes.

Un nouveau bureau a été élu — destiné à jouer un rôle purement administratif (c'est une obligation légale) — et les rôles au sein du bureau ont été tirés au sort. Sa composition est transitoire et sera revue à l'occasion de la refonte des statuts lors de la prochaine AG, dans 6 mois.

L'ouverture en actes

Le gros chantier de cette AG consistait à définir les conditions d'accueil des nouve·lles membres, dans le cadre d'un deuxième élargissement à venir pour s'ouvrir à de nouvelles expertises et bonnes volontés. Tout était à inventer. Nous publierons avant la fin de l'année des informations sur la manière dont les bénévoles peuvent devenir membres de LQDN.

Le statut de membre entérine en fait un engagement aux côtés de l'association. Ce qui implique que l'action quotidienne de LQDN s'accompagne de nouveaux espaces de travail ouverts à tou·tes. C'est une nécessité, compte tenu du nombre des sujets à traiter, de l'importance de faire vivre le débat, de partager les expertises, et de trouver de nouveaux leviers de mobilisation collective. Nous vous présenterons donc, dans les prochaines semaines, de nouveaux espaces pour travailler ensemble sur les très nombreux sujets dont La Quadrature peut s'emparer.

Conclusion

Au total, cette assemblée générale à mi-parcours nous a tou·tes surpris·es. Tout s'est encore mieux passé que prévu. Nous avons pris deux jours pour faire le point, comprendre les souffrances de chacun·e, dans un calme et une écoute exemplaires. Nous sommes parvenu·es à tout mettre sur la table pour acter des méthodes nouvelles et précises, sans fâcher ni exclure personne. Il s'agit maintenant de pérenniser ce travail dans nos statuts.

L'horizon politique est ce qu'il est, et celui du numérique est inquiétant. En dépit d'un contexte hostile, ou à cause de lui, nous jouerons à fond notre rôle dans la défense politique et juridique d'un Internet libre, tourné vers l'émancipation, en lien avec d'autres organisations militantes. En repensant notre organisation, nous travaillons à nous remettre en question pour nous réinventer et jouer ce rôle du mieux que nous le pourrons, en prenant soin les un·es des autres.

Internet, Datalove et libertés <3

]]>
Accès Internet en vol : Air France oublie la neutralité du Net sur le tarmac10632 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20181002_140049_Acces_Internet_en_vol____Air_France_oublie_la_neutralite_du_Net_sur_le_tarmacTue, 02 Oct 2018 12:00:49 +0000Paris, 2 octobre 2018 – L'entreprise Air France a annoncé le 26 septembre la mise à disposition d'une offre d'accès à Internet par Wi-Fi à bord de ses avions. Cette offre propose différentes tarifications, basées non pas sur un quota de données ou une vitesse de connexion, mais sur une hiérarchisation des services. L'accès « gratuit » permet aux voyageurs de communiquer via Whatsapp (Facebook), Facebook Messenger, iMessage (Apple) ou WeChat (Tencent). L'opérateur aérien favorise donc ces trois entreprises en incitant fortement ses passagers à passer par leurs services, à l'exclusion de tous les autres, créant ainsi une distorsion de concurrence évidente en empêchant les personnes utilisant d'autres protocoles et services de communiquer (que ce soit dans un cadre personnel ou professionnel).

Les deux autres possibilités payantes offrent respectivement un accès aux Web/Mail (et non à l'ensemble d'Internet comme annoncé) et à des services de streaming. On peut facilement craindre qu'elles limitent elles aussi les accès des utilisateurs aux seuls services mis en valeur par la compagnie.

Cette offre limitée d'accès au réseau viole outrageusement la neutralité du Net, garantie notamment par le Règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un Internet ouvert. En effet, elle discrimine certains services aux dépens d'autres pourtant similaires, aux dépens des utilisateurs de ces derniers. L'ajustement des offres ne devrait avoir lieu que sur l'utilisation des ressources et non sur la discrimination de services.

Depuis de nombreuses années, La Quadrature du Net met en garde contre l'avènement d'un Internet à plusieurs vitesses, où des gardiens du temple favoriseraient les acteurs installés et leurs partenaires commerciaux, attaquant du même geste la liberté de choix des utilisateurs et utilisatrices, la concurrence non-faussée entre les services et, par extension, l'incroyable capacité d'innovation d'Internet.

Nous appelons Air France à revoir sa copie et à offrir à tous ses voyageurs un accès égal à Internet, quels que soient les services qu'ils souhaitent utiliser.

]]>
Paris, 2 octobre 2018 – L'entreprise Air France a annoncé le 26 septembre la mise à disposition d'une offre d'accès à Internet par Wi-Fi à bord de ses avions. Cette offre propose différentes tarifications, basées non pas sur un quota de données ou une vitesse de connexion, mais sur une hiérarchisation des services. L'accès « gratuit » permet aux voyageurs de communiquer via Whatsapp (Facebook), Facebook Messenger, iMessage (Apple) ou WeChat (Tencent). L'opérateur aérien favorise donc ces trois entreprises en incitant fortement ses passagers à passer par leurs services, à l'exclusion de tous les autres, créant ainsi une distorsion de concurrence évidente en empêchant les personnes utilisant d'autres protocoles et services de communiquer (que ce soit dans un cadre personnel ou professionnel).

Les deux autres possibilités payantes offrent respectivement un accès aux Web/Mail (et non à l'ensemble d'Internet comme annoncé) et à des services de streaming. On peut facilement craindre qu'elles limitent elles aussi les accès des utilisateurs aux seuls services mis en valeur par la compagnie.

Cette offre limitée d'accès au réseau viole outrageusement la neutralité du Net, garantie notamment par le Règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un Internet ouvert. En effet, elle discrimine certains services aux dépens d'autres pourtant similaires, aux dépens des utilisateurs de ces derniers. L'ajustement des offres ne devrait avoir lieu que sur l'utilisation des ressources et non sur la discrimination de services.

Depuis de nombreuses années, La Quadrature du Net met en garde contre l'avènement d'un Internet à plusieurs vitesses, où des gardiens du temple favoriseraient les acteurs installés et leurs partenaires commerciaux, attaquant du même geste la liberté de choix des utilisateurs et utilisatrices, la concurrence non-faussée entre les services et, par extension, l'incroyable capacité d'innovation d'Internet.

Nous appelons Air France à revoir sa copie et à offrir à tous ses voyageurs un accès égal à Internet, quels que soient les services qu'ils souhaitent utiliser.

]]>
Réguler Internet par la décentralisation10626 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180926_195153_Reguler_Internet_par_la_decentralisationWed, 26 Sep 2018 17:51:53 +000027 septembre 2018 - La directive droit d’auteur et les récents débats sur les « fausses informations » ont servi d’introduction au débat général sur la régulation du Web, tel qu'il s'annonce pour l'année à venir. Aujourd'hui, La Quadrature du Net présente ses propositions concrètes.

Le gouvernement français veut que les grands réseaux sociaux arrêtent de favoriser la diffusion de « propos haineux ou extrémistes ». Soit.

Le rapport visant à « renforcer la lutte contre le racisme et l'antisémitisme sur Internet », commandé par le Premier ministre et publié jeudi dernier, l'explique très bien. Il dénonce « un lien pervers entre propos haineux et impact publicitaire : les personnes tenant des propos choquants ou extrémistes sont celles qui "rapportent" le plus, car l'une d'entre elles peut en provoquer cinquante ou cent autres. Sous cet angle, l'intérêt des réseaux sociaux est d'en héberger le plus possible ».

Plus généralement, le rapport regrette la « règle selon laquelle un propos choquant fera davantage de "buzz" qu'un propos consensuel, alimentant de façon plus sûre le modèle économique des plateformes ». C'est la même analyse que nous faisions pour expliquer pourquoi attaquer Google ou Facebook en mai dernier, quand nous préparions nos plaintes collectives contre les GAFAM.

Pour compenser cette « règle » qui rendrait la haine et le conflit rentables, le gouvernement veut renforcer les obligations imposées aux plateformes géantes qui en profitent : transparence et devoir de vigilance accrus. Pourquoi pas (cela peut être fait de façon plus ou moins pertinente, nous y reviendrons plus tard). Mais cette solution ne suffira jamais à contrer à elle seule les dérives permises par la « rentabilité du conflit ». Et il est illusoire d'imaginer, comme le fait le rapport cité ci-dessus, qu'on pourrait atténuer ce problème en mettant un juge derrière chaque diffamation ou injure prononcée sur Internet. Il y en a bien trop.

Non, si on veut traiter le problème sérieusement, c'est l'ensemble de l'économie de l'attention qu'il faut remettre en question. Et cela doit passer par l'émergence d'alternatives saines qui reposent sur un autre modèle que celui des GAFAM.

Un droit actuel favorable aux géants

Aujourd'hui et depuis 15 ans, le droit freine le développement de telles alternatives. Il impose des obligations lourdes à tous les « hébergeurs » (les personnes qui conservent et diffusent sur Internet des contenus fournis par le public). Si un contenu « manifestement illicite » est signalé à un hébergeur, il doit le censurer « promptement » ou en devient personnellement responsable1.

En pratique, à La Quadrature du Net, nous avons songé à devenir un hébergeur de vidéos (en autorisant tout le monde à mettre en ligne des vidéos sur notre service de streaming Peertube). Ce serait une façon concrète de participer à la construction d'une alternative à Youtube, qui ne tirerait aucun profit des discours conflictuels ou de la surveillance de masse. Mais nous avons dû y renoncer. Nous n'avons pas du tout assez de juristes pour évaluer quelles vidéos seraient « manifestement illicites ». Nous n'avons pas les moyens de supporter des amendes en cas de plaintes. Youtube reste maître.

Alléger le régime des hébergeurs en les distinguant des plateformes géantes

Si le gouvernement veut effectivement lutter contre la diffusion de « contenus haineux et extrêmes », il doit changer le droit pour favoriser le développement d'alternatives à l'économie de l'attention. Voici notre proposition.

Premièrement, que les hébergeurs ne soient plus soumis aux mêmes obligations que les plateformes géantes, qui régulent les informations de façon active pour leurs intérêts économiques.

Secondement, que les hébergeurs, qui ne tirent aucun profit en mettant en avant de tel ou tel contenu, ne supportent plus la charge d'évaluer si un contenu est « manifestement illicite » et doit être censuré. Seul un juge doit pouvoir leur exiger de censurer un contenu.

Le cercle vertueux de la régulation décentralisée

Permettre à une multitude de petits hébergeurs de se développer fait naître l'espoir d'une auto-régulation efficace, placée dans les mains de l'ensemble de la population.

Dans le cadre de la loi, chaque hébergeur applique ses propres règles de modération, plus ou moins stricte, et chaque personne choisit l'espace de discussion adapté à ses besoins et à ses envies. La liberté de ce choix est renforcée par le développement des standards de « réseaux sociaux décentralisés », notamment du standard ActivityPub publié en janvier 2018 par le World Wide Web Consortium (W3C, à l’origine des standards du Web) et déjà appliqué par Mastodon (alternative à Twitter) ou Peertube. Ces standards permettront à une infinité d'hébergeurs de communiquer entre eux, selon les règles de chacun. Ils permettront aussi à chaque personne de passer librement d'un hébergeur à un autre, d'un jeu de règles à un autre (ce que les plateformes géantes font tout pour empêcher aujourd'hui).

Chaque personne choisira de s'exposer ou non à tel ou tel type de conflit, et chaque hébergeur modérera sa communauté à une échelle humaine. Cette structure offre l'espoir de diminuer significativement les conflits interpersonnels non-souhaités sur Internet. Ainsi, les juridictions n'auront plus à trancher autant de conflits qu'il en existe sur les plateformes géantes et pourront se recentrer sur les infractions les plus graves.

Si le gouvernement veut mieux réguler le Web, il doit le faire sérieusement. En se contentant d'alourdir les obligations des géants, son action restera superficielle. Pour agir en profondeur et sur le long terme, sa démarche doit aussi être constructive, favorisant le développement de modèles vertueux.

]]>
27 septembre 2018 - La directive droit d’auteur et les récents débats sur les « fausses informations » ont servi d’introduction au débat général sur la régulation du Web, tel qu'il s'annonce pour l'année à venir. Aujourd'hui, La Quadrature du Net présente ses propositions concrètes.

Le gouvernement français veut que les grands réseaux sociaux arrêtent de favoriser la diffusion de « propos haineux ou extrémistes ». Soit.

Le rapport visant à « renforcer la lutte contre le racisme et l'antisémitisme sur Internet », commandé par le Premier ministre et publié jeudi dernier, l'explique très bien. Il dénonce « un lien pervers entre propos haineux et impact publicitaire : les personnes tenant des propos choquants ou extrémistes sont celles qui "rapportent" le plus, car l'une d'entre elles peut en provoquer cinquante ou cent autres. Sous cet angle, l'intérêt des réseaux sociaux est d'en héberger le plus possible ».

Plus généralement, le rapport regrette la « règle selon laquelle un propos choquant fera davantage de "buzz" qu'un propos consensuel, alimentant de façon plus sûre le modèle économique des plateformes ». C'est la même analyse que nous faisions pour expliquer pourquoi attaquer Google ou Facebook en mai dernier, quand nous préparions nos plaintes collectives contre les GAFAM.

Pour compenser cette « règle » qui rendrait la haine et le conflit rentables, le gouvernement veut renforcer les obligations imposées aux plateformes géantes qui en profitent : transparence et devoir de vigilance accrus. Pourquoi pas (cela peut être fait de façon plus ou moins pertinente, nous y reviendrons plus tard). Mais cette solution ne suffira jamais à contrer à elle seule les dérives permises par la « rentabilité du conflit ». Et il est illusoire d'imaginer, comme le fait le rapport cité ci-dessus, qu'on pourrait atténuer ce problème en mettant un juge derrière chaque diffamation ou injure prononcée sur Internet. Il y en a bien trop.

Non, si on veut traiter le problème sérieusement, c'est l'ensemble de l'économie de l'attention qu'il faut remettre en question. Et cela doit passer par l'émergence d'alternatives saines qui reposent sur un autre modèle que celui des GAFAM.

Un droit actuel favorable aux géants

Aujourd'hui et depuis 15 ans, le droit freine le développement de telles alternatives. Il impose des obligations lourdes à tous les « hébergeurs » (les personnes qui conservent et diffusent sur Internet des contenus fournis par le public). Si un contenu « manifestement illicite » est signalé à un hébergeur, il doit le censurer « promptement » ou en devient personnellement responsable1.

En pratique, à La Quadrature du Net, nous avons songé à devenir un hébergeur de vidéos (en autorisant tout le monde à mettre en ligne des vidéos sur notre service de streaming Peertube). Ce serait une façon concrète de participer à la construction d'une alternative à Youtube, qui ne tirerait aucun profit des discours conflictuels ou de la surveillance de masse. Mais nous avons dû y renoncer. Nous n'avons pas du tout assez de juristes pour évaluer quelles vidéos seraient « manifestement illicites ». Nous n'avons pas les moyens de supporter des amendes en cas de plaintes. Youtube reste maître.

Alléger le régime des hébergeurs en les distinguant des plateformes géantes

Si le gouvernement veut effectivement lutter contre la diffusion de « contenus haineux et extrêmes », il doit changer le droit pour favoriser le développement d'alternatives à l'économie de l'attention. Voici notre proposition.

Premièrement, que les hébergeurs ne soient plus soumis aux mêmes obligations que les plateformes géantes, qui régulent les informations de façon active pour leurs intérêts économiques.

Secondement, que les hébergeurs, qui ne tirent aucun profit en mettant en avant de tel ou tel contenu, ne supportent plus la charge d'évaluer si un contenu est « manifestement illicite » et doit être censuré. Seul un juge doit pouvoir leur exiger de censurer un contenu.

Le cercle vertueux de la régulation décentralisée

Permettre à une multitude de petits hébergeurs de se développer fait naître l'espoir d'une auto-régulation efficace, placée dans les mains de l'ensemble de la population.

Dans le cadre de la loi, chaque hébergeur applique ses propres règles de modération, plus ou moins stricte, et chaque personne choisit l'espace de discussion adapté à ses besoins et à ses envies. La liberté de ce choix est renforcée par le développement des standards de « réseaux sociaux décentralisés », notamment du standard ActivityPub publié en janvier 2018 par le World Wide Web Consortium (W3C, à l’origine des standards du Web) et déjà appliqué par Mastodon (alternative à Twitter) ou Peertube. Ces standards permettront à une infinité d'hébergeurs de communiquer entre eux, selon les règles de chacun. Ils permettront aussi à chaque personne de passer librement d'un hébergeur à un autre, d'un jeu de règles à un autre (ce que les plateformes géantes font tout pour empêcher aujourd'hui).

Chaque personne choisira de s'exposer ou non à tel ou tel type de conflit, et chaque hébergeur modérera sa communauté à une échelle humaine. Cette structure offre l'espoir de diminuer significativement les conflits interpersonnels non-souhaités sur Internet. Ainsi, les juridictions n'auront plus à trancher autant de conflits qu'il en existe sur les plateformes géantes et pourront se recentrer sur les infractions les plus graves.

Si le gouvernement veut mieux réguler le Web, il doit le faire sérieusement. En se contentant d'alourdir les obligations des géants, son action restera superficielle. Pour agir en profondeur et sur le long terme, sa démarche doit aussi être constructive, favorisant le développement de modèles vertueux.

]]>
Le fichier TES, prémisse à la reconnaissance faciale de masse, arrive devant le Conseil d'État10625 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180926_143827_Le_fichier_TES__premisse_a_la_reconnaissance_faciale_de_masse__arrive_devant_le_Conseil_d_EtatWed, 26 Sep 2018 12:38:27 +000026 septembre 2018 - Mercredi 3 octobre prochain à 14h se tiendra au Conseil d'État l'audience concernant le fichier TES. Ce décret, publié le 28 octobre 2016, autorise la création par le Gouvernement d'un fichier regroupant les données biométriques de la quasi-totalité de la population française. Dès le 27 décembre 2016, La Quadrature du Net, avec le soutien des Exégètes amateurs, avait demandé l'annulation de ce décret. Venez avec nous assister à l'audience !

Le décret n°2016-1460 du 28 octobre 2016 autorise la création par le Gouvernement d'une base de données regroupant les données biométriques (visage, empreintes digitales, noms, domicile, sexe, couleur des yeux, taille....) de la quasi-totalité de la population française, avec, comme objectif affiché, la simplification des démarches administratives liées à la délivrance des cartes d'identité et des passeports ainsi que la lutte contre leur falsification et contrefaçon.

Le 26 décembre 2016, La Quadrature du Net avait déposé, avec le soutien des Exégètes amateurs, une requête introductive d'instance devant le Conseil d’État visant à faire annuler ce décret avant de déposer un mémoire complémentaire le 27 mars 2017 et un mémoire en réplique, à la suite de la défense du gouvernement, le 18 août 20171. Depuis, aucune nouvelle jusqu'à ce qu'on nous annonce aujourd'hui qu'une audience aura lieu le mercredi 3 octobre prochain devant le Conseil d’État.

Comme nous l'avions relevé dans nos écritures (en lien ci-dessus), la création d'une telle base de données est inutile pour atteindre l'objectif annoncé. Celui-ci aurait pu en effet être poursuivi tout aussi efficacement en prévoyant la conservation de ces informations sur le seul titre d’identité (au moyen d'une puce électronique), tout en faisant disparaître les risques liés à leur centralisation (risques politiques de dévoiement du fichier et risques techniques de fuites de données biométriques). C'est déjà ce que prévoit l'Union européenne pour les passeports et bientôt les cartes d'identité : les données doivent être conservées sur le titre.

En réalité, et nous l'avions souligné dès la publication du décret, la création du fichier TES (et l'enregistrement automatisé des images des visages de la population) préfigure le développement et l'utilisation par le Gouvernement des technologies de reconnaissance faciale à des fins de surveillance généralisée de la population

Son article 4 prévoit ainsi déjà que l'accès à ce fichier n'est pas limité à la lutte contre la falsification et la contrefaçon mais également ouvert aux agents « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme » (à l'exclusion des données concernant les empreintes digitales). D'ores et déjà, ce champ d'application très flou laisse craindre d'importantes dérives dans les usages policiers de ce fichier. À l'avenir, ils pourront être encore démultipliés par la voie d'une simple modification législative ou réglementaire, par exemple pour permettre de coupler ce fichier aux systèmes de surveillance dopés aux Big Data dont certaines polices municipales commencent à s'équiper.

L'actualité montre que nos craintes était bien fondées et que la reconnaissance faciale risque d'être l'un des outils principaux de la surveillance de masse de la population par les autorités. Si celle-ci est déjà mise en œuvre à grande échelle dans certains États (notamment en Chine), elle se développe à grande vitesse également en France, que ce soit dans nos aéroports, dans nos gares ou dans nos lycées. En 2016, quelques semaines avant la création du fichier TES, des propositions de loi avaient d'ailleurs été déposées visant à coupler vidéosurveillance et reconnaissance faciale pour les « fichés S »2.

Face à ce raz-de-marée qui déferle dans une relative indifférence, la CNIL en est aujourd'hui réduite à appeler « à un débat démocratique » sans pouvoir (ou sans oser ?) user de ses pouvoirs pour barrer la route à ces premiers déploiements grandeur nature.

Le fichier TES constitue en tous cas le préalable technique au développement généralisé et définitif de la reconnaissance faciale. Il nous faut obtenir du Conseil d'État son annulation et sa destruction.

Vous êtes toutes et tous invités à venir assister avec nous à l'audience de mercredi. Elle aura lieu à 14h (mais venez à l'avance !) au Conseil d'État, 1 place du Palais-Royal à Paris.

À mercredi !

  • 1. La requête introductive d'instance est le premier mémoire envoyé au Conseil d'Etat pour introduire une demande en justice et doit être déposée dans les délais légaux de recours. Le mémoire complémentaire peut être envoyé plus tard et a pour but de développer les différents arguments. Le mémoire en réplique est envoyé pour répondre aux écritures de la partie adverse, ici le Gouvernement
  • 2. Quelques semaines avant l'adoption du fichier TES fin 2016, plusieurs propositions de loi avaient tenté d'inaugurer la reconnaissance faciale pour la lutte antiterroriste. Au même moment, on voyait dans les villes du Sud Est mise en avant la « vidéosurveillance intelligente » pour repérer des terroristes (en fait des fichés S) dans la rue (voir par exemple à Marseille). Opération de com concertée pour mettre la pression sur le gouvernement de l'époque ? Dans l'exposé des motifs de la PPL du Sénat, on pouvait lire :

    L'efficacité de la reconnaissance faciale dépend de plusieurs facteurs clés : la qualité de l'`image, la puissance de l'algorithme d'identification et l'accès à une base de données fiables. Toute la difficulté est d'établir des points de correspondance entre la nouvelle image et l'image source, en d'autres termes, les photos d'individus connus.
    Chaque fiche du fichier automatisé des empreintes digitales (FAED) comporte une photo prise dans un cadre normalisé et identique pour toutes, seule exploitable par des logiciels de reconnaissance faciale. Tel n'est pas le cas des autres fichiers, notamment celui des personnes recherchées (FPR) qui mentionne lui l'identité des personnes faisant l'objet de recherches pour prévenir des menaces graves pour la sécurité publique ou la sûreté de l'État dans ses fameuses « fiche S », mais ne comporte pas nécessairement de photos et ne contient pas de données anthropométriques.
    La présente proposition de loi a donc pour objet de permettre le couplage du fichier automatisé des empreintes digitales et du fichier des personnes recherchées, afin de constituer une base de données fiable, qui sera ensuite reliée à un système de vidéo-protection.

    Elles ne sont pas passées, mais le fichier TES était créé quelques mois plus tard.

]]>
26 septembre 2018 - Mercredi 3 octobre prochain à 14h se tiendra au Conseil d'État l'audience concernant le fichier TES. Ce décret, publié le 28 octobre 2016, autorise la création par le Gouvernement d'un fichier regroupant les données biométriques de la quasi-totalité de la population française. Dès le 27 décembre 2016, La Quadrature du Net, avec le soutien des Exégètes amateurs, avait demandé l'annulation de ce décret. Venez avec nous assister à l'audience !

Le décret n°2016-1460 du 28 octobre 2016 autorise la création par le Gouvernement d'une base de données regroupant les données biométriques (visage, empreintes digitales, noms, domicile, sexe, couleur des yeux, taille....) de la quasi-totalité de la population française, avec, comme objectif affiché, la simplification des démarches administratives liées à la délivrance des cartes d'identité et des passeports ainsi que la lutte contre leur falsification et contrefaçon.

Le 26 décembre 2016, La Quadrature du Net avait déposé, avec le soutien des Exégètes amateurs, une requête introductive d'instance devant le Conseil d’État visant à faire annuler ce décret avant de déposer un mémoire complémentaire le 27 mars 2017 et un mémoire en réplique, à la suite de la défense du gouvernement, le 18 août 20171. Depuis, aucune nouvelle jusqu'à ce qu'on nous annonce aujourd'hui qu'une audience aura lieu le mercredi 3 octobre prochain devant le Conseil d’État.

Comme nous l'avions relevé dans nos écritures (en lien ci-dessus), la création d'une telle base de données est inutile pour atteindre l'objectif annoncé. Celui-ci aurait pu en effet être poursuivi tout aussi efficacement en prévoyant la conservation de ces informations sur le seul titre d’identité (au moyen d'une puce électronique), tout en faisant disparaître les risques liés à leur centralisation (risques politiques de dévoiement du fichier et risques techniques de fuites de données biométriques). C'est déjà ce que prévoit l'Union européenne pour les passeports et bientôt les cartes d'identité : les données doivent être conservées sur le titre.

En réalité, et nous l'avions souligné dès la publication du décret, la création du fichier TES (et l'enregistrement automatisé des images des visages de la population) préfigure le développement et l'utilisation par le Gouvernement des technologies de reconnaissance faciale à des fins de surveillance généralisée de la population

Son article 4 prévoit ainsi déjà que l'accès à ce fichier n'est pas limité à la lutte contre la falsification et la contrefaçon mais également ouvert aux agents « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme » (à l'exclusion des données concernant les empreintes digitales). D'ores et déjà, ce champ d'application très flou laisse craindre d'importantes dérives dans les usages policiers de ce fichier. À l'avenir, ils pourront être encore démultipliés par la voie d'une simple modification législative ou réglementaire, par exemple pour permettre de coupler ce fichier aux systèmes de surveillance dopés aux Big Data dont certaines polices municipales commencent à s'équiper.

L'actualité montre que nos craintes était bien fondées et que la reconnaissance faciale risque d'être l'un des outils principaux de la surveillance de masse de la population par les autorités. Si celle-ci est déjà mise en œuvre à grande échelle dans certains États (notamment en Chine), elle se développe à grande vitesse également en France, que ce soit dans nos aéroports, dans nos gares ou dans nos lycées. En 2016, quelques semaines avant la création du fichier TES, des propositions de loi avaient d'ailleurs été déposées visant à coupler vidéosurveillance et reconnaissance faciale pour les « fichés S »2.

Face à ce raz-de-marée qui déferle dans une relative indifférence, la CNIL en est aujourd'hui réduite à appeler « à un débat démocratique » sans pouvoir (ou sans oser ?) user de ses pouvoirs pour barrer la route à ces premiers déploiements grandeur nature.

Le fichier TES constitue en tous cas le préalable technique au développement généralisé et définitif de la reconnaissance faciale. Il nous faut obtenir du Conseil d'État son annulation et sa destruction.

Vous êtes toutes et tous invités à venir assister avec nous à l'audience de mercredi. Elle aura lieu à 14h (mais venez à l'avance !) au Conseil d'État, 1 place du Palais-Royal à Paris.

À mercredi !

  • 1. La requête introductive d'instance est le premier mémoire envoyé au Conseil d'Etat pour introduire une demande en justice et doit être déposée dans les délais légaux de recours. Le mémoire complémentaire peut être envoyé plus tard et a pour but de développer les différents arguments. Le mémoire en réplique est envoyé pour répondre aux écritures de la partie adverse, ici le Gouvernement
  • 2. Quelques semaines avant l'adoption du fichier TES fin 2016, plusieurs propositions de loi avaient tenté d'inaugurer la reconnaissance faciale pour la lutte antiterroriste. Au même moment, on voyait dans les villes du Sud Est mise en avant la « vidéosurveillance intelligente » pour repérer des terroristes (en fait des fichés S) dans la rue (voir par exemple à Marseille). Opération de com concertée pour mettre la pression sur le gouvernement de l'époque ? Dans l'exposé des motifs de la PPL du Sénat, on pouvait lire :

    L'efficacité de la reconnaissance faciale dépend de plusieurs facteurs clés : la qualité de l'`image, la puissance de l'algorithme d'identification et l'accès à une base de données fiables. Toute la difficulté est d'établir des points de correspondance entre la nouvelle image et l'image source, en d'autres termes, les photos d'individus connus.
    Chaque fiche du fichier automatisé des empreintes digitales (FAED) comporte une photo prise dans un cadre normalisé et identique pour toutes, seule exploitable par des logiciels de reconnaissance faciale. Tel n'est pas le cas des autres fichiers, notamment celui des personnes recherchées (FPR) qui mentionne lui l'identité des personnes faisant l'objet de recherches pour prévenir des menaces graves pour la sécurité publique ou la sûreté de l'État dans ses fameuses « fiche S », mais ne comporte pas nécessairement de photos et ne contient pas de données anthropométriques.
    La présente proposition de loi a donc pour objet de permettre le couplage du fichier automatisé des empreintes digitales et du fichier des personnes recherchées, afin de constituer une base de données fiable, qui sera ensuite reliée à un système de vidéo-protection.

    Elles ne sont pas passées, mais le fichier TES était créé quelques mois plus tard.

]]>
La directive Copyright n’est pas une défaite pour l’Internet Libre et Ouvert !10624 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180918_155945_La_directive_Copyright_n___est_pas_une_defaite_pour_l___Internet_Libre_et_Ouvert__Tue, 18 Sep 2018 13:59:45 +000018 septembre 2018 - Bien que la directive droit d'auteur soit le symptôme d'une soumission économique de nos industries aux géants du Web, elle crée néanmoins l'opportunité de remettre en cause ces géants, au profit de l'Internet décentralisé.

C'est ce que nous rappelle Calimaq, membre de La Quadrature du Net, dans cette tribune - initialement publiée sur son blog.

Qu’est-ce qu’une victoire et qu’est-ce qu’une défaite ? En un peu plus de 10 ans de militantisme pour les libertés dans l’environnement numérique, j’ai souvent eu l’occasion de me poser cette question. Et elle surgit à nouveau de la plus cruelle des manières, suite au vote du Parlement européen en faveur de la directive sur le Copyright, alors même que le précédent scrutin en juillet avait fait naître l’espoir d’une issue différente.

vote

L’expérience m’a cependant appris que rien n’est plus trompeur que les votes parlementaires pour apprécier si l’on a « gagné » ou « perdu ». En 2012, lorsque le Parlement européen avait rejeté l’accord anti-contrefaçon ACTA, nous pensions avoir remporté une victoire historique qui changerait le cours des choses. Et nous avons ensuite sincèrement œuvré en ce sens, pensant que ce serait le premier acte d’une réforme positive du droit d’auteur. Mais le recul nous montre qu’il s’agissait en réalité d’une simple séquence au sein d’un ensemble plus vaste, qui a progressivement conduit au revers de cette semaine.

Les votes dans les assemblées nous abusent telles des illusions d’optique, parce qu’ils ressemblent à ce que les spécialistes de stratégie appellent des « batailles décisives ». Pendant des siècles, les généraux ont cherché à obtenir cet ultime Graal de l’art militaire : un unique affrontement ayant la faculté de mettre fin à la guerre en désignant sans ambiguïté un gagnant et un perdant. Mais les historiens ont montré que la bataille décisive constituait aussi un mythe dangereux, dont la poursuite pouvait devenir la cause même de la défaite. En 1941, au début de l’opération Barbarossa, l’armée nazie remporte ainsi sur les soviétiques une série de victoires comptant parmi les plus spectaculaires de toute l’histoire. Mais ces succès ne l’empêchèrent pas ensuite de connaître un échec cuisant devant Moscou, qui marquera le point de départ d’un lent déclin les conduisant à une déroute totale en 1945. Or une des grandes différences entre l’Armée allemande et l’Armée rouge durant la Seconde Guerre mondiale, c’est que la seconde avait compris qu’il lui fallait arrêter de chercher à remporter une bataille décisive pour espérer gagner la guerre, tandis que les nazis se sont accrochés jusqu’au bout à ce mythe qui a fini par les perdre.

barborossa

Or il y a un parallèle à faire entre cette histoire et celle de la lutte pour les libertés numériques. Trop souvent, nous avons concentré nos énergies sur des combats législatifs, hypnotisés par l’idée que le décompte des voix conduirait à une sorte « d’ordalie démocratique ». Cela nous a donné plusieurs fois l’illusion d’avoir remporté quelque chose, comme au moment du rejet de l’ACTA, alors que les racines du problème restaient intactes. Mais heureusement en sens inverse, si la victoire n’est jamais acquise en cas de succès législatif, il en est de même pour la défaite. Et rien ne serait plus faux que de penser que le vote de cette semaine sur la directive Copyright constitue la fin de l’histoire, sous prétexte que nous aurions encaissé là une défaite décisive !

Nous avons pas « perdu Internet » !

Certes les articles 11 et 13 du texte, qui instaurent une obligation de filtrage automatisé des plateformes et une taxe sur les liens hypertextes au profit des éditeurs de presse, représentent des monstruosités contre lesquelles il était nécessaire de lutter. Mais il convient à présent d’apprécier exactement la portée de ces mesures, pour réadapter très rapidement notre stratégie en conséquence à partir d’une appréhension claire de la situation. Or cette « vision stratégique d’ensemble » est à mon sens précisément ce qui a manqué tout au long de cette campagne dans le camp des défenseurs des libertés numériques et il est inquiétant de constater que ces erreurs de jugement n’ont pas disparu maintenant que l’heure est venue d’analyser les conséquences du scrutin.

On a pu voir par exemple cette semaine l’eurodéputée du Parti Pirate Julia Reda expliquer sur son blog que ce vote constituait un « coup dur porté à l’internet libre et ouvert » (Today’s decision is a severe blow to the free and open internet). De son côté, Cory Doctorow a écrit un article sur le site de l’EFF, où il affirme que « l’Europe a perdu Internet » (Today, Europe lost the Internet). Sur Next INpact, Marc Rees déplore dans la même veine « une mise au pilori du Web tel que nous le connaissons, un affront à la liberté d’expression. » Ces appréciations font écho au mot d’ordre qui fut celui des défenseurs des libertés en campagne contre les articles 11 et 13 de la Directive : Save Your Internet (Sauvez votre Internet).

Save interwhat?

Or lorsqu’on lit attentivement ces articles, tels qu’amendés par le vote des eurodéputés, on se rend compte qu’ils ne visent pas pas « l’Internet » ou « le Web » tout entier, mais seulement une catégorie d’acteurs déterminés, à savoir les plateformes centralisées à but lucratif. Ce n’est donc pas « l’Internet libre et ouvert » qui va être frappé par cette directive, mais plutôt exactement ce qui représente son antithèse ! A savoir cette couche d’intermédiaires profondément toxiques qui ont dénaturé au fil du temps les principes sur lesquels Internet et le Web s’appuyaient à l’origine pour nous faire basculer dans la « plateformisation ». Pour se convaincre que ces acteurs n’ont absolument plus rien à voir avec un Internet « libre et ouvert », il est bon de relire ce que Tim Berners-Lee, l’inventeur du web, en disait au mois d’août dernier :

Nous avons démontré que le Web avait échoué au lieu de servir l’humanité, comme il était censé le faire, et qu’il avait échoué en de nombreux endroits. La centralisation croissante du Web, dit-il, a fini par produire – sans volonté délibérée de ceux qui l’ont conçu – un phénomène émergent à grande échelle qui est anti-humain.

Or le grand mensonge sur lesquels s’appuient les GAFAM – principaux responsables de cette centralisation -, c’est de chercher à faire croire qu’ils représentent à eux-seuls l’Internet tout entier, comme si rien ne pouvait plus exister en dehors de leur emprise. En ce sens quand j’entends Cory Doctorow dire que nous « avons perdu Internet » à cause de mesures ciblant les acteurs centralisés lucratifs, je ne peux que frémir. Avec tout le respect que je peux avoir pour ce grand monsieur, ses propos paraissent avoir incorporé la prétention des GAFAM à recouvrir le web et c’est particulièrement grave. Car c’est précisément cela qui constituerait la défaite finale des défenseurs des libertés : se résigner à cet état de fait et ne pas agir sur les marges dont nous disposons encore pour briser cette hégémonie.

Voilà pourquoi il faut aujourd’hui l’affirmer avec force : non, la directive Copyright n’est donc pas une défaite pour l’Internet Libre et Ouvert ! C’est notre vision même du sens de la lutte qu’il faut aujourd’hui urgemment reconfigurer, pour sortir de l’ornière au fond de laquelle nous sommes en train de nous enfermer et qui ne peut nous conduire qu’à de nouvelles défaites plus cuisantes encore que celle-ci.

Sortir d’une conception « formelle » de la liberté d’expression

Sur Next INpact, Marc Rees identifie avec raison le changement le plus profond que ce texte va amener : il remet en question la distinction classique entre hébergeurs et éditeurs, issue de la directive eCommerce de 2000. Jusqu’à présent, les hébergeurs bénéficiaient d’une responsabilité atténuée vis-à-vis des actes commis par leurs utilisateurs. Au lieu de cela, la directive Copyright introduit une nouvelle catégorie d’intermédiaires dits « actifs » qui devront assumer la responsabilité des contenus qu’ils diffusent, même s’ils ne sont pas directement à l’origine de leur mise en ligne. Mais il est important de regarder quels critères la directive utilise pour identifier ce nouveau type d’acteurs :

La définition du prestataire de services de partage de contenus en ligne doit, au sens de la présente directive, englober les prestataires de services de la société de l’information dont l’un des objectifs principaux consiste à stocker, à mettre à la disposition du public ou à diffuser un nombre appréciable de contenus protégés par le droit d’auteur chargés ou rendus publics par leurs utilisateurs, et qui optimisent les contenus et font la promotion dans un but lucratif des œuvres et autres objets chargés, notamment en les affichant, en les affectant de balises, en assurant leur conservation et en les séquençant, indépendamment des moyens utilisés à cette fin, et jouent donc un rôle actif.

On voit que le « rôle actif » se déduit de trois éléments : la taille de l’acteur, son but lucratif et la hiérarchisation automatisée de contenus. Ce sont donc bien des plateformes centralisées lucratives, type Facebook ou YouTube, qui devront assumer cette nouvelle responsabilité. Pour y échapper, elles devront conclure des accords de licence pour rémunérer les ayant droits et, à défaut, déployer un filtrage automatisé des contenus a priori. En pratique, elles seront certainement toujours obligées de mettre en place un filtrage, car il est quasiment impossible d’obtenir une licence capable de couvrir l’intégralité des œuvres pouvant être postées.

Nous avons combattu en lui-même le filtrage automatique, car c’était une mesure profondément injuste et disproportionnée. Mais une question mérite d’être posée : au nom de quoi les défenseurs d’un « Internet Libre et Ouvert » devraient-ils s’émouvoir de ce que les plateformes centralisées et lucratives perdent le bénéfice de la quasi-immunité dont elles bénéficiaient jusqu’à présent ? La directive a par ailleurs pris le soin de préciser que les « prestataires sans finalité commerciale, comme les encyclopédies en ligne de type Wikipedia » ainsi que les « plateformes de développement de logiciels Open Source » seraient exclus du champ d’application de l’article 13, ce qui donne des garanties contre d’éventuels dommages collatéraux.

Marc Rees nous explique que cette évolution est dangereuse, parce que l’équilibre fixé par la directive eCommerce constituerait le « socle fondamental du respect de la liberté d’expression » sur Internet. Mais cette vision me paraît relever d’une conception purement « formelle » de la liberté d’expression. Peut-on encore dire que ce qui se passe sur Facebook ou YouTube relève de l’exercice de la liberté d’expression, alors que ces acteurs soumettent leurs utilisateurs à l’emprise d’une gouvernance algorithmique de plus en plus insupportable, que cible précisément la notion de « rôle actif » ?

Il est peut-être temps de tirer réellement les conséquences de la célèbre maxime « Code Is Law » de Lawrence Lessig : le droit n’est qu’une sorte de voile dans l’environnement numérique, car c’est le soubassement technique sur lequel s’appuie les usages qui conditionne réellement l’exercice des libertés. Quoi que dise la directive eCommerce, il n’y a quasiment plus rien qui relève de l’exercice de la liberté d’expression sur les plateformes centralisées lucratives, sinon une grotesque parodie qui salit le nom même de la liberté et nous en fait peu à peu perdre jusqu’au sens !

En le lisant « en creux », l’article 13 dessine au contraire l’espace sur Internet où la liberté d’expression peut encore réellement s’exercer : le réseau des sites personnels, celui des hébergeurs ne jouant pas un rôle actif et – plus important encore – les nouveaux services s’appuyant sur une fédération de serveurs, comme Mastodon ou Peertube.

Se doter (enfin) d’une doctrine économique claire

Allons même plus loin : en introduisant le critère de la lucrativité, l’article 13 donne aux défenseurs des libertés sur Internet l’occasion de revoir leur doctrine économique, qui m’a toujours paru constituer un sérieux talon d’Achille dans leurs positions…

Les eurodéputés ont introduit une autre exception afin que l’article 13 ne s’applique pas aux « micro, petites et moyennes entreprises« . Personnellement, je ne me réjouis pas du tout de cette insertion, car sur Internet, « micro-entreprises » veut souvent dire « start-up » et l’on sait que ces jeunes pousses aux dents longues aiment à se construire sur des modèles extrêmement toxiques de captation des utilisateurs et de prédation des données personnelles. Le critère de la taille n’est pas en lui-même pertinent, car tous les Léviathans du numérique ont commencé par être petits avant de grossir. Ce qu’il importe, c’est justement qu’aucun acteur ne soit plus en mesure d’enfler jusqu’à atteindre une taille hégémonique, et pour cela, c’est bien sur le critère de la lucrativité qu’il faut jouer.

Dans son article sur le site de l’EFF, Cory Doctorow estime que l’Union européenne s’est tirée une balle dans le pied avec cette directive Copyright, car elle aurait imposé des contraintes insurmontables à ses propres entreprises, qui ne pourraient plus espérer désormais rattraper les géants américains ou chinois. Mais ces propos me paraissent reposer sur une vision complètement « enchantée » de la concurrence, comme s’il était encore possible de croire qu’un « marché sain » est en mesure de nous sauver des monstruosités qu’il a lui-même engendrées.

Ce qui va se passer à présent avec l’obligation de filtrage automatisée, c’est que les grandes plateformes centralisées lucratives, type YouTube ou Facebook, vont sans doute devenir des espaces où les utilisateurs éprouveront le poids d’une répression « à la chinoise » avec la nécessité de se soumettre à un contrôle algorithmique avant même de pouvoir poster leurs contenus. Le contraste n’en sera que plus fort avec les espaces restant en dehors du périmètre de l’article 13, que les créateurs et leur public seront d’autant plus incités à rejoindre. Doit-on réellement le déplorer ?

Il faut bien voir en outre que le fait de ne pas poursuivre un but lucratif ne signifie pas que l’on ne puisse plus inscrire son activité dans la sphère économique. C’est exactement ce que fait depuis plus d’un siècle l'économie sociale et solidaire, en renonçant volontairement pour des raisons éthiques à poursuivre un but lucratif ou en limitant statutairement sa lucrativité. Voilà donc l’occasion d’en finir par le mythe selon lequel « l’Internet libre et ouvert » serait compatible avec les principes mêmes du capitalisme. C’est précisément cette illusion qui a enclenché le processus fatal de centralisation et cette dérive ne pourra être combattue qu’en revenant à la racine économique du problème.

On retrouve ici le problème de « l’agnosticisme économique » dont j’ai déjà parlé sur ce blog à propos du fonctionnement même des licences libres. En refusant de discriminer selon les types d’usages économiques, les défenseurs du Libre se sont en réalité privés de la possibilité de développer une réelle doctrine économique. C’est ce même aveuglement aux questions économiques qui conduit à des aberrations de positionnement comme celles que l’on a vu au cours de cette campagne contre la directive Copyright. Comment mobiliser autour du mot d’ordre « Save Your Internet », alors que cet « Internet » que l’on a voulu faire passer pour « le notre » comprend en réalité les principaux représentants du capitalisme de surveillance ? C’est le sens même de nos luttes qui disparaît si nous ne nous donnons pas les moyens d’opérer des distinctions claires parmi les acteurs économiques.

Et maintenant, que faire ?

En juin dernier, c’est-à-dire avant même le premier vote sur la directive, La Quadrature du Net a commencé à développer ce type d’analyses, en suggérant de ne pas s’opposer à l’introduction du critère du « rôle actif » des plateformes pour au contraire le retourner comme une arme dans la lutte contre la centralisation :

Tous ces enjeux connaissent un ennemi commun : la centralisation du Web, qui a enfermé la très grande majorité des internautes dans des règles uniques et rigides, qui n’ont que faire de la qualité, de la sérénité ou de la pertinence de nos échanges, n’existant que pour la plus simple recherche du profit de quelques entreprises.

L’une des principales causes de cette centralisation est le frein que le droit a longtemps posé contre l’apparition de son remède – le développement d’hébergeurs non-centralisés qui, ne se finançant pas par la surveillance et la régulation de masse, ne peuvent pas prendre le risque de lourds procès pour avoir échoué à retirer « promptement » chaque contenu « illicite » qui leur serait signalé. Des hébergeurs qui, souvent, peuvent à peine prendre le risque d’exister.

La condition du développement de tels services est que, enfin, le droit ne leur impose plus des règles qui depuis vingt ans ne sont presque plus pensées que pour quelques géants. Prévoir une nouvelle catégorie intermédiaire dédiée à ces derniers offre l’espoir de libérer l’Internet non-centralisé du cadre absurde dans lequel juges et législateurs l’ont peu à peu enfermé.

Dans sa réaction au vote de mercredi, Julia Reda rappelle qu’il ne s’agit pas de la fin du processus et qu’il reste encore une phase de trilogue avec la Commission et le Conseil, ainsi qu’un dernier vote au Parlement, sans doute au Printemps. Elle estime qu’il resterait encore une carte à jouer, en appelant les citoyens à se mobiliser pour faire pression sur leurs gouvernements en espérant que cela puisse encore conduire au retrait de l’article 13. Mais outre que cette hypothèse paraît hautement improbable étant donné les équilibres politiques, elle me paraît relever d’une certaine forme de désarroi, comme s’il y avait encore lieu de chercher à remporter une « bataille décisive » alors que les paramètres stratégiques du combat ont profondément évolué.

L’enjeu n’est pas de chercher – sans doute vainement – à supprimer l’article 13, mais de réussir à délimiter clairement son périmètre pour s’assurer qu’il ne s’appliquera qu’à des acteurs centralisés lucratifs procédant à une hiérarchisation des contenus. Manœuvrer ainsi ferait peser sur les GAFAM une charge écrasante, tout en préservant un espace pour développer un réseau d’acteurs éthiques non-centralisés et inscrits dans une logique d’économie solidaire. Il n’y a qu’au sein d’une telle sphère que l’on puisse encore espérer œuvrer pour un « Internet Libre et Ouvert ».

Il faut aussi sortir de l’urgence immédiate imposée par cette série de votes pour se replacer dans le temps long. De toutes façons, quelle que soit l’issue des dernières négociations, il restera encore plusieurs années (3, 4, peut-être plus ?) avant que la directive ne soit transposée dans les pays de l’Union. C’est un délai appréciable qui nous laisse encore le temps de travailler au développement de cette sphère d’acteurs alternatifs.

Du coup, si vous voulez concrètement faire quelque chose pour « l’Internet Libre et Ouvert », je ne vous conseillerai pas d’appeler votre député, mais plutôt d’aller faire un don à l’association Framasoft, car ce sont eux qui ont sans doute le mieux compris et anticipé les changements nécessaires à opérer dans notre stratégie. Avec PeerTube, l’alternative fédérée à YouTube qu’ils sont en train de bâtir, ils plantent une graine en laquelle nous pouvons encore placer nos espoirs. Et avec le collectif d’hébergeurs alternatifs CHATONS qu’ils ont fait émerger, ils ont déjà préfiguré ce que pourrait être cette alliance du Libre et de l’Economie Sociale et Solidaire dont nous avons besoin pour rebooter le système sur des bases économiques saines.

« Une bataille perdue est une bataille que l’on croit perdue » – Napoléon.

]]>
18 septembre 2018 - Bien que la directive droit d'auteur soit le symptôme d'une soumission économique de nos industries aux géants du Web, elle crée néanmoins l'opportunité de remettre en cause ces géants, au profit de l'Internet décentralisé.

C'est ce que nous rappelle Calimaq, membre de La Quadrature du Net, dans cette tribune - initialement publiée sur son blog.

Qu’est-ce qu’une victoire et qu’est-ce qu’une défaite ? En un peu plus de 10 ans de militantisme pour les libertés dans l’environnement numérique, j’ai souvent eu l’occasion de me poser cette question. Et elle surgit à nouveau de la plus cruelle des manières, suite au vote du Parlement européen en faveur de la directive sur le Copyright, alors même que le précédent scrutin en juillet avait fait naître l’espoir d’une issue différente.

vote

L’expérience m’a cependant appris que rien n’est plus trompeur que les votes parlementaires pour apprécier si l’on a « gagné » ou « perdu ». En 2012, lorsque le Parlement européen avait rejeté l’accord anti-contrefaçon ACTA, nous pensions avoir remporté une victoire historique qui changerait le cours des choses. Et nous avons ensuite sincèrement œuvré en ce sens, pensant que ce serait le premier acte d’une réforme positive du droit d’auteur. Mais le recul nous montre qu’il s’agissait en réalité d’une simple séquence au sein d’un ensemble plus vaste, qui a progressivement conduit au revers de cette semaine.

Les votes dans les assemblées nous abusent telles des illusions d’optique, parce qu’ils ressemblent à ce que les spécialistes de stratégie appellent des « batailles décisives ». Pendant des siècles, les généraux ont cherché à obtenir cet ultime Graal de l’art militaire : un unique affrontement ayant la faculté de mettre fin à la guerre en désignant sans ambiguïté un gagnant et un perdant. Mais les historiens ont montré que la bataille décisive constituait aussi un mythe dangereux, dont la poursuite pouvait devenir la cause même de la défaite. En 1941, au début de l’opération Barbarossa, l’armée nazie remporte ainsi sur les soviétiques une série de victoires comptant parmi les plus spectaculaires de toute l’histoire. Mais ces succès ne l’empêchèrent pas ensuite de connaître un échec cuisant devant Moscou, qui marquera le point de départ d’un lent déclin les conduisant à une déroute totale en 1945. Or une des grandes différences entre l’Armée allemande et l’Armée rouge durant la Seconde Guerre mondiale, c’est que la seconde avait compris qu’il lui fallait arrêter de chercher à remporter une bataille décisive pour espérer gagner la guerre, tandis que les nazis se sont accrochés jusqu’au bout à ce mythe qui a fini par les perdre.

barborossa

Or il y a un parallèle à faire entre cette histoire et celle de la lutte pour les libertés numériques. Trop souvent, nous avons concentré nos énergies sur des combats législatifs, hypnotisés par l’idée que le décompte des voix conduirait à une sorte « d’ordalie démocratique ». Cela nous a donné plusieurs fois l’illusion d’avoir remporté quelque chose, comme au moment du rejet de l’ACTA, alors que les racines du problème restaient intactes. Mais heureusement en sens inverse, si la victoire n’est jamais acquise en cas de succès législatif, il en est de même pour la défaite. Et rien ne serait plus faux que de penser que le vote de cette semaine sur la directive Copyright constitue la fin de l’histoire, sous prétexte que nous aurions encaissé là une défaite décisive !

Nous avons pas « perdu Internet » !

Certes les articles 11 et 13 du texte, qui instaurent une obligation de filtrage automatisé des plateformes et une taxe sur les liens hypertextes au profit des éditeurs de presse, représentent des monstruosités contre lesquelles il était nécessaire de lutter. Mais il convient à présent d’apprécier exactement la portée de ces mesures, pour réadapter très rapidement notre stratégie en conséquence à partir d’une appréhension claire de la situation. Or cette « vision stratégique d’ensemble » est à mon sens précisément ce qui a manqué tout au long de cette campagne dans le camp des défenseurs des libertés numériques et il est inquiétant de constater que ces erreurs de jugement n’ont pas disparu maintenant que l’heure est venue d’analyser les conséquences du scrutin.

On a pu voir par exemple cette semaine l’eurodéputée du Parti Pirate Julia Reda expliquer sur son blog que ce vote constituait un « coup dur porté à l’internet libre et ouvert » (Today’s decision is a severe blow to the free and open internet). De son côté, Cory Doctorow a écrit un article sur le site de l’EFF, où il affirme que « l’Europe a perdu Internet » (Today, Europe lost the Internet). Sur Next INpact, Marc Rees déplore dans la même veine « une mise au pilori du Web tel que nous le connaissons, un affront à la liberté d’expression. » Ces appréciations font écho au mot d’ordre qui fut celui des défenseurs des libertés en campagne contre les articles 11 et 13 de la Directive : Save Your Internet (Sauvez votre Internet).

Save interwhat?

Or lorsqu’on lit attentivement ces articles, tels qu’amendés par le vote des eurodéputés, on se rend compte qu’ils ne visent pas pas « l’Internet » ou « le Web » tout entier, mais seulement une catégorie d’acteurs déterminés, à savoir les plateformes centralisées à but lucratif. Ce n’est donc pas « l’Internet libre et ouvert » qui va être frappé par cette directive, mais plutôt exactement ce qui représente son antithèse ! A savoir cette couche d’intermédiaires profondément toxiques qui ont dénaturé au fil du temps les principes sur lesquels Internet et le Web s’appuyaient à l’origine pour nous faire basculer dans la « plateformisation ». Pour se convaincre que ces acteurs n’ont absolument plus rien à voir avec un Internet « libre et ouvert », il est bon de relire ce que Tim Berners-Lee, l’inventeur du web, en disait au mois d’août dernier :

Nous avons démontré que le Web avait échoué au lieu de servir l’humanité, comme il était censé le faire, et qu’il avait échoué en de nombreux endroits. La centralisation croissante du Web, dit-il, a fini par produire – sans volonté délibérée de ceux qui l’ont conçu – un phénomène émergent à grande échelle qui est anti-humain.

Or le grand mensonge sur lesquels s’appuient les GAFAM – principaux responsables de cette centralisation -, c’est de chercher à faire croire qu’ils représentent à eux-seuls l’Internet tout entier, comme si rien ne pouvait plus exister en dehors de leur emprise. En ce sens quand j’entends Cory Doctorow dire que nous « avons perdu Internet » à cause de mesures ciblant les acteurs centralisés lucratifs, je ne peux que frémir. Avec tout le respect que je peux avoir pour ce grand monsieur, ses propos paraissent avoir incorporé la prétention des GAFAM à recouvrir le web et c’est particulièrement grave. Car c’est précisément cela qui constituerait la défaite finale des défenseurs des libertés : se résigner à cet état de fait et ne pas agir sur les marges dont nous disposons encore pour briser cette hégémonie.

Voilà pourquoi il faut aujourd’hui l’affirmer avec force : non, la directive Copyright n’est donc pas une défaite pour l’Internet Libre et Ouvert ! C’est notre vision même du sens de la lutte qu’il faut aujourd’hui urgemment reconfigurer, pour sortir de l’ornière au fond de laquelle nous sommes en train de nous enfermer et qui ne peut nous conduire qu’à de nouvelles défaites plus cuisantes encore que celle-ci.

Sortir d’une conception « formelle » de la liberté d’expression

Sur Next INpact, Marc Rees identifie avec raison le changement le plus profond que ce texte va amener : il remet en question la distinction classique entre hébergeurs et éditeurs, issue de la directive eCommerce de 2000. Jusqu’à présent, les hébergeurs bénéficiaient d’une responsabilité atténuée vis-à-vis des actes commis par leurs utilisateurs. Au lieu de cela, la directive Copyright introduit une nouvelle catégorie d’intermédiaires dits « actifs » qui devront assumer la responsabilité des contenus qu’ils diffusent, même s’ils ne sont pas directement à l’origine de leur mise en ligne. Mais il est important de regarder quels critères la directive utilise pour identifier ce nouveau type d’acteurs :

La définition du prestataire de services de partage de contenus en ligne doit, au sens de la présente directive, englober les prestataires de services de la société de l’information dont l’un des objectifs principaux consiste à stocker, à mettre à la disposition du public ou à diffuser un nombre appréciable de contenus protégés par le droit d’auteur chargés ou rendus publics par leurs utilisateurs, et qui optimisent les contenus et font la promotion dans un but lucratif des œuvres et autres objets chargés, notamment en les affichant, en les affectant de balises, en assurant leur conservation et en les séquençant, indépendamment des moyens utilisés à cette fin, et jouent donc un rôle actif.

On voit que le « rôle actif » se déduit de trois éléments : la taille de l’acteur, son but lucratif et la hiérarchisation automatisée de contenus. Ce sont donc bien des plateformes centralisées lucratives, type Facebook ou YouTube, qui devront assumer cette nouvelle responsabilité. Pour y échapper, elles devront conclure des accords de licence pour rémunérer les ayant droits et, à défaut, déployer un filtrage automatisé des contenus a priori. En pratique, elles seront certainement toujours obligées de mettre en place un filtrage, car il est quasiment impossible d’obtenir une licence capable de couvrir l’intégralité des œuvres pouvant être postées.

Nous avons combattu en lui-même le filtrage automatique, car c’était une mesure profondément injuste et disproportionnée. Mais une question mérite d’être posée : au nom de quoi les défenseurs d’un « Internet Libre et Ouvert » devraient-ils s’émouvoir de ce que les plateformes centralisées et lucratives perdent le bénéfice de la quasi-immunité dont elles bénéficiaient jusqu’à présent ? La directive a par ailleurs pris le soin de préciser que les « prestataires sans finalité commerciale, comme les encyclopédies en ligne de type Wikipedia » ainsi que les « plateformes de développement de logiciels Open Source » seraient exclus du champ d’application de l’article 13, ce qui donne des garanties contre d’éventuels dommages collatéraux.

Marc Rees nous explique que cette évolution est dangereuse, parce que l’équilibre fixé par la directive eCommerce constituerait le « socle fondamental du respect de la liberté d’expression » sur Internet. Mais cette vision me paraît relever d’une conception purement « formelle » de la liberté d’expression. Peut-on encore dire que ce qui se passe sur Facebook ou YouTube relève de l’exercice de la liberté d’expression, alors que ces acteurs soumettent leurs utilisateurs à l’emprise d’une gouvernance algorithmique de plus en plus insupportable, que cible précisément la notion de « rôle actif » ?

Il est peut-être temps de tirer réellement les conséquences de la célèbre maxime « Code Is Law » de Lawrence Lessig : le droit n’est qu’une sorte de voile dans l’environnement numérique, car c’est le soubassement technique sur lequel s’appuie les usages qui conditionne réellement l’exercice des libertés. Quoi que dise la directive eCommerce, il n’y a quasiment plus rien qui relève de l’exercice de la liberté d’expression sur les plateformes centralisées lucratives, sinon une grotesque parodie qui salit le nom même de la liberté et nous en fait peu à peu perdre jusqu’au sens !

En le lisant « en creux », l’article 13 dessine au contraire l’espace sur Internet où la liberté d’expression peut encore réellement s’exercer : le réseau des sites personnels, celui des hébergeurs ne jouant pas un rôle actif et – plus important encore – les nouveaux services s’appuyant sur une fédération de serveurs, comme Mastodon ou Peertube.

Se doter (enfin) d’une doctrine économique claire

Allons même plus loin : en introduisant le critère de la lucrativité, l’article 13 donne aux défenseurs des libertés sur Internet l’occasion de revoir leur doctrine économique, qui m’a toujours paru constituer un sérieux talon d’Achille dans leurs positions…

Les eurodéputés ont introduit une autre exception afin que l’article 13 ne s’applique pas aux « micro, petites et moyennes entreprises« . Personnellement, je ne me réjouis pas du tout de cette insertion, car sur Internet, « micro-entreprises » veut souvent dire « start-up » et l’on sait que ces jeunes pousses aux dents longues aiment à se construire sur des modèles extrêmement toxiques de captation des utilisateurs et de prédation des données personnelles. Le critère de la taille n’est pas en lui-même pertinent, car tous les Léviathans du numérique ont commencé par être petits avant de grossir. Ce qu’il importe, c’est justement qu’aucun acteur ne soit plus en mesure d’enfler jusqu’à atteindre une taille hégémonique, et pour cela, c’est bien sur le critère de la lucrativité qu’il faut jouer.

Dans son article sur le site de l’EFF, Cory Doctorow estime que l’Union européenne s’est tirée une balle dans le pied avec cette directive Copyright, car elle aurait imposé des contraintes insurmontables à ses propres entreprises, qui ne pourraient plus espérer désormais rattraper les géants américains ou chinois. Mais ces propos me paraissent reposer sur une vision complètement « enchantée » de la concurrence, comme s’il était encore possible de croire qu’un « marché sain » est en mesure de nous sauver des monstruosités qu’il a lui-même engendrées.

Ce qui va se passer à présent avec l’obligation de filtrage automatisée, c’est que les grandes plateformes centralisées lucratives, type YouTube ou Facebook, vont sans doute devenir des espaces où les utilisateurs éprouveront le poids d’une répression « à la chinoise » avec la nécessité de se soumettre à un contrôle algorithmique avant même de pouvoir poster leurs contenus. Le contraste n’en sera que plus fort avec les espaces restant en dehors du périmètre de l’article 13, que les créateurs et leur public seront d’autant plus incités à rejoindre. Doit-on réellement le déplorer ?

Il faut bien voir en outre que le fait de ne pas poursuivre un but lucratif ne signifie pas que l’on ne puisse plus inscrire son activité dans la sphère économique. C’est exactement ce que fait depuis plus d’un siècle l'économie sociale et solidaire, en renonçant volontairement pour des raisons éthiques à poursuivre un but lucratif ou en limitant statutairement sa lucrativité. Voilà donc l’occasion d’en finir par le mythe selon lequel « l’Internet libre et ouvert » serait compatible avec les principes mêmes du capitalisme. C’est précisément cette illusion qui a enclenché le processus fatal de centralisation et cette dérive ne pourra être combattue qu’en revenant à la racine économique du problème.

On retrouve ici le problème de « l’agnosticisme économique » dont j’ai déjà parlé sur ce blog à propos du fonctionnement même des licences libres. En refusant de discriminer selon les types d’usages économiques, les défenseurs du Libre se sont en réalité privés de la possibilité de développer une réelle doctrine économique. C’est ce même aveuglement aux questions économiques qui conduit à des aberrations de positionnement comme celles que l’on a vu au cours de cette campagne contre la directive Copyright. Comment mobiliser autour du mot d’ordre « Save Your Internet », alors que cet « Internet » que l’on a voulu faire passer pour « le notre » comprend en réalité les principaux représentants du capitalisme de surveillance ? C’est le sens même de nos luttes qui disparaît si nous ne nous donnons pas les moyens d’opérer des distinctions claires parmi les acteurs économiques.

Et maintenant, que faire ?

En juin dernier, c’est-à-dire avant même le premier vote sur la directive, La Quadrature du Net a commencé à développer ce type d’analyses, en suggérant de ne pas s’opposer à l’introduction du critère du « rôle actif » des plateformes pour au contraire le retourner comme une arme dans la lutte contre la centralisation :

Tous ces enjeux connaissent un ennemi commun : la centralisation du Web, qui a enfermé la très grande majorité des internautes dans des règles uniques et rigides, qui n’ont que faire de la qualité, de la sérénité ou de la pertinence de nos échanges, n’existant que pour la plus simple recherche du profit de quelques entreprises.

L’une des principales causes de cette centralisation est le frein que le droit a longtemps posé contre l’apparition de son remède – le développement d’hébergeurs non-centralisés qui, ne se finançant pas par la surveillance et la régulation de masse, ne peuvent pas prendre le risque de lourds procès pour avoir échoué à retirer « promptement » chaque contenu « illicite » qui leur serait signalé. Des hébergeurs qui, souvent, peuvent à peine prendre le risque d’exister.

La condition du développement de tels services est que, enfin, le droit ne leur impose plus des règles qui depuis vingt ans ne sont presque plus pensées que pour quelques géants. Prévoir une nouvelle catégorie intermédiaire dédiée à ces derniers offre l’espoir de libérer l’Internet non-centralisé du cadre absurde dans lequel juges et législateurs l’ont peu à peu enfermé.

Dans sa réaction au vote de mercredi, Julia Reda rappelle qu’il ne s’agit pas de la fin du processus et qu’il reste encore une phase de trilogue avec la Commission et le Conseil, ainsi qu’un dernier vote au Parlement, sans doute au Printemps. Elle estime qu’il resterait encore une carte à jouer, en appelant les citoyens à se mobiliser pour faire pression sur leurs gouvernements en espérant que cela puisse encore conduire au retrait de l’article 13. Mais outre que cette hypothèse paraît hautement improbable étant donné les équilibres politiques, elle me paraît relever d’une certaine forme de désarroi, comme s’il y avait encore lieu de chercher à remporter une « bataille décisive » alors que les paramètres stratégiques du combat ont profondément évolué.

L’enjeu n’est pas de chercher – sans doute vainement – à supprimer l’article 13, mais de réussir à délimiter clairement son périmètre pour s’assurer qu’il ne s’appliquera qu’à des acteurs centralisés lucratifs procédant à une hiérarchisation des contenus. Manœuvrer ainsi ferait peser sur les GAFAM une charge écrasante, tout en préservant un espace pour développer un réseau d’acteurs éthiques non-centralisés et inscrits dans une logique d’économie solidaire. Il n’y a qu’au sein d’une telle sphère que l’on puisse encore espérer œuvrer pour un « Internet Libre et Ouvert ».

Il faut aussi sortir de l’urgence immédiate imposée par cette série de votes pour se replacer dans le temps long. De toutes façons, quelle que soit l’issue des dernières négociations, il restera encore plusieurs années (3, 4, peut-être plus ?) avant que la directive ne soit transposée dans les pays de l’Union. C’est un délai appréciable qui nous laisse encore le temps de travailler au développement de cette sphère d’acteurs alternatifs.

Du coup, si vous voulez concrètement faire quelque chose pour « l’Internet Libre et Ouvert », je ne vous conseillerai pas d’appeler votre député, mais plutôt d’aller faire un don à l’association Framasoft, car ce sont eux qui ont sans doute le mieux compris et anticipé les changements nécessaires à opérer dans notre stratégie. Avec PeerTube, l’alternative fédérée à YouTube qu’ils sont en train de bâtir, ils plantent une graine en laquelle nous pouvons encore placer nos espoirs. Et avec le collectif d’hébergeurs alternatifs CHATONS qu’ils ont fait émerger, ils ont déjà préfiguré ce que pourrait être cette alliance du Libre et de l’Economie Sociale et Solidaire dont nous avons besoin pour rebooter le système sur des bases économiques saines.

« Une bataille perdue est une bataille que l’on croit perdue » – Napoléon.

]]>
Censure antiterroriste: la Commission européenne veut détruire l'Internet décentralisé10614 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180912_150408_Censure_antiterroriste__la_Commission_europeenne_veut_detruire_l_Internet_decentraliseWed, 12 Sep 2018 13:04:08 +000012 septembre 2018 - Ce matin, alors que toute l'attention était tournée vers l'adoption de la directive droit d'auteur, la Commission européenne a publié sa proposition de règlement contre la propagande terroriste en ligne.

Ce texte sécuritaire prévoit d'imposer plusieurs obligations aux hébergeurs, et notamment le retrait en moins d'une heure des contenus signalés. Il banalise la censure policière ou privée et donc le contournement de la justice. Il fait des filtres automatiques - justement au coeur du débat sur la directive droit d'auteur - la clé des politiques de censure à l'ère numérique1.

Seule une poignée d'hébergeurs pourront satisfaire de telles obligations - en particulier le délai d'une heure pour censurer les contenus. Les autres hébergeurs - la très grande majorité qui, depuis les origines, ont constitué le corps d'Internet - seront incapables d'y répondre et s'exposeront systématiquement à des sanctions.

Si ce texte était adopté, les quasi-monopoles du Net (Google, Amazon, Facebook, Apple, Microsoft, Twitter...) se verront consacrés dans leur rôle clé pour les politiques sécuritaires des États membres, et renforcés dans leurs positions ultra-dominantes - tous les autres services ayant dû fermer boutique, y compris les services décentralisés qui respectent nos droits. Après avoir vaguement prétendu nous défendre avec le RGPD, la Commission européenne change radicalement de direction et compte désormais défaire l'État de droit en renforçant et en pactisant avec des firmes surpuissantes, qui exploitent nos libertés.

Pourtant, le reste de l'Internet, l'Internet décentralisé et gouvernable de façon démocratique, repose sur un contrôle fin et adapté à chaque personne des contenus qui y sont diffusés. Cette organisation est une des solutions les plus pertinentes pour freiner la propagation de messages problématiques, mais la Commission compte justement la détruire en lui imposant des obligations impossibles à respecter.

En pratique, la proposition de la Commission est donc non seulement inutile - les géants sont déjà largement actifs pour surveiller et censurer et collaborent très largement avec les autorités en matière antiterroriste.2 Elle est surtout contre-productive : son principal effet serait de détruire l'unique version d'Internet compatible avec nos libertés fondamentales.

Ce règlement vient à peine d'être proposé aujourd'hui. S'ensuivront des débats au sein des différentes institutions européennes. Nous y contribuerons avec la plus grande rigueur.

  • 1. Ce réglement prévoit une obligation pour tout hébergeur Internet, quelque soit sa taille ou son fonctionnement, de retirer dans un délai d'une heure les contenus jugés de nature terroriste, en cas d'injonction faite par les autorités judiciaires ou administratives (article 4). Il permet également à ces dernières d'imposer une telle censure non sur la base du droit national applicable (par exemple, en France, le décret Cazeneuve de février 2015), mais sur la base des conditions d'utilisation des plateformes (article 5). Le texte invite aussi les acteurs du Net à adopter des mesures « proactives », sous la forme de filtres automatiques scannant les contenus mis en ligne pour bloquer ceux correspondants à certains critères arrêtés par ces firmes (article 6).
  • 2. Depuis 2015, les États comme la France et des organisations telles qu'Europol ont développé de multiples partenariats avec les géants du numérique pour lutter contre la propagande terroriste, le plus souvent au mépris du droit international.
]]>
12 septembre 2018 - Ce matin, alors que toute l'attention était tournée vers l'adoption de la directive droit d'auteur, la Commission européenne a publié sa proposition de règlement contre la propagande terroriste en ligne.

Ce texte sécuritaire prévoit d'imposer plusieurs obligations aux hébergeurs, et notamment le retrait en moins d'une heure des contenus signalés. Il banalise la censure policière ou privée et donc le contournement de la justice. Il fait des filtres automatiques - justement au coeur du débat sur la directive droit d'auteur - la clé des politiques de censure à l'ère numérique1.

Seule une poignée d'hébergeurs pourront satisfaire de telles obligations - en particulier le délai d'une heure pour censurer les contenus. Les autres hébergeurs - la très grande majorité qui, depuis les origines, ont constitué le corps d'Internet - seront incapables d'y répondre et s'exposeront systématiquement à des sanctions.

Si ce texte était adopté, les quasi-monopoles du Net (Google, Amazon, Facebook, Apple, Microsoft, Twitter...) se verront consacrés dans leur rôle clé pour les politiques sécuritaires des États membres, et renforcés dans leurs positions ultra-dominantes - tous les autres services ayant dû fermer boutique, y compris les services décentralisés qui respectent nos droits. Après avoir vaguement prétendu nous défendre avec le RGPD, la Commission européenne change radicalement de direction et compte désormais défaire l'État de droit en renforçant et en pactisant avec des firmes surpuissantes, qui exploitent nos libertés.

Pourtant, le reste de l'Internet, l'Internet décentralisé et gouvernable de façon démocratique, repose sur un contrôle fin et adapté à chaque personne des contenus qui y sont diffusés. Cette organisation est une des solutions les plus pertinentes pour freiner la propagation de messages problématiques, mais la Commission compte justement la détruire en lui imposant des obligations impossibles à respecter.

En pratique, la proposition de la Commission est donc non seulement inutile - les géants sont déjà largement actifs pour surveiller et censurer et collaborent très largement avec les autorités en matière antiterroriste.2 Elle est surtout contre-productive : son principal effet serait de détruire l'unique version d'Internet compatible avec nos libertés fondamentales.

Ce règlement vient à peine d'être proposé aujourd'hui. S'ensuivront des débats au sein des différentes institutions européennes. Nous y contribuerons avec la plus grande rigueur.

  • 1. Ce réglement prévoit une obligation pour tout hébergeur Internet, quelque soit sa taille ou son fonctionnement, de retirer dans un délai d'une heure les contenus jugés de nature terroriste, en cas d'injonction faite par les autorités judiciaires ou administratives (article 4). Il permet également à ces dernières d'imposer une telle censure non sur la base du droit national applicable (par exemple, en France, le décret Cazeneuve de février 2015), mais sur la base des conditions d'utilisation des plateformes (article 5). Le texte invite aussi les acteurs du Net à adopter des mesures « proactives », sous la forme de filtres automatiques scannant les contenus mis en ligne pour bloquer ceux correspondants à certains critères arrêtés par ces firmes (article 6).
  • 2. Depuis 2015, les États comme la France et des organisations telles qu'Europol ont développé de multiples partenariats avec les géants du numérique pour lutter contre la propagande terroriste, le plus souvent au mépris du droit international.
]]>
Directive droit d'auteur : l'industrie culturelle et la presse réclament les miettes de l'économie de la surveillance de masse10613 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180912_100404_Directive_droit_d_auteur___l_industrie_culturelle_et_la_presse_reclament_les_miettes_de_l_economie_de_la_surveillance_de_masseWed, 12 Sep 2018 08:04:04 +000012 septembre 2018 - Le Parlement européen vient d'adopter la directive droit d'auteur, qu'il avait pourtant repoussée une première fois cet été. En ayant fait adopter cette directive, les industries culturelles et de la presse réclament les miettes de l'économie de la surveillance de masse. Plutôt que de combattre cette capitulation devant les GAFAM, le gouvernement français l'a vigoureusement encouragée.

En 20 ans, l'industrie culturelle française n'a jamais su s'adapter à Internet. Aujourd'hui, elle est folle de rage devant le succès de Netflix ou d'Amazon. Donc elle exige les miettes du gâteau. Elle veut contraindre les géants du Web, tels que Youtube ou Facebook, à partager avec elle les revenus de la publicité ciblée associée aux œuvres dont ils sont les ayants-droits.

Mais la publicité ciblée consiste surtout à surveiller tout le monde, partout, tout le temps, sans notre consentement libre. Depuis le 25 mai et le RGPD, c'est illégal, et c'est bien pourquoi nous avons attaqué chacun des GAFAM au printemps dernier devant la CNIL, dans des plaintes collectives réunissant 12 000 personnes.

Pourtant, ayant échoué à évoluer, l'industrie culturelle française est aujourd'hui prête à s'associer à ce modèle illégal. Avec le vote d'aujourd'hui, le financement de la culture se soumet à l'économie de la surveillance de masse. Et il est injustifiable que le gouvernement français, en soutenant lui aussi cette directive, ait consacré la toute puissance illicite des géants du Web, plutôt que de combattre leur modèle de surveillance pour nous en protéger.

Hélas, le débat ne s'arrête pas là. À côté, on retrouve les éditeurs de presse qui, eux non plus, pour la plupart, n'ont jamais su s'adapter. Du coup, ils exigent aujourd'hui que Facebook et Google les financent en les payant pour chaque extrait d'article cité sur leur service. Mais quand les revenus du Monde ou du Figaro dépendront des revenus de Google ou de Facebook, combien de temps encore pourrons-nous lire dans ces journaux des critiques de ces géants ? Plutôt que de s'adapter, les éditeurs de presse préfèrent renoncer entièrement à leur indépendance, sachant par ailleurs que bon nombre d'entre eux mettent en œuvre des pratiques tout aussi intrusives que celles des GAFAM en matière de publicité ciblée (relire notre analyse de leurs pratiques et de leurs positions sur le règlement ePrivacy).

Ici encore, le gouvernement français a encouragé cette capitulation générale face aux géants du Web, qui passent encore davantage pour les maîtres de l'Internet. Pourtant, ils ne sont les maîtres de rien du tout. Internet n'a pas besoin de Google ou de Facebook pour nous permettre de communiquer. Au contraire, ces géants nuisent à nos échanges, pour mieux vendre leur publicité.

Le vote d'aujourd'hui est le symptôme de l'urgence qu'il y a à changer de cadre. Le gouvernement français doit accepter qu'Internet ne se résume pas à une poignée de monopoles. Il doit renoncer aux multinationales du numérique et, enfin, commencer à promouvoir le développement d'un Internet décentralisé - seul capable de respecter nos droits et libertés. Maintenant.

]]>
12 septembre 2018 - Le Parlement européen vient d'adopter la directive droit d'auteur, qu'il avait pourtant repoussée une première fois cet été. En ayant fait adopter cette directive, les industries culturelles et de la presse réclament les miettes de l'économie de la surveillance de masse. Plutôt que de combattre cette capitulation devant les GAFAM, le gouvernement français l'a vigoureusement encouragée.

En 20 ans, l'industrie culturelle française n'a jamais su s'adapter à Internet. Aujourd'hui, elle est folle de rage devant le succès de Netflix ou d'Amazon. Donc elle exige les miettes du gâteau. Elle veut contraindre les géants du Web, tels que Youtube ou Facebook, à partager avec elle les revenus de la publicité ciblée associée aux œuvres dont ils sont les ayants-droits.

Mais la publicité ciblée consiste surtout à surveiller tout le monde, partout, tout le temps, sans notre consentement libre. Depuis le 25 mai et le RGPD, c'est illégal, et c'est bien pourquoi nous avons attaqué chacun des GAFAM au printemps dernier devant la CNIL, dans des plaintes collectives réunissant 12 000 personnes.

Pourtant, ayant échoué à évoluer, l'industrie culturelle française est aujourd'hui prête à s'associer à ce modèle illégal. Avec le vote d'aujourd'hui, le financement de la culture se soumet à l'économie de la surveillance de masse. Et il est injustifiable que le gouvernement français, en soutenant lui aussi cette directive, ait consacré la toute puissance illicite des géants du Web, plutôt que de combattre leur modèle de surveillance pour nous en protéger.

Hélas, le débat ne s'arrête pas là. À côté, on retrouve les éditeurs de presse qui, eux non plus, pour la plupart, n'ont jamais su s'adapter. Du coup, ils exigent aujourd'hui que Facebook et Google les financent en les payant pour chaque extrait d'article cité sur leur service. Mais quand les revenus du Monde ou du Figaro dépendront des revenus de Google ou de Facebook, combien de temps encore pourrons-nous lire dans ces journaux des critiques de ces géants ? Plutôt que de s'adapter, les éditeurs de presse préfèrent renoncer entièrement à leur indépendance, sachant par ailleurs que bon nombre d'entre eux mettent en œuvre des pratiques tout aussi intrusives que celles des GAFAM en matière de publicité ciblée (relire notre analyse de leurs pratiques et de leurs positions sur le règlement ePrivacy).

Ici encore, le gouvernement français a encouragé cette capitulation générale face aux géants du Web, qui passent encore davantage pour les maîtres de l'Internet. Pourtant, ils ne sont les maîtres de rien du tout. Internet n'a pas besoin de Google ou de Facebook pour nous permettre de communiquer. Au contraire, ces géants nuisent à nos échanges, pour mieux vendre leur publicité.

Le vote d'aujourd'hui est le symptôme de l'urgence qu'il y a à changer de cadre. Le gouvernement français doit accepter qu'Internet ne se résume pas à une poignée de monopoles. Il doit renoncer aux multinationales du numérique et, enfin, commencer à promouvoir le développement d'un Internet décentralisé - seul capable de respecter nos droits et libertés. Maintenant.

]]>
Directive sur le droit d’auteur : l’affrontement factice des deux têtes du capitalisme informationnel10612 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180910_111747_Directive_sur_le_droit_d___auteur___l___affrontement_factice_des_deux_tetes_du_capitalisme_informationnelMon, 10 Sep 2018 09:17:47 +0000Nous republions la tribune de Félix Tréguer parue dans Le Monde le 8 septembre 2018

Un quart de siècle qu’on se repasse ce même mauvais film, celui où les industries culturelles instrumentalisent la loi pour faire la guerre à leur public. En cause cette fois-ci, l’article 13 de la directive sur le droit d’auteur en cours d’examen à Bruxelles, et sur lequel le Parlement européen se prononcera le 12 septembre.

Dans sa rédaction actuelle, cette disposition impose que, dans le cadre d’accords avec les sociétés d’ayants droit (telle la Sacem), les ­plates-formes numériques (YouTube, Facebook et consorts) recourent à des outils de ­filtrage automatisés. Le but ? Repérer les ­contenus ­publiés par les internautes et bloquer ceux ­incluant des œuvres couvertes par le droit d’auteur. Une forme de censure préalable, automatisée et privatisée.

Rien de bien nouveau, donc. En effet, depuis le milieu des années 1990, les industries culturelles (musique, cinéma, édition…) n’ont eu de cesse d’exiger des législateurs et des tribunaux la « collaboration » forcée des fournisseurs ­d’accès à Internet et des hébergeurs pour lutter ­contre l’échange gratuit d’œuvres culturelles sur les réseaux.

L’ACTA rejeté en 2012

A l’époque déjà, ces débats avaient conduit à la mobilisation des associations de défense des droits dans l’environnement numérique. Comme aujourd’hui, ces dernières faisaient valoir que la logique poursuivie était dangereuse, puisqu’elle revenait à confier à des entreprises privées un rôle de surveillance et de censure des communications sur le Net.

Ces débats débouchèrent en Europe sur un compromis instable à travers une directive adoptée en juin 2000, qui semblait donner gain de cause aux militants et aux acteurs de l’économie numérique. Les « intermédiaires techniques » d’Internet, et en particulier les hébergeurs, ne seraient plus inquiétés tant qu’ils ne joueraient pas de rôle actif dans la diffusion des contenus litigieux. Il leur fallait répondre aux demandes judiciaires visant à retirer les publications illicites, mais les Etats ne pourraient pas leur imposer d’« obligation générale de surveillance » des communications pour détecter et empêcher de telles publications.

Depuis, les initiatives visant à imposer des filtres automatiques se sont pourtant multipliées. Et parfois, en France notamment, leurs promoteurs ont eu gain de cause devant les tribunaux. Toutefois, dans deux arrêts importants rendus en 2011 et 2012 au nom de la protection de la liberté de communication et de la vie privée, la Cour de justice de l’Union européenne s’est opposée aux demandes d’une ­société de gestion visant à imposer à un fournisseur d’accès ou à un hébergeur la mise en place de tels filtres. En 2012, le Parlement européen a également rejeté l’Accord commercial anti-contrefaçon (ACTA), qui aurait pu banaliser, à l’échelle mondiale, le recours à ces outils de filtrage.

Surveillance des utilisateurs

Sauf que, entre-temps, l’économie politique d’Internet a été profondément ébranlée par l’apparition d’un nouvel oligopole, composé de quelques firmes presque entièrement consacrées à la régulation algorithmique de l’information. Il y a ainsi plus de dix ans que Google, mis sous pression par les multinationales du divertissement, a déployé au sein de sa filiale YouTube un système de filtrage baptisé Content ID.

En scannant automatiquement l’ensemble des vidéos mises en ligne par les utilisateurs et en les confrontant à une base de données de contenus soumis au droit d’auteur, les algorithmes de Content ID permettent aux ayants droit de bloquer ou de monétiser les vidéos incluant des œuvres dont ils détiennent les droits. Un dispositif que l’article 13 de la directive sur le droit d’auteur cherche à généraliser.

Or, Content ID a conduit à de nombreux cas de censure voyant des ayants droit revendiquer des œuvres qui ne leur appartenaient pas. Il s’avère aussi incapable de respecter les exceptions légales au droit d’auteur ­(citation, parodie…) sur lesquelles se fondent des nouvelles pratiques artistiques (remix, mashups…). Google a donc beau jeu de critiquer l’article 13 au nom de la défense des libertés, en chœur avec d’autres entreprises du numérique qui ont placé la censure privée et la surveillance des utilisateurs au cœur de leurs modèles économiques.

Incapables de repenser les politiques culturelles

A l’hypocrisie des géants du numérique ­répond celle des industries culturelles. Trop occupées à défendre une vision « propriétariste » du droit d’auteur et à réprimer le partage d’œuvres sur les réseaux peer to peer (« de pair à pair »), elles se montrent incapables de repenser les politiques culturelles à l’ère numérique. Résultat : elles en sont aujourd’hui réduites à négocier piteusement avec les grandes entreprises de technologie qui, profitant de leur incurie, ont raflé la mise.

Car c’est bien ce qui se joue actuellement avec la directive sur le droit d’auteur : l’affrontement des deux têtes de l’hydre du capitalisme ­informationnel. Industries culturelles versus ­plates-formes numériques, qui veulent chacune se ménager le maximum de marge de manœuvre dans leur négociation d’une forme de « licence globale » privatisée, laquelle viendra renforcer leurs positions oligopolistiques au détriment tant du public que des artistes.
Que faire pour sortir de ce cycle délétère ? D’abord, rejeter l’article 13 et le monde qu’il représente, celui où l’espace public et la liberté d’expression sont soumis aux décisions d’algorithmes opaques. Si le Parlement européen tient encore à inscrire l’Union européenne dans la tradition de l’Etat de droit, il réaffirmera la position qui est la sienne depuis près de vingt ans et le rejettera.

Et après ? On voudrait croire, comme nous l’avions cru en 2012 avec le rejet de l’ACTA, qu’une telle décision marquera le début d’une refondation des politiques culturelles et ­numériques. Mais, en dépit de quelques signes encourageants de l’UE pour contrer la dominance des Gafam (Google, Apple, Facebook, Amazon et Microsoft), il y a fort à parier que les Etats continueront de composer avec les ­nouveaux seigneurs de l’espace public… D’où l’importance de cultiver des espaces de résistance renouant avec le projet de faire d’Internet une bibliothèque universelle, envers et contre le droit si nécessaire.

Félix Tréguer
Chercheur postdoctorant à l’Institut des sciences de la communication (CNRS) et membre de La Quadrature du Net.

]]>
Nous republions la tribune de Félix Tréguer parue dans Le Monde le 8 septembre 2018

Un quart de siècle qu’on se repasse ce même mauvais film, celui où les industries culturelles instrumentalisent la loi pour faire la guerre à leur public. En cause cette fois-ci, l’article 13 de la directive sur le droit d’auteur en cours d’examen à Bruxelles, et sur lequel le Parlement européen se prononcera le 12 septembre.

Dans sa rédaction actuelle, cette disposition impose que, dans le cadre d’accords avec les sociétés d’ayants droit (telle la Sacem), les ­plates-formes numériques (YouTube, Facebook et consorts) recourent à des outils de ­filtrage automatisés. Le but ? Repérer les ­contenus ­publiés par les internautes et bloquer ceux ­incluant des œuvres couvertes par le droit d’auteur. Une forme de censure préalable, automatisée et privatisée.

Rien de bien nouveau, donc. En effet, depuis le milieu des années 1990, les industries culturelles (musique, cinéma, édition…) n’ont eu de cesse d’exiger des législateurs et des tribunaux la « collaboration » forcée des fournisseurs ­d’accès à Internet et des hébergeurs pour lutter ­contre l’échange gratuit d’œuvres culturelles sur les réseaux.

L’ACTA rejeté en 2012

A l’époque déjà, ces débats avaient conduit à la mobilisation des associations de défense des droits dans l’environnement numérique. Comme aujourd’hui, ces dernières faisaient valoir que la logique poursuivie était dangereuse, puisqu’elle revenait à confier à des entreprises privées un rôle de surveillance et de censure des communications sur le Net.

Ces débats débouchèrent en Europe sur un compromis instable à travers une directive adoptée en juin 2000, qui semblait donner gain de cause aux militants et aux acteurs de l’économie numérique. Les « intermédiaires techniques » d’Internet, et en particulier les hébergeurs, ne seraient plus inquiétés tant qu’ils ne joueraient pas de rôle actif dans la diffusion des contenus litigieux. Il leur fallait répondre aux demandes judiciaires visant à retirer les publications illicites, mais les Etats ne pourraient pas leur imposer d’« obligation générale de surveillance » des communications pour détecter et empêcher de telles publications.

Depuis, les initiatives visant à imposer des filtres automatiques se sont pourtant multipliées. Et parfois, en France notamment, leurs promoteurs ont eu gain de cause devant les tribunaux. Toutefois, dans deux arrêts importants rendus en 2011 et 2012 au nom de la protection de la liberté de communication et de la vie privée, la Cour de justice de l’Union européenne s’est opposée aux demandes d’une ­société de gestion visant à imposer à un fournisseur d’accès ou à un hébergeur la mise en place de tels filtres. En 2012, le Parlement européen a également rejeté l’Accord commercial anti-contrefaçon (ACTA), qui aurait pu banaliser, à l’échelle mondiale, le recours à ces outils de filtrage.

Surveillance des utilisateurs

Sauf que, entre-temps, l’économie politique d’Internet a été profondément ébranlée par l’apparition d’un nouvel oligopole, composé de quelques firmes presque entièrement consacrées à la régulation algorithmique de l’information. Il y a ainsi plus de dix ans que Google, mis sous pression par les multinationales du divertissement, a déployé au sein de sa filiale YouTube un système de filtrage baptisé Content ID.

En scannant automatiquement l’ensemble des vidéos mises en ligne par les utilisateurs et en les confrontant à une base de données de contenus soumis au droit d’auteur, les algorithmes de Content ID permettent aux ayants droit de bloquer ou de monétiser les vidéos incluant des œuvres dont ils détiennent les droits. Un dispositif que l’article 13 de la directive sur le droit d’auteur cherche à généraliser.

Or, Content ID a conduit à de nombreux cas de censure voyant des ayants droit revendiquer des œuvres qui ne leur appartenaient pas. Il s’avère aussi incapable de respecter les exceptions légales au droit d’auteur ­(citation, parodie…) sur lesquelles se fondent des nouvelles pratiques artistiques (remix, mashups…). Google a donc beau jeu de critiquer l’article 13 au nom de la défense des libertés, en chœur avec d’autres entreprises du numérique qui ont placé la censure privée et la surveillance des utilisateurs au cœur de leurs modèles économiques.

Incapables de repenser les politiques culturelles

A l’hypocrisie des géants du numérique ­répond celle des industries culturelles. Trop occupées à défendre une vision « propriétariste » du droit d’auteur et à réprimer le partage d’œuvres sur les réseaux peer to peer (« de pair à pair »), elles se montrent incapables de repenser les politiques culturelles à l’ère numérique. Résultat : elles en sont aujourd’hui réduites à négocier piteusement avec les grandes entreprises de technologie qui, profitant de leur incurie, ont raflé la mise.

Car c’est bien ce qui se joue actuellement avec la directive sur le droit d’auteur : l’affrontement des deux têtes de l’hydre du capitalisme ­informationnel. Industries culturelles versus ­plates-formes numériques, qui veulent chacune se ménager le maximum de marge de manœuvre dans leur négociation d’une forme de « licence globale » privatisée, laquelle viendra renforcer leurs positions oligopolistiques au détriment tant du public que des artistes.
Que faire pour sortir de ce cycle délétère ? D’abord, rejeter l’article 13 et le monde qu’il représente, celui où l’espace public et la liberté d’expression sont soumis aux décisions d’algorithmes opaques. Si le Parlement européen tient encore à inscrire l’Union européenne dans la tradition de l’Etat de droit, il réaffirmera la position qui est la sienne depuis près de vingt ans et le rejettera.

Et après ? On voudrait croire, comme nous l’avions cru en 2012 avec le rejet de l’ACTA, qu’une telle décision marquera le début d’une refondation des politiques culturelles et ­numériques. Mais, en dépit de quelques signes encourageants de l’UE pour contrer la dominance des Gafam (Google, Apple, Facebook, Amazon et Microsoft), il y a fort à parier que les Etats continueront de composer avec les ­nouveaux seigneurs de l’espace public… D’où l’importance de cultiver des espaces de résistance renouant avec le projet de faire d’Internet une bibliothèque universelle, envers et contre le droit si nécessaire.

Félix Tréguer
Chercheur postdoctorant à l’Institut des sciences de la communication (CNRS) et membre de La Quadrature du Net.

]]>
Un collège-lycée contraint illégalement des enfants à être traçables en permanence10605 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180727_151455_Un_college-lycee_contraint_illegalement_des_enfants_a_etre_tra__ables_en_permanenceFri, 27 Jul 2018 13:14:55 +000030 juillet 2018 - Il y a dix jours, une lycéenne de l'établissement scolaire privé Rocroy Saint-Vincent de Paul, à Paris, a révélé un changement du règlement intérieur de l'établissement. À compter de la rentrée, chaque collégien et lycéen devra porter sur lui un porte-clef fourni à l'établissement par la start-up française New School et qui permettra de localiser l'élève via une puce Bluetooth intégrée. Voici le résultat de notre analyse juridique et technique de ce système, concluant à son illégalité.

Mise à jour du 29 août 2018 :

Newschool a publié hier une réponse aux critiques la visant. Pour défendre son système, la start-up met en avant l'obligation légale de faire l'appel en classe. L'existence de cette obligation n'est pas le sujet du débat : ce qui importe est de savoir si le porte-clef permet de répondre licitement à cette obligation - ce n'est pas le cas.

Ensuite, quant à la licéité du porte-clef, New School se contente d'évoquer des « informations erronées » de la part de ses détracteurs. La start-up ne propose pourtant aucun élément précis pour contredire les nombreux points de notre analyse technique et juridique.

Enfin, cette réponse montre que New School refuse de voir que le problème est avant tout dans le rapport à nos libertés fondamentales : renoncer à celles-ci pour rendre certaines tâches moins rébarbatives n'est pas une solution, et nous espérons que les écoles ne se laisseront pas prendre à ce piège.

Fonctionnement du porte-clef

L'établissement scolaire a expliqué que le porte-clef obligatoire lui sera fourni par New School, une start-up française soutenue notamment par Apple1 et mise en avant en 2016 par Qwant2.

Le porte-clef intègre une puce Bluetooth, gérée par un logiciel fourni par une autre start-up française, Ubudu, qui a annoncé sa collaboration avec New School depuis 2016.

Sur son site, Ubudu se décrit ainsi : « Ubudu est la solution RTLS de prochaine génération, qui piste, analyse et détecte biens et personnes sur des lieux industriels ou de services : aéroports, usines, hôpitaux, magasins, centres sportifs ou de loisir, etc. Ubudu fonctionne uniquement avec des petits tags ou smartphones échangeant des signaux radio avec des capteurs fixes, et un serveur de localisation qui calcule et traite la position »3.

Dans sa documentation technique, Ubudu décrit un de ces tags, le tag BLE (Bluetooth Low Energy) : « utilisez des tags BLE si vous avez de nombreux biens à pister et n'avez pas besoin d'une précision en deçà de 1-2m. [...] Des exemples de mise en œuvre comprennent la solution de service en salle de McDonalds ou le badge étudiant New School (voir photo). Vous pouvez aussi utiliser des équipements iBeacon standards, dont nous recommandons ceux de haute qualité, tels que ceux de EM Microelectronics »4.

Parmi les puces EM Microelectronics auxquelles renvoient Ubudu se trouve la puce EMBC01. La fiche technique de cette puce indique qu'elle peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu'elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois.

Nous pensons que cette puce (recommandée par Ubudu, partenaire de New School), ou une puce similaire, est celle intégrée dans le porte-clef New School. En effet, la documentation commerciale de New School indique que « la durée de vie de nos porte-clés connectés est d’environ 13 mois », ce qui correspond à la durée de 12,5 mois de la puce EMBC01. De même, après prise de contact avec New School, NextInpact explique que, « à en croire ses développeurs, cette clef [...] dispose d’une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l’extérieur » - la même portée que la puce EMBC01.

Enfin, la puce qui apparait sur plusieurs photo du porte-clef New School (ici, en bas, une photo de 2016 tirée de l'article de Qwant en soutien à la start-up) est identique à l'image de la puce EMBC01 diffusée par EM Microelectronics dans sa documentation (ici, en haut).

Le porte-clef New School émet donc constamment, une fois par seconde et pendant 13 mois, un identifiant unique, propre à chaque porte-clef et, ainsi, à chaque enfant. Cet identifiant peut être capté par les smartphones situés dans un rayon de plusieurs dizaines de mètres.

Dans son règlement intérieur, l'établissement Rocroy explique que le port constant du porte-clef par les enfants permettra « de s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité ». Comme le détaille New School dans sa documentation, les professeurs et encadrants, munis de smartphone, pourront recevoir l'identifiant unique émis par chaque porte-clef et, ainsi, contrôler la présence des porte-clefs environnants (et, par là, en théorie, de chaque enfant dont le nom et la photo sont associés à chaque identifiant Bluetooth dans la base de données New School).

Charlemagne/EcoleDirecte

Dans sa documentation, New School explique que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : [...] chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte ».

Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l'entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d'une sécurité d'un autre âge...

Pour la création d'un nouveau profil, c'est l'administrateur qui choisit lui-même le mot de passe pour chaque utilisateur. Pour qu'un utilisateur récupère son mot de passe, celui-ci lui est alors envoyé en clair par email. Si le mot de passe peut lui être envoyé de la sorte, c'est manifestement qu'il est conservé en clair sur le serveur... contrairement aux recommandations élémentaires de la CNIL5.

Faire reposer l'identification de données de localisation d'enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C'est pourtant ce qu'explique faire New School.

De fausses affirmations

Dans un communiqué réagissant à la polémique naissante, l'établissement Rocroy explique, tentant d'être rassurant, que « le bluetooth ne s’active que lorsque l’enseignant fait l’appel. Le reste du temps, les porte-clés s’éteignent automatiquement ».

Cette affirmation rend absurde la durée de vie de 13 mois du porte-clef annoncée par New School dans la documentation. Au regard de l'état de l'art des puces Bluetooth (tel qu'il en ressort des caractéristiques de la puce EMBC01), une puce qui serait activée une poignée de minutes seulement par jour (le temps de faire l'appel) aurait une durée de vie de plusieurs années et n'aurait pas besoin d'être renouvelée tous les 13 mois.

Ce renouvellement de la puce aurait pu être justifié par le passage d'une année à l'autre par chaque enfant, mais le délai de renouvellement aurait alors été de 12 mois et non de 13. Le renouvellement de la puce n'est donc justifiable que par une seule raison : la puce est activée de façon constante, 24h/24, même en dehors des 8 heures de classe quotidiennes (sans quoi la durée de vie annoncée serait triple, de l'ordre de 39 mois).

Par ailleurs, l'idée que la puce n'émette qu'au moment de l'appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n'importe quand, il n'y a pas d'appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au du CDI.

L'affirmation de l'établissement Rocroy semble donc fausse. Les conséquences seraient lourdes. Certes, l'identifiant unique émis par le porte-clef n'indique pas directement le nom d'un élève. Mais qu'importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l'identifiant étant unique), au simple moyen d'un smartphone (EM Microelectronics fournit même une application à cette fin), n'importe où, même en dehors de l'école, pour peu qu'on se trouve dans un rayon de 75 mètres de l'enfant.

Si l'établissement ne fournit pas d'informations nouvelles permettant de contredire cette hypothèse, nous viendrons la vérifier en pratique à la rentrée devant son lycée, qui n'est pas très loin de nos locaux.

Par ailleurs, dans son communiqué de presse, l'établissement prétend que le porte-clef « n’utilise pas la géolocalisation, et ne permet donc pas de connaitre la position ou les déplacements des élèves ».

Ce n'est pas ce que révèle la fiche de l'application New School qui sera utilisée sur smartphone par le personnel de l'établissement afin de détecter les porte-clefs à proximité. Au moment de son installation, l'application demande de pouvoir transmettre à New School la géolocalisation précise du smartphone, notamment par GPS. Or, la géolocalisation du smartphone permettra aussi de géolocaliser les portes-clefs détectés qui, par définition, seront situés dans une proximité directe. L'affirmation de l'établissement est donc fausse : le porte-clef permettra d'indiquer à New School la position des enfants dès lors qu'ils se trouveront à proximité d'un smartphone utilisant l'application New School.

Enfin, dans son communiqué, l'établissement a cru bon de prétendre que « les données personnelles (nom de l’élève, emploi du temps) sont protégées et cryptées, en accord avec la CNIL ». Or, comme on l'a vu, le système Charlemagne/EcoleDirecte sur lequel repose New School ne satisfait aucune des recommandations de la CNIL élémentaires en matière de sécurité. Ainsi, contactée par Le Point sur cette affaire, la CNIL a déclaré mardi dernier « ne pas avoir eu d'échange avec le lycée Rocroy sur le dispositif ».

Un système illégal

Le port obligatoire du porte-clef New School par chaque enfant semble illicite du simple fait que l'information fournie par l'établissement sur l'interruption automatique du porte-clef serait fausse, alors que le règlement général sur la protection des données (RGPD) exige une information loyale.

De plus, quand bien même cette information serait juste (si le porte-clef n'émettait pas constamment), le système serait illicite pour d'autres raisons.

D'abord, le RGPD exige que tout traitement de données personnelles soit fondé sur une base légale : le consentement, la nécessité de fournir un service public ou la nécessité de poursuivre un « intérêt légitime ».

Ici, les enfants ne peuvent donner aucun consentement valide au traçage : ils n'ont pas le choix de l'accepter pour aller en cours et ne peuvent l'accepter qu'en même temps qu'ils acceptent l'ensemble du règlement intérieur. Leur consentement, qui ne serait ni libre ni spécifique, ne serait jamais reconnu comme valide par la CNIL (au sujet du caractère libre du consentement, voir l'analyse détaillée développée dans nos plaintes collectives contre les GAFAM).

S'agissant de la nécessité de fournir un service public ou de poursuivre un intérêt légitime (tel que faire l'appel des élèves), il faut d'abord démontrer que le système est « nécessaire ». En droit, ceci implique notamment qu'il n'existe aucun autre système alternatif qui, atteignant les mêmes objectifs, cause des risques moins élevés en matière d'atteinte aux libertés fondamentales. Ici, l'appel des enfants à l'oral remplit les mêmes objectifs sans poser de risque pour la vie privée. Le fait que le traçage par localisation automatique des enfants simplifie l'appel des élèves ne saurait le rendre « nécessaire », surtout au regard des risques importants qu'il cause quant à la traçabilité constante de la position de chaque enfant.

Toutefois, ce débat sur la « nécessité » a déjà été tranché par le groupe de l'article 29 (G29, l'institution qui réunissait les CNIL des 28 États membres de l'Union européenne et qui est devenu le Comité européen de la protection des données depuis le 25 mai 2018).

Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment.

Dans notre cas, à l'inverse, l'établissement Rocroy sanctionne les enfants qui s'opposerait au pistage en refusant de porter le porte-clef. L'obligation de le porter est donc illicite de ce seul fait.

Par ailleurs, peu importe la base légale du traitement de données personnelles, le RGPD exige que celui-ci soit accompagné d'un certain nombre d'informations. Le responsable de traitement doit indiquer :

  1. son identité et ses coordonnées ;
  2. les finalités poursuivies ;
  3. l’étendue des droits de la personne concernée ;
  4. si les données sont transmises à des tiers, l'identité de ces destinataires ou la catégorie de ces destinataires ;
  5. la condition de licéité remplie par le traitement – en précisant, selon le cas, l'intérêt légitime défendu ou la possibilité de retirer le consentement donné ;
  6. la durée de conservation des données ;
  7. l'existence d'un transfert de données en dehors de l’Union, en précisant les garanties encadrant ce transfert ;
  8. l’existence d'une prise de décision automatisé.

Dans notre cas, l'établissement n'a fourni aucune de ces informations, si ce n'est, éventuellement, certaines des finalités envisagées (s'agissant des élèves, « s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité »), sans qu'on ne sache toutefois si ces finalités sont exhaustives.

Les autres informations sont simplement absentes, rendant le système illicite de ce seul fait.

Enfin, comme vu plus haut, les obligations de sécurité imposées par le RGPD ne sont pas respectées puisque le système New School repose sur le système complètement obsolète de Charlemagne/EcoleDirecte.

Et maintenant ?

Nous invitons les élèves et parents d'élèves de l'établissement Rocroy à se saisir des éléments développés ici pour saisir la justice en référé afin de faire changer le règlement intérieur avant la rentrée.

De façon plus générale, nous appelons la CNIL à enquêter sur la start-up New School avant que celle-ci ne démarche d'autres établissements. La situation est des plus inquiétante puisque, dès 2016, d'après Le Figaro Madame, « le cabinet de Valérie Pécresse lui fait savoir qu'ils aimeraient utiliser l'application pour toute la région Île-de-France ».

Politiquement, le cas de New School révèle un mouvement plus profond et plus grave : les puces choisies par New School ont initialement été pensées et sont normalement utilisées pour localiser des objets fixes (des murs) ou mobiles (des marchandises) afin qu'un humain muni d'un smartphone puisse se repérer parmi ces objets. Cette situation s'inverse ici : la puce n'est plus attachée à des objets mais à des enfants ; le smartphone ne sert plus à se repérer dans l'espace mais, immobile au poste du surveillant, à définir l'espace dans lequel les humains peuvent évoluer. L'humain ne se déplace plus parmi les choses : il est une chose comprise par d'autres.

  • 1. En janvier dernier, La Tribune explique, au sujet de la créatrice de New School, après que celle-ci a remporté un prix pour jeune startupeux :
    Quelques mois plus tard, Apple entre en contact avec elle et lui demande de pitcher deux jours plus tard dans ses bureaux londoniens. « J'étais déjà sur place, à croire qu'ils m'avaient tracée... » Dans le développement de NewSchool, la marque à la pomme a joué un rôle important, notamment dans la conception de l'application mais aussi dans la commercialisation : « Le marché de l'éducation en France est assez impénétrable, nous avons échangé beaucoup d'informations ».
    [...]
    Le coaching by Apple est toujours d'actualité. La jeune entrepreneure participe à de nombreux événements et voit régulièrement des développeurs, français et anglais, pour avancer sur l'application. Elle a même eu le privilège de rencontrer Tim Cook, en février dernier. Au tout début, il était question de faire de NewSchool une application préintégrée sur les appareils vendus aux établissements scolaires, mais « à l'époque nous n'étions pas assez développés, ni commercialement ni au niveau des fonctionnalités. Il nous faut encore grandir pour espérer un jour avoir une application commune », explique-t-elle. Et le travail en famille est toujours valable. « Ma mère est directrice commerciale, elle travaille beaucoup. Nous avons fait le salon de l'éducation la semaine dernière, c'est elle qui a tout géré », s'enthousiasme la jeune femme.
  • 2. Qwant semble avoir dé-publié son article en soutien à New School, mais nous en avions fait une copie. En réaction au présent article, Qwant a précisé que « Nous avons été invité à remettre un prix étudiant à la fondatrice pour son projet entrepreneurial (elle était la plus jeune entrepreneuse de France) mais notre lien avec l'entreprise n'a pas été au-delà de ce concours. »
  • 3. Notre traduction de « Ubudu is a next-generation RTLS solution, which tracks, analyses and detects assets and people in industrial or service sites: airports, factories, hospitals, retail, sport & leisure venues, etc. Ubudu simply works with small tags or smartphones exchanging radio-signals with fixed sensors, and a location server that computes and processes the position. »
  • 4. Notre traduction de « Use BLE Tags if you have many assets to track and do not need accuracy below 1-2m. (...) Examples of realizations include McDonald’s table service solution and New School student tokens (include pictures). You can also go with standard iBeacon devices, for which we recommend those of high quality, such as EM Microelectronics ».
  • 5. De bon sens, la CNIL exige que « le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique » et que « le mot de passe ne doit jamais être stocké en clair ».
]]>
30 juillet 2018 - Il y a dix jours, une lycéenne de l'établissement scolaire privé Rocroy Saint-Vincent de Paul, à Paris, a révélé un changement du règlement intérieur de l'établissement. À compter de la rentrée, chaque collégien et lycéen devra porter sur lui un porte-clef fourni à l'établissement par la start-up française New School et qui permettra de localiser l'élève via une puce Bluetooth intégrée. Voici le résultat de notre analyse juridique et technique de ce système, concluant à son illégalité.

Mise à jour du 29 août 2018 :

Newschool a publié hier une réponse aux critiques la visant. Pour défendre son système, la start-up met en avant l'obligation légale de faire l'appel en classe. L'existence de cette obligation n'est pas le sujet du débat : ce qui importe est de savoir si le porte-clef permet de répondre licitement à cette obligation - ce n'est pas le cas.

Ensuite, quant à la licéité du porte-clef, New School se contente d'évoquer des « informations erronées » de la part de ses détracteurs. La start-up ne propose pourtant aucun élément précis pour contredire les nombreux points de notre analyse technique et juridique.

Enfin, cette réponse montre que New School refuse de voir que le problème est avant tout dans le rapport à nos libertés fondamentales : renoncer à celles-ci pour rendre certaines tâches moins rébarbatives n'est pas une solution, et nous espérons que les écoles ne se laisseront pas prendre à ce piège.

Fonctionnement du porte-clef

L'établissement scolaire a expliqué que le porte-clef obligatoire lui sera fourni par New School, une start-up française soutenue notamment par Apple1 et mise en avant en 2016 par Qwant2.

Le porte-clef intègre une puce Bluetooth, gérée par un logiciel fourni par une autre start-up française, Ubudu, qui a annoncé sa collaboration avec New School depuis 2016.

Sur son site, Ubudu se décrit ainsi : « Ubudu est la solution RTLS de prochaine génération, qui piste, analyse et détecte biens et personnes sur des lieux industriels ou de services : aéroports, usines, hôpitaux, magasins, centres sportifs ou de loisir, etc. Ubudu fonctionne uniquement avec des petits tags ou smartphones échangeant des signaux radio avec des capteurs fixes, et un serveur de localisation qui calcule et traite la position »3.

Dans sa documentation technique, Ubudu décrit un de ces tags, le tag BLE (Bluetooth Low Energy) : « utilisez des tags BLE si vous avez de nombreux biens à pister et n'avez pas besoin d'une précision en deçà de 1-2m. [...] Des exemples de mise en œuvre comprennent la solution de service en salle de McDonalds ou le badge étudiant New School (voir photo). Vous pouvez aussi utiliser des équipements iBeacon standards, dont nous recommandons ceux de haute qualité, tels que ceux de EM Microelectronics »4.

Parmi les puces EM Microelectronics auxquelles renvoient Ubudu se trouve la puce EMBC01. La fiche technique de cette puce indique qu'elle peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu'elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois.

Nous pensons que cette puce (recommandée par Ubudu, partenaire de New School), ou une puce similaire, est celle intégrée dans le porte-clef New School. En effet, la documentation commerciale de New School indique que « la durée de vie de nos porte-clés connectés est d’environ 13 mois », ce qui correspond à la durée de 12,5 mois de la puce EMBC01. De même, après prise de contact avec New School, NextInpact explique que, « à en croire ses développeurs, cette clef [...] dispose d’une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l’extérieur » - la même portée que la puce EMBC01.

Enfin, la puce qui apparait sur plusieurs photo du porte-clef New School (ici, en bas, une photo de 2016 tirée de l'article de Qwant en soutien à la start-up) est identique à l'image de la puce EMBC01 diffusée par EM Microelectronics dans sa documentation (ici, en haut).

Le porte-clef New School émet donc constamment, une fois par seconde et pendant 13 mois, un identifiant unique, propre à chaque porte-clef et, ainsi, à chaque enfant. Cet identifiant peut être capté par les smartphones situés dans un rayon de plusieurs dizaines de mètres.

Dans son règlement intérieur, l'établissement Rocroy explique que le port constant du porte-clef par les enfants permettra « de s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité ». Comme le détaille New School dans sa documentation, les professeurs et encadrants, munis de smartphone, pourront recevoir l'identifiant unique émis par chaque porte-clef et, ainsi, contrôler la présence des porte-clefs environnants (et, par là, en théorie, de chaque enfant dont le nom et la photo sont associés à chaque identifiant Bluetooth dans la base de données New School).

Charlemagne/EcoleDirecte

Dans sa documentation, New School explique que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : [...] chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte ».

Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l'entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d'une sécurité d'un autre âge...

Pour la création d'un nouveau profil, c'est l'administrateur qui choisit lui-même le mot de passe pour chaque utilisateur. Pour qu'un utilisateur récupère son mot de passe, celui-ci lui est alors envoyé en clair par email. Si le mot de passe peut lui être envoyé de la sorte, c'est manifestement qu'il est conservé en clair sur le serveur... contrairement aux recommandations élémentaires de la CNIL5.

Faire reposer l'identification de données de localisation d'enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C'est pourtant ce qu'explique faire New School.

De fausses affirmations

Dans un communiqué réagissant à la polémique naissante, l'établissement Rocroy explique, tentant d'être rassurant, que « le bluetooth ne s’active que lorsque l’enseignant fait l’appel. Le reste du temps, les porte-clés s’éteignent automatiquement ».

Cette affirmation rend absurde la durée de vie de 13 mois du porte-clef annoncée par New School dans la documentation. Au regard de l'état de l'art des puces Bluetooth (tel qu'il en ressort des caractéristiques de la puce EMBC01), une puce qui serait activée une poignée de minutes seulement par jour (le temps de faire l'appel) aurait une durée de vie de plusieurs années et n'aurait pas besoin d'être renouvelée tous les 13 mois.

Ce renouvellement de la puce aurait pu être justifié par le passage d'une année à l'autre par chaque enfant, mais le délai de renouvellement aurait alors été de 12 mois et non de 13. Le renouvellement de la puce n'est donc justifiable que par une seule raison : la puce est activée de façon constante, 24h/24, même en dehors des 8 heures de classe quotidiennes (sans quoi la durée de vie annoncée serait triple, de l'ordre de 39 mois).

Par ailleurs, l'idée que la puce n'émette qu'au moment de l'appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n'importe quand, il n'y a pas d'appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au du CDI.

L'affirmation de l'établissement Rocroy semble donc fausse. Les conséquences seraient lourdes. Certes, l'identifiant unique émis par le porte-clef n'indique pas directement le nom d'un élève. Mais qu'importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l'identifiant étant unique), au simple moyen d'un smartphone (EM Microelectronics fournit même une application à cette fin), n'importe où, même en dehors de l'école, pour peu qu'on se trouve dans un rayon de 75 mètres de l'enfant.

Si l'établissement ne fournit pas d'informations nouvelles permettant de contredire cette hypothèse, nous viendrons la vérifier en pratique à la rentrée devant son lycée, qui n'est pas très loin de nos locaux.

Par ailleurs, dans son communiqué de presse, l'établissement prétend que le porte-clef « n’utilise pas la géolocalisation, et ne permet donc pas de connaitre la position ou les déplacements des élèves ».

Ce n'est pas ce que révèle la fiche de l'application New School qui sera utilisée sur smartphone par le personnel de l'établissement afin de détecter les porte-clefs à proximité. Au moment de son installation, l'application demande de pouvoir transmettre à New School la géolocalisation précise du smartphone, notamment par GPS. Or, la géolocalisation du smartphone permettra aussi de géolocaliser les portes-clefs détectés qui, par définition, seront situés dans une proximité directe. L'affirmation de l'établissement est donc fausse : le porte-clef permettra d'indiquer à New School la position des enfants dès lors qu'ils se trouveront à proximité d'un smartphone utilisant l'application New School.

Enfin, dans son communiqué, l'établissement a cru bon de prétendre que « les données personnelles (nom de l’élève, emploi du temps) sont protégées et cryptées, en accord avec la CNIL ». Or, comme on l'a vu, le système Charlemagne/EcoleDirecte sur lequel repose New School ne satisfait aucune des recommandations de la CNIL élémentaires en matière de sécurité. Ainsi, contactée par Le Point sur cette affaire, la CNIL a déclaré mardi dernier « ne pas avoir eu d'échange avec le lycée Rocroy sur le dispositif ».

Un système illégal

Le port obligatoire du porte-clef New School par chaque enfant semble illicite du simple fait que l'information fournie par l'établissement sur l'interruption automatique du porte-clef serait fausse, alors que le règlement général sur la protection des données (RGPD) exige une information loyale.

De plus, quand bien même cette information serait juste (si le porte-clef n'émettait pas constamment), le système serait illicite pour d'autres raisons.

D'abord, le RGPD exige que tout traitement de données personnelles soit fondé sur une base légale : le consentement, la nécessité de fournir un service public ou la nécessité de poursuivre un « intérêt légitime ».

Ici, les enfants ne peuvent donner aucun consentement valide au traçage : ils n'ont pas le choix de l'accepter pour aller en cours et ne peuvent l'accepter qu'en même temps qu'ils acceptent l'ensemble du règlement intérieur. Leur consentement, qui ne serait ni libre ni spécifique, ne serait jamais reconnu comme valide par la CNIL (au sujet du caractère libre du consentement, voir l'analyse détaillée développée dans nos plaintes collectives contre les GAFAM).

S'agissant de la nécessité de fournir un service public ou de poursuivre un intérêt légitime (tel que faire l'appel des élèves), il faut d'abord démontrer que le système est « nécessaire ». En droit, ceci implique notamment qu'il n'existe aucun autre système alternatif qui, atteignant les mêmes objectifs, cause des risques moins élevés en matière d'atteinte aux libertés fondamentales. Ici, l'appel des enfants à l'oral remplit les mêmes objectifs sans poser de risque pour la vie privée. Le fait que le traçage par localisation automatique des enfants simplifie l'appel des élèves ne saurait le rendre « nécessaire », surtout au regard des risques importants qu'il cause quant à la traçabilité constante de la position de chaque enfant.

Toutefois, ce débat sur la « nécessité » a déjà été tranché par le groupe de l'article 29 (G29, l'institution qui réunissait les CNIL des 28 États membres de l'Union européenne et qui est devenu le Comité européen de la protection des données depuis le 25 mai 2018).

Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment.

Dans notre cas, à l'inverse, l'établissement Rocroy sanctionne les enfants qui s'opposerait au pistage en refusant de porter le porte-clef. L'obligation de le porter est donc illicite de ce seul fait.

Par ailleurs, peu importe la base légale du traitement de données personnelles, le RGPD exige que celui-ci soit accompagné d'un certain nombre d'informations. Le responsable de traitement doit indiquer :

  1. son identité et ses coordonnées ;
  2. les finalités poursuivies ;
  3. l’étendue des droits de la personne concernée ;
  4. si les données sont transmises à des tiers, l'identité de ces destinataires ou la catégorie de ces destinataires ;
  5. la condition de licéité remplie par le traitement – en précisant, selon le cas, l'intérêt légitime défendu ou la possibilité de retirer le consentement donné ;
  6. la durée de conservation des données ;
  7. l'existence d'un transfert de données en dehors de l’Union, en précisant les garanties encadrant ce transfert ;
  8. l’existence d'une prise de décision automatisé.

Dans notre cas, l'établissement n'a fourni aucune de ces informations, si ce n'est, éventuellement, certaines des finalités envisagées (s'agissant des élèves, « s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité »), sans qu'on ne sache toutefois si ces finalités sont exhaustives.

Les autres informations sont simplement absentes, rendant le système illicite de ce seul fait.

Enfin, comme vu plus haut, les obligations de sécurité imposées par le RGPD ne sont pas respectées puisque le système New School repose sur le système complètement obsolète de Charlemagne/EcoleDirecte.

Et maintenant ?

Nous invitons les élèves et parents d'élèves de l'établissement Rocroy à se saisir des éléments développés ici pour saisir la justice en référé afin de faire changer le règlement intérieur avant la rentrée.

De façon plus générale, nous appelons la CNIL à enquêter sur la start-up New School avant que celle-ci ne démarche d'autres établissements. La situation est des plus inquiétante puisque, dès 2016, d'après Le Figaro Madame, « le cabinet de Valérie Pécresse lui fait savoir qu'ils aimeraient utiliser l'application pour toute la région Île-de-France ».

Politiquement, le cas de New School révèle un mouvement plus profond et plus grave : les puces choisies par New School ont initialement été pensées et sont normalement utilisées pour localiser des objets fixes (des murs) ou mobiles (des marchandises) afin qu'un humain muni d'un smartphone puisse se repérer parmi ces objets. Cette situation s'inverse ici : la puce n'est plus attachée à des objets mais à des enfants ; le smartphone ne sert plus à se repérer dans l'espace mais, immobile au poste du surveillant, à définir l'espace dans lequel les humains peuvent évoluer. L'humain ne se déplace plus parmi les choses : il est une chose comprise par d'autres.

  • 1. En janvier dernier, La Tribune explique, au sujet de la créatrice de New School, après que celle-ci a remporté un prix pour jeune startupeux :
    Quelques mois plus tard, Apple entre en contact avec elle et lui demande de pitcher deux jours plus tard dans ses bureaux londoniens. « J'étais déjà sur place, à croire qu'ils m'avaient tracée... » Dans le développement de NewSchool, la marque à la pomme a joué un rôle important, notamment dans la conception de l'application mais aussi dans la commercialisation : « Le marché de l'éducation en France est assez impénétrable, nous avons échangé beaucoup d'informations ».
    [...]
    Le coaching by Apple est toujours d'actualité. La jeune entrepreneure participe à de nombreux événements et voit régulièrement des développeurs, français et anglais, pour avancer sur l'application. Elle a même eu le privilège de rencontrer Tim Cook, en février dernier. Au tout début, il était question de faire de NewSchool une application préintégrée sur les appareils vendus aux établissements scolaires, mais « à l'époque nous n'étions pas assez développés, ni commercialement ni au niveau des fonctionnalités. Il nous faut encore grandir pour espérer un jour avoir une application commune », explique-t-elle. Et le travail en famille est toujours valable. « Ma mère est directrice commerciale, elle travaille beaucoup. Nous avons fait le salon de l'éducation la semaine dernière, c'est elle qui a tout géré », s'enthousiasme la jeune femme.
  • 2. Qwant semble avoir dé-publié son article en soutien à New School, mais nous en avions fait une copie. En réaction au présent article, Qwant a précisé que « Nous avons été invité à remettre un prix étudiant à la fondatrice pour son projet entrepreneurial (elle était la plus jeune entrepreneuse de France) mais notre lien avec l'entreprise n'a pas été au-delà de ce concours. »
  • 3. Notre traduction de « Ubudu is a next-generation RTLS solution, which tracks, analyses and detects assets and people in industrial or service sites: airports, factories, hospitals, retail, sport & leisure venues, etc. Ubudu simply works with small tags or smartphones exchanging radio-signals with fixed sensors, and a location server that computes and processes the position. »
  • 4. Notre traduction de « Use BLE Tags if you have many assets to track and do not need accuracy below 1-2m. (...) Examples of realizations include McDonald’s table service solution and New School student tokens (include pictures). You can also go with standard iBeacon devices, for which we recommend those of high quality, such as EM Microelectronics ».
  • 5. De bon sens, la CNIL exige que « le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique » et que « le mot de passe ne doit jamais être stocké en clair ».
]]>
Conservation généralisée de données : débat transmis au niveau européen !10604 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180726_144245_Conservation_generalisee_de_donnees___debat_transmis_au_niveau_europeen__Thu, 26 Jul 2018 12:42:45 +000026 juillet 2018 - Après trois ans de procédure, le Conseil d'État vient (enfin !) d'accepter de saisir la Cour de Justice de l'Union européenne, tel que nous le demandions. Le régime français de conservation généralisée des données de connexion imposé aux opérateurs téléphoniques et Internet ainsi qu'aux hébergeurs est-il conforme au droit de l'Union européenne ?

La décision d'aujourd'hui est une avancée importante dans le combat juridictionnel porté par La Quadrature du Net, la Fédération FDN et FDN contre la surveillance de masse.

Il faut toutefois dénoncer le délai démesuré pris par le Conseil d'État pour franchir cette étape. Le Conseil d'État est resté muet durant plusieurs années, retenant sa justice malgré plusieurs relances de notre part. Il ne s'est prononcé qu'au moment où le Gouvernement français, embourbé dans des débats politiques autour du règlement ePrivacy, a trouvé opportun de s'aligner sur nos propres demandes - saisir la Cour de justice de l'Union.

Revoir notre récit des procédures ayant conduit à la décision d'aujourd'hui.

Cet alignement du calendrier de la Justice sur le calendrier stratégique du gouvernement remettrait en cause l'idéal d'indépendance qui doit animer la Justice.

Heureusement, le débat se poursuit aujourd'hui devant une juridiction européenne qui, à plusieurs reprises ces dernières années, a su garder ses distances avec les volontés autoritaires des gouvernements occidentaux.

La CJUE s'est opposée à la directive de 2006 qui prévoyait une conservation généralisée des données de connexion, dans son arrêt Digital Rights Ireland. Elle a aussi invalidé le Safe Harbor au regard du régime de surveillance des États Unis, dans son arrêt Schrems. Dernièrement, elle s'est opposée aux régimes de conservation généralisée suédois et britannique, dans son arrêt Tele2.

Le gouvernement français espère pouvoir faire changer d'avis la Cour de justice de l'Union européenne. Ne prenons pas l'ambition du gouvernement à la légère : le combat qui s'ouvre déterminera le cadre de la surveillance européenne. Le gouvernement ne chômera pas pour défendre l'idéal d'un monde dans lequel chacun serait suspect. Nous ne chômerons pas nous plus pour défendre notre autre monde.

Les questions

La première question transmise par le Conseil d'État est la suivante : « L'obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l'article 15, paragraphe 1, de la directive du 12 juillet 2002, ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls Etats-membres en vertu de l'article 4 du traité sur l'Union européenne ? »

Par là, le Conseil demande si, alors que le Cour de justice a déjà reconnu la conservation généralisée injustifiée pour lutter contre les infractions (dans sa décision Tele2), cette conservation peut être justifiée pour protéger la sécurité nationale.

Pour rappel : en droit européen, la lutte contre le terrorisme n'est pas de l'ordre de la protection de la sécurité nationale - qui, selon la CNCIS, ne fondait en 2015 que 12% des interceptions réalisées par les services de renseignement. Le Conseil d'État demande donc si, pour 12% des besoins des services de renseignement (en matière militaire et de contre-espionnage, on imagine), il peut être porté atteinte à la vie privée de toute la population, considérée comme suspecte par défaut.

Une telle question nous semble disproportionnée par elle-même, mais elle ouvre un débat plus large dont il faudra se saisir devant la Cour de justice.

Par ailleurs, le Conseil d'État a transmis une ou plusieurs autres questions, dont nous n'avons pas encore connaissance : nous mettrons cet article à jour au fur et à mesure.

]]>
26 juillet 2018 - Après trois ans de procédure, le Conseil d'État vient (enfin !) d'accepter de saisir la Cour de Justice de l'Union européenne, tel que nous le demandions. Le régime français de conservation généralisée des données de connexion imposé aux opérateurs téléphoniques et Internet ainsi qu'aux hébergeurs est-il conforme au droit de l'Union européenne ?

La décision d'aujourd'hui est une avancée importante dans le combat juridictionnel porté par La Quadrature du Net, la Fédération FDN et FDN contre la surveillance de masse.

Il faut toutefois dénoncer le délai démesuré pris par le Conseil d'État pour franchir cette étape. Le Conseil d'État est resté muet durant plusieurs années, retenant sa justice malgré plusieurs relances de notre part. Il ne s'est prononcé qu'au moment où le Gouvernement français, embourbé dans des débats politiques autour du règlement ePrivacy, a trouvé opportun de s'aligner sur nos propres demandes - saisir la Cour de justice de l'Union.

Revoir notre récit des procédures ayant conduit à la décision d'aujourd'hui.

Cet alignement du calendrier de la Justice sur le calendrier stratégique du gouvernement remettrait en cause l'idéal d'indépendance qui doit animer la Justice.

Heureusement, le débat se poursuit aujourd'hui devant une juridiction européenne qui, à plusieurs reprises ces dernières années, a su garder ses distances avec les volontés autoritaires des gouvernements occidentaux.

La CJUE s'est opposée à la directive de 2006 qui prévoyait une conservation généralisée des données de connexion, dans son arrêt Digital Rights Ireland. Elle a aussi invalidé le Safe Harbor au regard du régime de surveillance des États Unis, dans son arrêt Schrems. Dernièrement, elle s'est opposée aux régimes de conservation généralisée suédois et britannique, dans son arrêt Tele2.

Le gouvernement français espère pouvoir faire changer d'avis la Cour de justice de l'Union européenne. Ne prenons pas l'ambition du gouvernement à la légère : le combat qui s'ouvre déterminera le cadre de la surveillance européenne. Le gouvernement ne chômera pas pour défendre l'idéal d'un monde dans lequel chacun serait suspect. Nous ne chômerons pas nous plus pour défendre notre autre monde.

Les questions

La première question transmise par le Conseil d'État est la suivante : « L'obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l'article 15, paragraphe 1, de la directive du 12 juillet 2002, ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls Etats-membres en vertu de l'article 4 du traité sur l'Union européenne ? »

Par là, le Conseil demande si, alors que le Cour de justice a déjà reconnu la conservation généralisée injustifiée pour lutter contre les infractions (dans sa décision Tele2), cette conservation peut être justifiée pour protéger la sécurité nationale.

Pour rappel : en droit européen, la lutte contre le terrorisme n'est pas de l'ordre de la protection de la sécurité nationale - qui, selon la CNCIS, ne fondait en 2015 que 12% des interceptions réalisées par les services de renseignement. Le Conseil d'État demande donc si, pour 12% des besoins des services de renseignement (en matière militaire et de contre-espionnage, on imagine), il peut être porté atteinte à la vie privée de toute la population, considérée comme suspecte par défaut.

Une telle question nous semble disproportionnée par elle-même, mais elle ouvre un débat plus large dont il faudra se saisir devant la Cour de justice.

Par ailleurs, le Conseil d'État a transmis une ou plusieurs autres questions, dont nous n'avons pas encore connaissance : nous mettrons cet article à jour au fur et à mesure.

]]>
La Fédération FDN soutient l'amendement Chaize qui encourage les offres activées sur les réseaux fibre optique10599 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180723_104944_La_Federation_FDN_soutient_l_amendement_Chaize_qui_encourage_les_offres_activees_sur_les_reseaux_fibre_optiqueMon, 23 Jul 2018 08:49:44 +000023 juillet 2018 - Nous republions ici le communiqué publié ce matin par la Fédération FDN, qui promeut l'accès aux offres activées sur les réseaux fibre optique.

L'accès « activé » à un réseau fibré consiste, pour un opérateur télécoms, à louer des fibres optiques déjà « activées » par un autre opérateur, qui gère et entretient les équipements de distribution du réseau.

Pour un petit opérateur, ce type d'accès activé est le seul moyen de fournir à ses abonnés un accès fibré à Internet dans les zones géographiques où il ne peut pas déployer d'équipements. En effet, un opérateur de petite taille a généralement des abonnés dispersés sur tout le territoire : il n'est pas économiquement viable de déployer ses propres équipements dans chaque zone géographique pour seulement quelques abonnés localement.

Ce communiqué intervient dans le cadre du projet de loi portant « évolution du logement, de l'aménagement et du numérique » (loi ELAN), actuellement en débat au Sénat, jusqu'à demain :

La Fédération FDN soutient l'amendement Chaize qui encourage les offres activées sur les réseaux fibre optique

La Fédération FDN soutient l'amendement à la loi Elan porté par M. Patrick Chaize, président de l'AVICCA et vice-président de la commission Aménagement du Territoire et Developpement Durable du Sénat. Cet amendement ouvre, sur tout le territoire national, le droit d'accéder à une offre activée raisonnable et non discriminatoire, et constitue à ce titre une belle opportunité de progression vers un marché des télécoms plus ouvert et plus innovant.

En effet, ces offres activées garantissent une concurrence saine sur le marché des télécoms en permettant à de petits acteurs, tels que les FAI de la Fédération FDN, d'y exister de manière durable en accédant à la boucle locale fibre optique.

Les petits opérateurs sont nécessaires à l'équilibre du marché des télécoms : ils peuvent faire émerger des offres de services différenciées, répondant aux besoins spécifiques des utilisateurs finals1. Ils entretiennent ainsi la vitalité du marché, qui menace toujours de se refermer sur quelques gros acteurs.

Les membres de la Fédération FDN, capables de s'adapter aux particularités de chaque territoire et aux demandes de leurs adhérents, sont également des acteurs indispensables d'un accès au numérique inclusif, où les zones les moins rentables et les besoins les plus spécifiques ne sont pas oubliés. « L'émergence d'une offre activée pertinente sur tout le territoire est la garantie de la pérénnité de notre travail », ajoute Oriane Piquer-Louis, présidente de la Fédération FDN.

Il ne s'agit pas de remettre en cause l'équilibre du marché, ni de pénaliser les acteurs qui ont pris le risque financier d'investir. L'intérêt des offres activées est de garantir les conditions d'un marché capable de répondre aux demandes de chacun, et ouvert vers l'innovation.

Nous appelons donc au maintien de l'article 64ter porté par M. Patrick Chaize dans la loi Elan, et au rejet de l'amendement de suppression porté par le gouvernement.

À propos de la Fédération FDN

La fédération FDN regroupe des Fournisseurs d'Accès à Internet associatifs se reconnaissant dans des valeurs communes : bénévolat, solidarité, fonctionnement démocratique et à but non lucratif; défense et promotion de la neutralité du Net.

A ce titre, la fédération FDN se donne comme mission de porter la voix de ses membres dans les débats concernant la liberté d'expression et la neutralité du Net.

Elle fournit à ses membres les outils pour se développer et répondre aux problèmes rencontrés dans le cadre de l'activité de fournisseur d'accès à Internet.

Edit du 26 juillet : Le Sénat a rejeté hier l'amendement de suppression porté par le gouvernement contre l'article 64ter. Cet "amendement Chaize" est donc maintenu dans la loi Elan.

  • 1. L'emploi du pluriel régulier « finals » au lieu du pluriel habituel « finaux » est l'usage courant en matière de télécoms.
]]>
23 juillet 2018 - Nous republions ici le communiqué publié ce matin par la Fédération FDN, qui promeut l'accès aux offres activées sur les réseaux fibre optique.

L'accès « activé » à un réseau fibré consiste, pour un opérateur télécoms, à louer des fibres optiques déjà « activées » par un autre opérateur, qui gère et entretient les équipements de distribution du réseau.

Pour un petit opérateur, ce type d'accès activé est le seul moyen de fournir à ses abonnés un accès fibré à Internet dans les zones géographiques où il ne peut pas déployer d'équipements. En effet, un opérateur de petite taille a généralement des abonnés dispersés sur tout le territoire : il n'est pas économiquement viable de déployer ses propres équipements dans chaque zone géographique pour seulement quelques abonnés localement.

Ce communiqué intervient dans le cadre du projet de loi portant « évolution du logement, de l'aménagement et du numérique » (loi ELAN), actuellement en débat au Sénat, jusqu'à demain :

La Fédération FDN soutient l'amendement Chaize qui encourage les offres activées sur les réseaux fibre optique

La Fédération FDN soutient l'amendement à la loi Elan porté par M. Patrick Chaize, président de l'AVICCA et vice-président de la commission Aménagement du Territoire et Developpement Durable du Sénat. Cet amendement ouvre, sur tout le territoire national, le droit d'accéder à une offre activée raisonnable et non discriminatoire, et constitue à ce titre une belle opportunité de progression vers un marché des télécoms plus ouvert et plus innovant.

En effet, ces offres activées garantissent une concurrence saine sur le marché des télécoms en permettant à de petits acteurs, tels que les FAI de la Fédération FDN, d'y exister de manière durable en accédant à la boucle locale fibre optique.

Les petits opérateurs sont nécessaires à l'équilibre du marché des télécoms : ils peuvent faire émerger des offres de services différenciées, répondant aux besoins spécifiques des utilisateurs finals1. Ils entretiennent ainsi la vitalité du marché, qui menace toujours de se refermer sur quelques gros acteurs.

Les membres de la Fédération FDN, capables de s'adapter aux particularités de chaque territoire et aux demandes de leurs adhérents, sont également des acteurs indispensables d'un accès au numérique inclusif, où les zones les moins rentables et les besoins les plus spécifiques ne sont pas oubliés. « L'émergence d'une offre activée pertinente sur tout le territoire est la garantie de la pérénnité de notre travail », ajoute Oriane Piquer-Louis, présidente de la Fédération FDN.

Il ne s'agit pas de remettre en cause l'équilibre du marché, ni de pénaliser les acteurs qui ont pris le risque financier d'investir. L'intérêt des offres activées est de garantir les conditions d'un marché capable de répondre aux demandes de chacun, et ouvert vers l'innovation.

Nous appelons donc au maintien de l'article 64ter porté par M. Patrick Chaize dans la loi Elan, et au rejet de l'amendement de suppression porté par le gouvernement.

À propos de la Fédération FDN

La fédération FDN regroupe des Fournisseurs d'Accès à Internet associatifs se reconnaissant dans des valeurs communes : bénévolat, solidarité, fonctionnement démocratique et à but non lucratif; défense et promotion de la neutralité du Net.

A ce titre, la fédération FDN se donne comme mission de porter la voix de ses membres dans les débats concernant la liberté d'expression et la neutralité du Net.

Elle fournit à ses membres les outils pour se développer et répondre aux problèmes rencontrés dans le cadre de l'activité de fournisseur d'accès à Internet.

Edit du 26 juillet : Le Sénat a rejeté hier l'amendement de suppression porté par le gouvernement contre l'article 64ter. Cet "amendement Chaize" est donc maintenu dans la loi Elan.

  • 1. L'emploi du pluriel régulier « finals » au lieu du pluriel habituel « finaux » est l'usage courant en matière de télécoms.
]]>
Teemo, Fidzup : la CNIL interdit la géolocalisation sauvage - l'UE pense à la légaliser10598 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180720_170056_Teemo__Fidzup___la_CNIL_interdit_la_geolocalisation_sauvage_-_l_UE_pense_a_la_legaliserFri, 20 Jul 2018 15:00:56 +000020 juillet 2018 - Hier, la CNIL a déclaré illicites les activités de deux start-ups françaises, Teemo et Fidzup, qui géolocalisent des millions de personnes à des fins publicitaires et sans leur consentement. Elles ont trois mois pour cesser ces activités. Hélas, sur le long terme, leur modèle pourrait devenir licite : c'est en tout cas ce sur quoi l'Union européenne débat via un futur règlement ePrivacy.

Teemo

Teemo est l'emblème des start-ups qui n'existent pas pour durer, mais pour amasser un maximum de profits par une activité qui, depuis le début, est illicite. En mode « take the money and run ». Employant 35 salariés pour un chiffre d'affaires de 2,6 millions (en 2016), Teemo ne pourra pas survivre à la décision rendue hier par la CNIL.

Teemo analyse les données de géolocalisation de 14 millions de téléphones, obtenues via les applications mobiles de ses partenaires commerciaux, afin de faire de la publicité ciblée localement. Évidemment, les personnes surveillées ne sont pas informées de ce pistage et n'ont pas leur mot à dire. La CNIL exige aujourd'hui le consentement de ces personnes - ce que la loi « informatique et libertés » impose sans ambiguïté.

Teemo peut donc fermer boutique, puisque son chiffre d'affaires repose désormais sur l'espoir absurde que des utilisateurs renoncent à leur vie privée, sans contrepartie, mais simplement pour enrichir la start-up.

Bien. Mais que dire de ses nombreux partenaires qui ont financé et bénéficié de ce système de surveillance généralisée ? Sur le site de Teemo, on peut lire les témoignages de LeaderPrice, ToysRus, InterSport ou Volkswagen se réjouissant qu'une telle violation massive de nos libertés ait pu faciliter leurs activités publicitaires. Plus loin, parmi les entreprises qui ont « fait confiance » à Teemo (sans avoir consulté aucun juriste, on imagine), on retrouve encore Carrefour, Macdo, Decathlon ou la Fnac.

Par ailleurs, il y a un an, Numérama publiait une enquête sur Teemo qui, probablement, a conduit la CNIL à se saisir de l'affaire. L'enquête expliquait que Teemo s'était notamment infiltrée sur les applications mobiles du Figaro, du Parisien, de l'Équipe ou de Closer, avec l'accord de ceux-ci.

Depuis, Exodus Privacy a décrit précisément le fonctionnement de Teemo et les applications l'intégrant.

Aujourd'hui, l'ensemble de ces entreprises nous doivent de sérieuses explications : comment ont-elles pu se permettre de financer et d'autoriser une violation aussi manifeste de la loi au détriment des libertés fondamentales de leurs clients ? Leur responsabilité juridique et politique est en jeu.

Fidzup

Le cas de Fidzup est plus complexe.

La start-up, plus petite (24 salariés, 500 000€ de chiffre d'affaires), opère en deux étapes. Dans une première étape, elle installe des bouts de code sur les applications mobiles de ses partenaires commerciaux. La CNIL décompte neuf applications différentes, qui lui auraient permis d'infiltrer 6 millions de téléphones. Ces bouts de code permettent à Fidzup de collecter certaines données techniques sur les téléphones espionnés. Dans une seconde étape, Fidzup fournit à une centaine de magasins des boîtiers qui identifient les téléphones qui passent à proximité, à partir des données techniques collectées dans la première étape. Les magasins peuvent donc tracer leurs clients, tant en ligne que hors-ligne.

Cette seconde étape est particulièrement pernicieuse. Techniquement, nos téléphones émettent régulièrement des données techniques afin de se connecter aux bornes WiFi environnantes. Les boîtiers fournis par Fidzup interceptent ces données techniques pour identifier les téléphones, alors même qu'ils ne sont pas du tout des bornes WiFi.

Exodus Privacy décrit en détail le fonctionnement et les applications mobiles collaborant avec Fidzup.

Heureusement, en droit, cette technique d'interception est explicitement interdite. La directive 2002/58 de l'Union européenne, dite « ePrivacy », prévoit depuis 2002 à son article 5 qu'il est interdit « à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés ». Les données captées par Fidzup sont ici des « données relatives au trafic », car destinées à réaliser une connexion avec une borne WiFi.

Reprenant assez facilement cette logique, la CNIL a exigé que Fidzup demande le consentement préalable des personnes avant de collecter ces données - ce qui n'était pas le cas.

On pourrait ici donner la même conclusion que pour Teemo : aucun utilisateur n'acceptera de céder sa vie privée, sans contrepartie, pour enrichir Fidzup. L'avenir de la start-up semblerait donc aussi compromis.

Hélas, la situation est plus inquiétante.

ePrivacy

La directive ePrivacy, qui interdit aujourd'hui l'activité de Fidzup, est en cours de révision par l'Union européenne.

Il y a un an, le Parlement européen arrêtait sa position sur le texte (relire notre bilan sur ce débat). À l'article 8, §2, du nouveau texte, le Parlement a autorisé la collecte sans consentement des « informations émises par les terminaux des utilisateurs » - abandonnant ainsi une protection fondamentale qui nous est aujourd'hui offerte.

Le Parlement autorise cette surveillance en imposant une poignée de conditions aussi vagues que creuses : l'analyse doit être limitée à des fins de « comptage statistique » (c'est déjà le service que fournit Fidzup), les données doivent être anonymisées dès que la finalité est remplie (dès que Fidzup a fini de nous compter), les utilisateurs disposent d'un droit d'opposition (qui leur est indiqué par une affiche plus ou moins visible dans le magasin surveillé - ce que fait déjà Fidzup).

Aujourd'hui, la réforme de la directive ePrivacy est débattue entre les États membres de l'Union. Peu d'États membres semblent vouloir contrer les dérives du Parlement en matière de géolocalisation.

D'une main, l'Union européenne prétend nous offrir une protection importante avec le règlement général sur la protection des données (RGPD). D'une autre main, elle réduit la protection de nos libertés afin de sauver quelques start-ups illicites et néfastes (inutiles).

Si les débats sur le règlement ePrivacy se confirmaient comme allant dans ce sens, il faudra s'opposer à toute idée de réformer le droit actuel - qui, couplé au RGPD, nous protège encore aujourd'hui des volontés de surveillance de sociétés telles que Teemo ou Fidzup et de leurs partenaires.

]]>
20 juillet 2018 - Hier, la CNIL a déclaré illicites les activités de deux start-ups françaises, Teemo et Fidzup, qui géolocalisent des millions de personnes à des fins publicitaires et sans leur consentement. Elles ont trois mois pour cesser ces activités. Hélas, sur le long terme, leur modèle pourrait devenir licite : c'est en tout cas ce sur quoi l'Union européenne débat via un futur règlement ePrivacy.

Teemo

Teemo est l'emblème des start-ups qui n'existent pas pour durer, mais pour amasser un maximum de profits par une activité qui, depuis le début, est illicite. En mode « take the money and run ». Employant 35 salariés pour un chiffre d'affaires de 2,6 millions (en 2016), Teemo ne pourra pas survivre à la décision rendue hier par la CNIL.

Teemo analyse les données de géolocalisation de 14 millions de téléphones, obtenues via les applications mobiles de ses partenaires commerciaux, afin de faire de la publicité ciblée localement. Évidemment, les personnes surveillées ne sont pas informées de ce pistage et n'ont pas leur mot à dire. La CNIL exige aujourd'hui le consentement de ces personnes - ce que la loi « informatique et libertés » impose sans ambiguïté.

Teemo peut donc fermer boutique, puisque son chiffre d'affaires repose désormais sur l'espoir absurde que des utilisateurs renoncent à leur vie privée, sans contrepartie, mais simplement pour enrichir la start-up.

Bien. Mais que dire de ses nombreux partenaires qui ont financé et bénéficié de ce système de surveillance généralisée ? Sur le site de Teemo, on peut lire les témoignages de LeaderPrice, ToysRus, InterSport ou Volkswagen se réjouissant qu'une telle violation massive de nos libertés ait pu faciliter leurs activités publicitaires. Plus loin, parmi les entreprises qui ont « fait confiance » à Teemo (sans avoir consulté aucun juriste, on imagine), on retrouve encore Carrefour, Macdo, Decathlon ou la Fnac.

Par ailleurs, il y a un an, Numérama publiait une enquête sur Teemo qui, probablement, a conduit la CNIL à se saisir de l'affaire. L'enquête expliquait que Teemo s'était notamment infiltrée sur les applications mobiles du Figaro, du Parisien, de l'Équipe ou de Closer, avec l'accord de ceux-ci.

Depuis, Exodus Privacy a décrit précisément le fonctionnement de Teemo et les applications l'intégrant.

Aujourd'hui, l'ensemble de ces entreprises nous doivent de sérieuses explications : comment ont-elles pu se permettre de financer et d'autoriser une violation aussi manifeste de la loi au détriment des libertés fondamentales de leurs clients ? Leur responsabilité juridique et politique est en jeu.

Fidzup

Le cas de Fidzup est plus complexe.

La start-up, plus petite (24 salariés, 500 000€ de chiffre d'affaires), opère en deux étapes. Dans une première étape, elle installe des bouts de code sur les applications mobiles de ses partenaires commerciaux. La CNIL décompte neuf applications différentes, qui lui auraient permis d'infiltrer 6 millions de téléphones. Ces bouts de code permettent à Fidzup de collecter certaines données techniques sur les téléphones espionnés. Dans une seconde étape, Fidzup fournit à une centaine de magasins des boîtiers qui identifient les téléphones qui passent à proximité, à partir des données techniques collectées dans la première étape. Les magasins peuvent donc tracer leurs clients, tant en ligne que hors-ligne.

Cette seconde étape est particulièrement pernicieuse. Techniquement, nos téléphones émettent régulièrement des données techniques afin de se connecter aux bornes WiFi environnantes. Les boîtiers fournis par Fidzup interceptent ces données techniques pour identifier les téléphones, alors même qu'ils ne sont pas du tout des bornes WiFi.

Exodus Privacy décrit en détail le fonctionnement et les applications mobiles collaborant avec Fidzup.

Heureusement, en droit, cette technique d'interception est explicitement interdite. La directive 2002/58 de l'Union européenne, dite « ePrivacy », prévoit depuis 2002 à son article 5 qu'il est interdit « à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés ». Les données captées par Fidzup sont ici des « données relatives au trafic », car destinées à réaliser une connexion avec une borne WiFi.

Reprenant assez facilement cette logique, la CNIL a exigé que Fidzup demande le consentement préalable des personnes avant de collecter ces données - ce qui n'était pas le cas.

On pourrait ici donner la même conclusion que pour Teemo : aucun utilisateur n'acceptera de céder sa vie privée, sans contrepartie, pour enrichir Fidzup. L'avenir de la start-up semblerait donc aussi compromis.

Hélas, la situation est plus inquiétante.

ePrivacy

La directive ePrivacy, qui interdit aujourd'hui l'activité de Fidzup, est en cours de révision par l'Union européenne.

Il y a un an, le Parlement européen arrêtait sa position sur le texte (relire notre bilan sur ce débat). À l'article 8, §2, du nouveau texte, le Parlement a autorisé la collecte sans consentement des « informations émises par les terminaux des utilisateurs » - abandonnant ainsi une protection fondamentale qui nous est aujourd'hui offerte.

Le Parlement autorise cette surveillance en imposant une poignée de conditions aussi vagues que creuses : l'analyse doit être limitée à des fins de « comptage statistique » (c'est déjà le service que fournit Fidzup), les données doivent être anonymisées dès que la finalité est remplie (dès que Fidzup a fini de nous compter), les utilisateurs disposent d'un droit d'opposition (qui leur est indiqué par une affiche plus ou moins visible dans le magasin surveillé - ce que fait déjà Fidzup).

Aujourd'hui, la réforme de la directive ePrivacy est débattue entre les États membres de l'Union. Peu d'États membres semblent vouloir contrer les dérives du Parlement en matière de géolocalisation.

D'une main, l'Union européenne prétend nous offrir une protection importante avec le règlement général sur la protection des données (RGPD). D'une autre main, elle réduit la protection de nos libertés afin de sauver quelques start-ups illicites et néfastes (inutiles).

Si les débats sur le règlement ePrivacy se confirmaient comme allant dans ce sens, il faudra s'opposer à toute idée de réformer le droit actuel - qui, couplé au RGPD, nous protège encore aujourd'hui des volontés de surveillance de sociétés telles que Teemo ou Fidzup et de leurs partenaires.

]]>
Tor est pour tout le monde10596 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180718_130825_Tor_est_pour_tout_le_mondeWed, 18 Jul 2018 11:08:25 +0000Tribune de Lunar, membre de La Quadrature du Net

Il y a quelques mois, Nos oignons, une association qui participe au réseau Tor, a une nouvelle fois été contactée par un·e journaliste qui souhaitait « expliquer aux lecteurs comment on va dans le web profond (via Tor) et quel intérêt il y aurait à y aller, en oubliant tous les sites “dark” de type ventes d’armes ». Mais après quelques échanges, le sujet semble finalement difficile à vendre à la direction : « À ce stade nous manquons franchement d’arguments, au point que je me demande si l’article va finalement sortir. » À notre connaissance l’article n’est finalement jamais sorti.

Ce manque d’« arguments » nous semble provenir d’une erreur fondamentale de compréhension : l’usage de Tor (ou des sites .onion) n’est pas différent de l’usage du web et d’Internet en général. Si Internet est pour tout le monde, Tor l’est tout autant.

Sur Internet, on lit la presse. Pourtant, l’expérience est différente de celle de lire de la presse sur papier. Une personne qui attrape la dernière édition d’un quotidien sur le comptoir d’un café n’informe pas l’équipe du journal qu’elle vient de gagner en audience. Elle ne les prévient pas non plus être dans un café, ni du nom du café, ni de quelles pages elle a lu, ni de combien de temps elle a pu passer sur chacun des articles…

Or, si cette même personne se rend sur le site web du journal, alors il pourra au moins connaître la connexion utilisée, quelles pages ont été lues et pendant combien de temps. Mais ces informations ne sont pas uniquement accessibles au journal : la régie publicitaire en apprendra autant, tout comme Google qui fournit les polices de caractères, Facebook avec son bouton «  Like », Twitter pour son bouton « Tweet », pour ne citer que les plus courants.

Alors soyons clair : qu’il soit en papier ou en ligne, quand on lit un journal, on ne s’attend pas à ce qu’il nous lise en retour…

Lorsqu’on remplace Firefox ou Chrome par le navigateur Tor, on rend beaucoup plus difficile cette collecte d’information contre notre gré. On retrouve un Internet conforme à nos attentes.

Voir Tor principalement comme un outil pour l’anonymat ou le contournement de la censure, c’est penser son usage comme nécessairement marginal. Alors qu’au contraire, Tor constitue un pas vers un Internet davantage conforme aux intuitions les plus courantes sur son fonctionnement.

Le temps où Internet était réservé aux personnes ayant un bagage en science informatique est terminé. La plupart des internautes ne peuvent pas faire un choix informé sur les données et les traces enregistrées et partagées par les ordinateurs impliqués dans leur communications. Même les personnes qui développent des applications ont parfois bien du mal à mesurer l’étendue des données que fuitent les outils qu’elles conçoivent ! Utiliser le navigateur Tor permet justement de limiter les informations que nous communiquons à des tiers sans en avoir explicitement l’intention.

Maîtriser les informations que nous partageons lors de nos communications ne devrait pas être réservé à une élite. Voilà pourquoi Tor se destine au plus grand nombre.

Nos oignons contribue modestement au fonctionnement du réseau Tor en faisant fonctionner des relais en France. L’association démarre aujourd’hui une nouvelle campagne de financement afin de récolter les 12 000 € nécessaires pour fonctionner une année supplémentaire. La Quadrature du Net, qui veille à ce que l'usage de tels outils reste autorisé en France et en Europe, relaye donc cet appel. Soutenons Nos Oignons, ainsi que le projet Tor qui développe les logiciels.

]]>
Tribune de Lunar, membre de La Quadrature du Net

Il y a quelques mois, Nos oignons, une association qui participe au réseau Tor, a une nouvelle fois été contactée par un·e journaliste qui souhaitait « expliquer aux lecteurs comment on va dans le web profond (via Tor) et quel intérêt il y aurait à y aller, en oubliant tous les sites “dark” de type ventes d’armes ». Mais après quelques échanges, le sujet semble finalement difficile à vendre à la direction : « À ce stade nous manquons franchement d’arguments, au point que je me demande si l’article va finalement sortir. » À notre connaissance l’article n’est finalement jamais sorti.

Ce manque d’« arguments » nous semble provenir d’une erreur fondamentale de compréhension : l’usage de Tor (ou des sites .onion) n’est pas différent de l’usage du web et d’Internet en général. Si Internet est pour tout le monde, Tor l’est tout autant.

Sur Internet, on lit la presse. Pourtant, l’expérience est différente de celle de lire de la presse sur papier. Une personne qui attrape la dernière édition d’un quotidien sur le comptoir d’un café n’informe pas l’équipe du journal qu’elle vient de gagner en audience. Elle ne les prévient pas non plus être dans un café, ni du nom du café, ni de quelles pages elle a lu, ni de combien de temps elle a pu passer sur chacun des articles…

Or, si cette même personne se rend sur le site web du journal, alors il pourra au moins connaître la connexion utilisée, quelles pages ont été lues et pendant combien de temps. Mais ces informations ne sont pas uniquement accessibles au journal : la régie publicitaire en apprendra autant, tout comme Google qui fournit les polices de caractères, Facebook avec son bouton «  Like », Twitter pour son bouton « Tweet », pour ne citer que les plus courants.

Alors soyons clair : qu’il soit en papier ou en ligne, quand on lit un journal, on ne s’attend pas à ce qu’il nous lise en retour…

Lorsqu’on remplace Firefox ou Chrome par le navigateur Tor, on rend beaucoup plus difficile cette collecte d’information contre notre gré. On retrouve un Internet conforme à nos attentes.

Voir Tor principalement comme un outil pour l’anonymat ou le contournement de la censure, c’est penser son usage comme nécessairement marginal. Alors qu’au contraire, Tor constitue un pas vers un Internet davantage conforme aux intuitions les plus courantes sur son fonctionnement.

Le temps où Internet était réservé aux personnes ayant un bagage en science informatique est terminé. La plupart des internautes ne peuvent pas faire un choix informé sur les données et les traces enregistrées et partagées par les ordinateurs impliqués dans leur communications. Même les personnes qui développent des applications ont parfois bien du mal à mesurer l’étendue des données que fuitent les outils qu’elles conçoivent ! Utiliser le navigateur Tor permet justement de limiter les informations que nous communiquons à des tiers sans en avoir explicitement l’intention.

Maîtriser les informations que nous partageons lors de nos communications ne devrait pas être réservé à une élite. Voilà pourquoi Tor se destine au plus grand nombre.

Nos oignons contribue modestement au fonctionnement du réseau Tor en faisant fonctionner des relais en France. L’association démarre aujourd’hui une nouvelle campagne de financement afin de récolter les 12 000 € nécessaires pour fonctionner une année supplémentaire. La Quadrature du Net, qui veille à ce que l'usage de tels outils reste autorisé en France et en Europe, relaye donc cet appel. Soutenons Nos Oignons, ainsi que le projet Tor qui développe les logiciels.

]]>
Demain, la surveillance française devant le Conseil d'État !10591 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180710_165517_Demain__la_surveillance_fran__aise_devant_le_Conseil_d_Etat__Tue, 10 Jul 2018 14:55:17 +000010 juillet 2018 - Demain à 14h se tiendront au Conseil d'État deux audiences décisives sur la loi renseignement et sur le régime de conservation généralisée des données de connexion. Ces deux contentieux ont été engagés il y a bientôt trois ans par La Quadrature du net, FDN et FFDN avec le soutien des Exégètes amateurs. Ces affaires pourraient bien connaître la conclusion espérée.

Venez avec nous assister à l'audience !

Avant de voir l'enjeu précis de l'audience de demain, revenons sur ces trois riches années de procédure, déjà cousues de quelques belles victoires et des centaines de pages écrites par les Exégètes amateurs contre une dizaine de textes différents.

À l'attaque de la loi renseignement

Il y a trois ans, le 24 juillet 2015, la loi renseignement était publiée. Elle venait d'être examinée une première fois par le Conseil constitutionnel, devant qui nous avions produit de nombreux arguments - en partie suivis par le Conseil pour, déjà, censurer certaines parties de la loi.

Voir l'amicus curiae que nous produisions contre la loi devant le Conseil constitutionnel

Deux mois après, une série de décrets étaient adoptés pour appliquer cette loi : ces décrets nous offraient l'opportunité, en les attaquant devant le Conseil d'État, de contester la loi dans son ensemble.

C'est donc deux mois plus tard que, le 30 novembre 2015, La Quadrature du Net, FDN et FFDN déposaient leur « requête introductive », qui conduira à l'audience de demain.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Quatre mois après, le 6 mai 2016, nous soulevions une question prioritaire de constitutionnalité (QPC) : nous invitions le Conseil d'État à demander au Conseil constitutionnel si la loi renseignement violait la Constitution lorsqu'elle prévoyait un régime de surveillance généralisée des communications « empruntant la voie hertzienne » (ce qui veut à peu près tout dire).

Six mois plus tard, le 21 octobre 2016, nous gagnions cette manche : cette partie de la loi était censurée !

Voir la décision du Conseil constitutionnel censurant la surveillance hertzienne

Toutefois, nous avions formulé bien d'autres arguments contre la loi renseignement. Le Conseil d'État, devant qui le reste de l'affaire était revenue, devait encore les examiner.

Pendant un an et huit mois, nous sommes restés sans nouvelles du Conseil d'État et pensions qu'il avait oublié l'affaire...

Il y a douze jours, après quasiment deux années de silence, le Premier ministre et le ministère de l'intérieur ont subitement envoyé des arguments pour défendre la loi.

Cinq jours plus tard, sans crier gare, le Conseil d'État a fixé une date d'audience (demain), qui marquera la fin des débats. Il ne nous laissait ainsi qu'une poignée de jours pour contre-attaquer.

Voir notre dernier mémoire en réplique déposé ce matin par Patrice Spinosi, l'avocat qui nous représente devant le Conseil d'État dans cette affaire

Un problème de conservation généralisée

La loi renseignement n'est pas ici le seul problème. Elle s'ajoute à un régime distinct qui, en France et depuis sept ans, impose aux opérateurs téléphonique et Internet, ainsi qu'aux hébergeurs de contenus en ligne, de conserver pendant un an des « données de connexion » sur l'ensemble des utilisateurs (qui parle à qui, d'où, avec quelle adresse IP, etc.). Les services de renseignement peuvent ainsi accéder, pendant un an, aux données concernant toute la population.

Il nous fallait aussi, en parallèle, attaquer cette conservation généralisée.

Il y a quatre ans, en avril 2014, la Cour de justice de l'Union européenne rendait une décision capitale dans l'affaire « Digital Right Ireland ». Elle annulait une directive européenne qui, depuis 2006, imposait un même régime de conservation généralisée dans toute l'Union. Pour la Cour, la Charte des droits fondamentaux de l'Union européenne s'opposait à une telle surveillance qui, par définition, considère comme suspecte l'ensemble de la population.

Voir la décision du 4 avril 2014 de la Cour de justice

Il y a trois ans, le 1er septembre 2015, La Quadrature du Net, FDN et FFDN saisissaient cette occasion pour contester le régime de conservation généralisée en droit français devant le Conseil d'État, dans une affaire en parallèle à celle contre la loi renseignement.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Dix mois plus tard, en juin 2016, le ministère de la justice envoyait ses arguments pour défendre la conservation généralisée. Ici encore, le gouvernement restera ensuite muet pendant deux ans....

Toutefois, entre-temps, il y a dix-huit mois, le 21 décembre 2016, la Cour de justice rendait une autre décision déterminante dans l'affaire « Tele2 Sverige ». Interrogée par des juges suédois et anglais, elle avait reconnu que les lois de ces deux pays, qui prévoyaient une conservation généralisée des données de connexion, violaient elles-aussi la Charte de l'Union.

Voir l'article des Exégètes amateurs analysant l'arrêt Tele2

C'est exactement la solution que nous recherchions depuis le début : nous demandons au Conseil d'État, à l'instar des juges suédois et anglais, d'interroger la Cour de justice de l'Union européenne sur la validité de notre régime.

En effet, depuis dix-huit mois, le droit français viole le droit de l'Union en refusant d'abroger son régime de conservation généralisée, ce que la Cour de justice impose pourtant de façon évidente.

Lire la tribune des Exégètes amateurs publiée sur Libération

Il y a vingt jours, le Premier ministre sortait enfin de son silence de deux ans pour défendre la loi française. Comme pour l'affaire sur la loi renseignement, le Conseil d'État a fixé l'audience pour demain.

Voir notre dernier mémoire en réplique déposé aujourd'hui

Demain, c'est donc la voie pour mettre fin à l'incohérence du droit français qui, enfin, semble s'ouvrir.

Le débat passe au niveau européen

Il y a quinze jours, nous lancions une campagne européenne pour pousser la Commission européenne à agir contre les dix-sept États membres de l'Union européenne qui, comme la France, violent le droit de l'Union en maintenant un régime de conservation généralisée des données de connexion.

Dans le même temps, depuis un an, les gouvernements européens - dont le gouvernement français - tentent difficilement de modifier le droit européen pour contourner la jurisprudence de la Cour de justice. C'est notamment ce à quoi La Quadrature du Net s'oppose dans les débat sur le règlement ePrivacy.

Face à ces nombreuses et vives difficultés, il semble que le gouvernement français, dos au mur, renonce enfin à fuir le débat.

Après deux années de silence, dans ses toutes dernières écritures, le Premier ministre a admis que, dans les deux procédures que nous avons engagées devant le Conseil d'État, il serait utile d'interroger la Cour de justice sur la validité de la conservation généralisée française. Sans doute espère-t-il convaincre la Cour de revenir sur ses décisions passées, pour les contredire : nous acceptons ce débat car, de notre côté, nous espérons convaincre la Cour d'éloigner encore plus fermement la surveillance de masse !

Ce matin, le rapporteur public du Conseil d'État (chargé d'assister ce dernier dans la prise de ses décisions) a indiqué que, lors de l'audience de demain, il comptait conclure en faveur de la transmission d'un tel débat à la Cour de justice.

Ainsi, tout porte à croire que, demain soir, nous aurons une autre victoire à fêter ! Si le Premier ministre et le rapporteur public épousent notre volonté de porter la question au niveau européen, il semble très peu vraisemblable que le Conseil d'État le refuse lorsqu'il rendra sa décision dans quelques semaines.

Nous devrons ensuite nous préparer pour la bataille finale devant la Cour de justice qui, si nous l'emportons, changera radicalement et durablement le cadre de la surveillance française, mettant un coup d'arrêt aux ambitions de surveillance de masse de François Hollande puis d'Emmanuel Macron.

D'ici là, vous êtes toutes et tous invités à venir assister avec nous à l'audience de demain qui clôturera ces trois années de débat français. Elle aura lieu à 14h (mais venez à l'avance !) au Conseil d'État, 1 place du Palais-Royal à Paris (comment s'y rendre).

À demain !

]]>
10 juillet 2018 - Demain à 14h se tiendront au Conseil d'État deux audiences décisives sur la loi renseignement et sur le régime de conservation généralisée des données de connexion. Ces deux contentieux ont été engagés il y a bientôt trois ans par La Quadrature du net, FDN et FFDN avec le soutien des Exégètes amateurs. Ces affaires pourraient bien connaître la conclusion espérée.

Venez avec nous assister à l'audience !

Avant de voir l'enjeu précis de l'audience de demain, revenons sur ces trois riches années de procédure, déjà cousues de quelques belles victoires et des centaines de pages écrites par les Exégètes amateurs contre une dizaine de textes différents.

À l'attaque de la loi renseignement

Il y a trois ans, le 24 juillet 2015, la loi renseignement était publiée. Elle venait d'être examinée une première fois par le Conseil constitutionnel, devant qui nous avions produit de nombreux arguments - en partie suivis par le Conseil pour, déjà, censurer certaines parties de la loi.

Voir l'amicus curiae que nous produisions contre la loi devant le Conseil constitutionnel

Deux mois après, une série de décrets étaient adoptés pour appliquer cette loi : ces décrets nous offraient l'opportunité, en les attaquant devant le Conseil d'État, de contester la loi dans son ensemble.

C'est donc deux mois plus tard que, le 30 novembre 2015, La Quadrature du Net, FDN et FFDN déposaient leur « requête introductive », qui conduira à l'audience de demain.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Quatre mois après, le 6 mai 2016, nous soulevions une question prioritaire de constitutionnalité (QPC) : nous invitions le Conseil d'État à demander au Conseil constitutionnel si la loi renseignement violait la Constitution lorsqu'elle prévoyait un régime de surveillance généralisée des communications « empruntant la voie hertzienne » (ce qui veut à peu près tout dire).

Six mois plus tard, le 21 octobre 2016, nous gagnions cette manche : cette partie de la loi était censurée !

Voir la décision du Conseil constitutionnel censurant la surveillance hertzienne

Toutefois, nous avions formulé bien d'autres arguments contre la loi renseignement. Le Conseil d'État, devant qui le reste de l'affaire était revenue, devait encore les examiner.

Pendant un an et huit mois, nous sommes restés sans nouvelles du Conseil d'État et pensions qu'il avait oublié l'affaire...

Il y a douze jours, après quasiment deux années de silence, le Premier ministre et le ministère de l'intérieur ont subitement envoyé des arguments pour défendre la loi.

Cinq jours plus tard, sans crier gare, le Conseil d'État a fixé une date d'audience (demain), qui marquera la fin des débats. Il ne nous laissait ainsi qu'une poignée de jours pour contre-attaquer.

Voir notre dernier mémoire en réplique déposé ce matin par Patrice Spinosi, l'avocat qui nous représente devant le Conseil d'État dans cette affaire

Un problème de conservation généralisée

La loi renseignement n'est pas ici le seul problème. Elle s'ajoute à un régime distinct qui, en France et depuis sept ans, impose aux opérateurs téléphonique et Internet, ainsi qu'aux hébergeurs de contenus en ligne, de conserver pendant un an des « données de connexion » sur l'ensemble des utilisateurs (qui parle à qui, d'où, avec quelle adresse IP, etc.). Les services de renseignement peuvent ainsi accéder, pendant un an, aux données concernant toute la population.

Il nous fallait aussi, en parallèle, attaquer cette conservation généralisée.

Il y a quatre ans, en avril 2014, la Cour de justice de l'Union européenne rendait une décision capitale dans l'affaire « Digital Right Ireland ». Elle annulait une directive européenne qui, depuis 2006, imposait un même régime de conservation généralisée dans toute l'Union. Pour la Cour, la Charte des droits fondamentaux de l'Union européenne s'opposait à une telle surveillance qui, par définition, considère comme suspecte l'ensemble de la population.

Voir la décision du 4 avril 2014 de la Cour de justice

Il y a trois ans, le 1er septembre 2015, La Quadrature du Net, FDN et FFDN saisissaient cette occasion pour contester le régime de conservation généralisée en droit français devant le Conseil d'État, dans une affaire en parallèle à celle contre la loi renseignement.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Dix mois plus tard, en juin 2016, le ministère de la justice envoyait ses arguments pour défendre la conservation généralisée. Ici encore, le gouvernement restera ensuite muet pendant deux ans....

Toutefois, entre-temps, il y a dix-huit mois, le 21 décembre 2016, la Cour de justice rendait une autre décision déterminante dans l'affaire « Tele2 Sverige ». Interrogée par des juges suédois et anglais, elle avait reconnu que les lois de ces deux pays, qui prévoyaient une conservation généralisée des données de connexion, violaient elles-aussi la Charte de l'Union.

Voir l'article des Exégètes amateurs analysant l'arrêt Tele2

C'est exactement la solution que nous recherchions depuis le début : nous demandons au Conseil d'État, à l'instar des juges suédois et anglais, d'interroger la Cour de justice de l'Union européenne sur la validité de notre régime.

En effet, depuis dix-huit mois, le droit français viole le droit de l'Union en refusant d'abroger son régime de conservation généralisée, ce que la Cour de justice impose pourtant de façon évidente.

Lire la tribune des Exégètes amateurs publiée sur Libération

Il y a vingt jours, le Premier ministre sortait enfin de son silence de deux ans pour défendre la loi française. Comme pour l'affaire sur la loi renseignement, le Conseil d'État a fixé l'audience pour demain.

Voir notre dernier mémoire en réplique déposé aujourd'hui

Demain, c'est donc la voie pour mettre fin à l'incohérence du droit français qui, enfin, semble s'ouvrir.

Le débat passe au niveau européen

Il y a quinze jours, nous lancions une campagne européenne pour pousser la Commission européenne à agir contre les dix-sept États membres de l'Union européenne qui, comme la France, violent le droit de l'Union en maintenant un régime de conservation généralisée des données de connexion.

Dans le même temps, depuis un an, les gouvernements européens - dont le gouvernement français - tentent difficilement de modifier le droit européen pour contourner la jurisprudence de la Cour de justice. C'est notamment ce à quoi La Quadrature du Net s'oppose dans les débat sur le règlement ePrivacy.

Face à ces nombreuses et vives difficultés, il semble que le gouvernement français, dos au mur, renonce enfin à fuir le débat.

Après deux années de silence, dans ses toutes dernières écritures, le Premier ministre a admis que, dans les deux procédures que nous avons engagées devant le Conseil d'État, il serait utile d'interroger la Cour de justice sur la validité de la conservation généralisée française. Sans doute espère-t-il convaincre la Cour de revenir sur ses décisions passées, pour les contredire : nous acceptons ce débat car, de notre côté, nous espérons convaincre la Cour d'éloigner encore plus fermement la surveillance de masse !

Ce matin, le rapporteur public du Conseil d'État (chargé d'assister ce dernier dans la prise de ses décisions) a indiqué que, lors de l'audience de demain, il comptait conclure en faveur de la transmission d'un tel débat à la Cour de justice.

Ainsi, tout porte à croire que, demain soir, nous aurons une autre victoire à fêter ! Si le Premier ministre et le rapporteur public épousent notre volonté de porter la question au niveau européen, il semble très peu vraisemblable que le Conseil d'État le refuse lorsqu'il rendra sa décision dans quelques semaines.

Nous devrons ensuite nous préparer pour la bataille finale devant la Cour de justice qui, si nous l'emportons, changera radicalement et durablement le cadre de la surveillance française, mettant un coup d'arrêt aux ambitions de surveillance de masse de François Hollande puis d'Emmanuel Macron.

D'ici là, vous êtes toutes et tous invités à venir assister avec nous à l'audience de demain qui clôturera ces trois années de débat français. Elle aura lieu à 14h (mais venez à l'avance !) au Conseil d'État, 1 place du Palais-Royal à Paris (comment s'y rendre).

À demain !

]]>
La Smart City policière se répand comme traînée de poudre10581 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180706_104142_La_Smart_City_policiere_se_repand_comme_trainee_de_poudreFri, 06 Jul 2018 08:41:42 +0000En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. Comme le rappelle le premier syndicat de la police municipale en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City » (pdf), en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

À Nice, dans le cadre de ce nouveau « Projet d'expérimentation Safe City » (pdf) voté par la Ville en juin (et que La Quadrature s'est procuré), Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Ces projets sont bien des expérimentations, avec des « cas d'usage » en apparence délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Car tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle aussi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier (pdf) fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ces textes s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser le tout7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

  • 1. Source : La Croix
  • 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
  • 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
  • 4. Voir par exemple les cas de Google ou d'Amazon
  • 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
  • 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
  • 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.
]]>
En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. Comme le rappelle le premier syndicat de la police municipale en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City » (pdf), en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

À Nice, dans le cadre de ce nouveau « Projet d'expérimentation Safe City » (pdf) voté par la Ville en juin (et que La Quadrature s'est procuré), Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Ces projets sont bien des expérimentations, avec des « cas d'usage » en apparence délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Car tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle aussi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier (pdf) fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ces textes s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser le tout7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

  • 1. Source : La Croix
  • 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
  • 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
  • 4. Voir par exemple les cas de Google ou d'Amazon
  • 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
  • 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
  • 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.
]]>
Zwiebelfreunde, la police allemande s'en prend à nos oignons10582 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180705_165034_Zwiebelfreunde__la_police_allemande_s_en_prend_a_nos_oignonsThu, 05 Jul 2018 14:50:34 +0000Tribune de Taziden, membre de La Quadrature du Net

Le 20 juin, des perquisitions ont été menées1 chez plusieurs dirigeants de l'association allemande « Zwiebelfreunde ». Tous leurs ordinateurs et supports de stockage (disques durs, clés usb) ont été saisis par la police allemande.

Le motif invoqué ? Ces trois personnes seraient des « témoins » dans le cadre d'une enquête en cours sur un blog appelant à des manifestations anti-fascistes à Augsbourg, toujours en Allemagne. La police considère que ce blog appelle à des actions violentes.

Le lien entre ce blog et Zwiebelfreunde ? Il faut s'accrocher. L'adresse e-mail associée au blog est hébergée par l'organisation américaine Riseup. Et Zwiebelfreunde recueille des dons pour le compte de Riseup. On imagine difficilement une saisie du même acabit chez Google si les personnes à l'origine du blog avaient choisi Gmail.
Un peu comme si le local de La Quadrature du Net ainsi que les domiciles de ses dirigeants avaient été perquisitionnés à cause d'un compte créé sur mamot.fr, l'instance Mastodon de l'association.
Ça n'a aucun sens.

Il s'agit donc d'une attaque claire contre Zwiebelfreunde qui, depuis des années, promeut et facilite l'utilisation d'outils de protection de la vie privée, comme ceux du projet Tor. Elle œuvre à collecter des fonds pour ces projets, Riseup dans le cas présent.
L'argent recueilli par Zwiebelfreunde sert notamment à développer les outils et services fournis par Riseup, à rembourser des frais de déplacement et à maintenir l'infrastructure Tor de Riseup.

Des perquisitions ont également eu lieu au siège de l'association, se trouvant être le bureau d'un avocat, ainsi qu'au domicile d'un ancien dirigeant.
On peine à comprendre un tel déploiement policier et une telle intrusion dans la vie privée de personnes considérées comme « témoins ».

Ne se contentant pas de ces descentes, la police a d'elle-même choisi d'étendre ses recherches au hackerspace d'Augsbourg, OpenLab2. Interprétant le contenu d'un tableau blanc comme décrivant l'élaboration d'une bombe (sic), trois personnes présentes au hackerspace ont été arrêtées et une fouille du local s'en est suivie.
La police a saisi du matériel et forcé les cadenas des armoires du lieu contenant des informations personnelles sur les membres du hackerspace. Il ne fait aucun doute que ces données ont été copiées par la police.
L'accusation de « préparation d'un attentat à l'aide d'explosifs » semble tout aussi ridicule que le motif de « témoin » invoqué dans le cas des dirigeants de Zwiebelfreunde.

Tout comme ces derniers mois avec Bure3, la police allemande semble faire peu de cas des libertés individuelles au profit d'une répression féroce contre les mouvements sociaux et toutes les personnes et organisations pouvant les soutenir, ou fournir une infrastructure indépendante leur permettant de s'organiser.

Cette tendance est inquiétante et elle montre qu'il est plus que jamais important de soutenir les initiatives fournissant des outils et services informatiques permettant de s'organiser en autonomie. Nous pensons notamment à Riseup, Tor, Tails, Nos Oignons mais également à Mastodon, Funkwhale, Peertube, Pixelfed et toute cette vague d'outils décentralisés et fédérés qui ne manqueront pas d'être les prochains à être inquiétés par la police, que ça soit par incompétence ou malice.




Vous avez encore quelques heures pour soutenir le développement de PeerTube, le réseau de streaming vidéo génial et non-centralisé de nos amis de chez Framasoft.

Vous pouvez aussi revoir la vidéo de Lunar, membre du projet Tor et de La Quadrature du Net, qui nous explique pourquoi utiliser Tor.

]]>
Tribune de Taziden, membre de La Quadrature du Net

Le 20 juin, des perquisitions ont été menées1 chez plusieurs dirigeants de l'association allemande « Zwiebelfreunde ». Tous leurs ordinateurs et supports de stockage (disques durs, clés usb) ont été saisis par la police allemande.

Le motif invoqué ? Ces trois personnes seraient des « témoins » dans le cadre d'une enquête en cours sur un blog appelant à des manifestations anti-fascistes à Augsbourg, toujours en Allemagne. La police considère que ce blog appelle à des actions violentes.

Le lien entre ce blog et Zwiebelfreunde ? Il faut s'accrocher. L'adresse e-mail associée au blog est hébergée par l'organisation américaine Riseup. Et Zwiebelfreunde recueille des dons pour le compte de Riseup. On imagine difficilement une saisie du même acabit chez Google si les personnes à l'origine du blog avaient choisi Gmail.
Un peu comme si le local de La Quadrature du Net ainsi que les domiciles de ses dirigeants avaient été perquisitionnés à cause d'un compte créé sur mamot.fr, l'instance Mastodon de l'association.
Ça n'a aucun sens.

Il s'agit donc d'une attaque claire contre Zwiebelfreunde qui, depuis des années, promeut et facilite l'utilisation d'outils de protection de la vie privée, comme ceux du projet Tor. Elle œuvre à collecter des fonds pour ces projets, Riseup dans le cas présent.
L'argent recueilli par Zwiebelfreunde sert notamment à développer les outils et services fournis par Riseup, à rembourser des frais de déplacement et à maintenir l'infrastructure Tor de Riseup.

Des perquisitions ont également eu lieu au siège de l'association, se trouvant être le bureau d'un avocat, ainsi qu'au domicile d'un ancien dirigeant.
On peine à comprendre un tel déploiement policier et une telle intrusion dans la vie privée de personnes considérées comme « témoins ».

Ne se contentant pas de ces descentes, la police a d'elle-même choisi d'étendre ses recherches au hackerspace d'Augsbourg, OpenLab2. Interprétant le contenu d'un tableau blanc comme décrivant l'élaboration d'une bombe (sic), trois personnes présentes au hackerspace ont été arrêtées et une fouille du local s'en est suivie.
La police a saisi du matériel et forcé les cadenas des armoires du lieu contenant des informations personnelles sur les membres du hackerspace. Il ne fait aucun doute que ces données ont été copiées par la police.
L'accusation de « préparation d'un attentat à l'aide d'explosifs » semble tout aussi ridicule que le motif de « témoin » invoqué dans le cas des dirigeants de Zwiebelfreunde.

Tout comme ces derniers mois avec Bure3, la police allemande semble faire peu de cas des libertés individuelles au profit d'une répression féroce contre les mouvements sociaux et toutes les personnes et organisations pouvant les soutenir, ou fournir une infrastructure indépendante leur permettant de s'organiser.

Cette tendance est inquiétante et elle montre qu'il est plus que jamais important de soutenir les initiatives fournissant des outils et services informatiques permettant de s'organiser en autonomie. Nous pensons notamment à Riseup, Tor, Tails, Nos Oignons mais également à Mastodon, Funkwhale, Peertube, Pixelfed et toute cette vague d'outils décentralisés et fédérés qui ne manqueront pas d'être les prochains à être inquiétés par la police, que ça soit par incompétence ou malice.




Vous avez encore quelques heures pour soutenir le développement de PeerTube, le réseau de streaming vidéo génial et non-centralisé de nos amis de chez Framasoft.

Vous pouvez aussi revoir la vidéo de Lunar, membre du projet Tor et de La Quadrature du Net, qui nous explique pourquoi utiliser Tor.

]]>
La Smart City policière se répand comme traînée de poudre10581 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180705_104142_La_Smart_City_policiere_se_repand_comme_trainee_de_poudreThu, 05 Jul 2018 08:41:42 +0000En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. C'est d'ailleurs le premier syndicat de la police municipale qui l'écrit, en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City », en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

Dans un nouveau Projet d'expérimentation Safe City », Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Dans l'immédiat, ces projets sont bien des expérimentations, avec des « cas d'usage » relativement délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle ainsi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ce texte s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces coûteuses expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser tout cela7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

  • 1. Source : La Croix
  • 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
  • 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
  • 4. Voir par exemple les cas de Google ou d'Amazon
  • 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
  • 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
  • 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.
Fichier attachéTaille
courrier_CNIL_marseille_anon.pdf143.88 Ko
Convention_expérimentation_SafeCity_Nice.pdf2.52 Mo
Deliberation14091.pdf52.93 Ko
]]>
En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. C'est d'ailleurs le premier syndicat de la police municipale qui l'écrit, en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City », en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

Dans un nouveau Projet d'expérimentation Safe City », Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Dans l'immédiat, ces projets sont bien des expérimentations, avec des « cas d'usage » relativement délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle ainsi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ce texte s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces coûteuses expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser tout cela7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

  • 1. Source : La Croix
  • 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
  • 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
  • 4. Voir par exemple les cas de Google ou d'Amazon
  • 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
  • 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
  • 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.
Fichier attachéTaille
courrier_CNIL_marseille_anon.pdf143.88 Ko
Convention_expérimentation_SafeCity_Nice.pdf2.52 Mo
Deliberation14091.pdf52.93 Ko
]]>
Demain, le Parlement européen devra s'opposer au filtrage automatisé10580 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180704_113131_Demain__le_Parlement_europeen_devra_s_opposer_au_filtrage_automatiseWed, 04 Jul 2018 09:31:31 +00004 juillet 2018 - Demain, l'ensemble du Parlement européen votera sur la nouvelle directive Copyright. Il y a deux semaines, la commission « Affaires juridiques » du Parlement a adopté un premier texte, obligeant les plateformes commerciales à activement bloquer les contenus qui, envoyés par leurs utilisateurs, sont soumis à droit d'auteur. Demain, le Parlement doit rejeter ce texte.

Le 20 juillet, la commission « Affaires juridiques », qui réunit 25 eurodéputés, a arrêté une première position sur la directive Copyright. La majorité de ses membres a adopté un article 13 imposant des techniques de filtrage automatisé sur les plateformes commerciales qui publient et « optimisent » la présentation des contenus envoyés par leurs utilisateurs. YouTube ou Facebook ont déjà mis en place de telles techniques de filtrage depuis longtemps : cet article 13 les rendrait légitimes.

Nos communications publiques ne doivent jamais être régulées au moyen de mesures automatisées, que ce soit pour « protéger des droits d'auteur » ou pour lutter contre les discours de haine ou les « fakenews ». Les comportements humains ne doivent pouvoir être encadrés que par des humains, et ce d'autant plus lorsque des libertés fondamentales sont en jeu.

Demain, à midi, l'ensemble des 750 eurodéputés pourront et devront rejeter un tel solutionnisme technologique, qui ne ferait que renforcer des géants de l'Internet déjà surpuissants. Une fois rejeté, l'actuel texte sera renégocié par le Parlement.

Appelez aujourd'hui les eurodéputés : demandez-leur de renégocier la directive Copyright !

La Quadrature du Net se réjouit à l'idée que des plateformes commerciales non-neutres puissent être soumises à des règles différentes de celles encadrant les services neutres ou non lucratifs. Mais cette distinction ne doit en aucun cas légitimer la censure actuellement imposée par une poignée d'entreprises sur de larges pans du Web. Les futures négociations sur la directive Copyright devront interdire toute mesure de filtrage automatisé plutôt que d'en imposer.

]]>
4 juillet 2018 - Demain, l'ensemble du Parlement européen votera sur la nouvelle directive Copyright. Il y a deux semaines, la commission « Affaires juridiques » du Parlement a adopté un premier texte, obligeant les plateformes commerciales à activement bloquer les contenus qui, envoyés par leurs utilisateurs, sont soumis à droit d'auteur. Demain, le Parlement doit rejeter ce texte.

Le 20 juillet, la commission « Affaires juridiques », qui réunit 25 eurodéputés, a arrêté une première position sur la directive Copyright. La majorité de ses membres a adopté un article 13 imposant des techniques de filtrage automatisé sur les plateformes commerciales qui publient et « optimisent » la présentation des contenus envoyés par leurs utilisateurs. YouTube ou Facebook ont déjà mis en place de telles techniques de filtrage depuis longtemps : cet article 13 les rendrait légitimes.

Nos communications publiques ne doivent jamais être régulées au moyen de mesures automatisées, que ce soit pour « protéger des droits d'auteur » ou pour lutter contre les discours de haine ou les « fakenews ». Les comportements humains ne doivent pouvoir être encadrés que par des humains, et ce d'autant plus lorsque des libertés fondamentales sont en jeu.

Demain, à midi, l'ensemble des 750 eurodéputés pourront et devront rejeter un tel solutionnisme technologique, qui ne ferait que renforcer des géants de l'Internet déjà surpuissants. Une fois rejeté, l'actuel texte sera renégocié par le Parlement.

Appelez aujourd'hui les eurodéputés : demandez-leur de renégocier la directive Copyright !

La Quadrature du Net se réjouit à l'idée que des plateformes commerciales non-neutres puissent être soumises à des règles différentes de celles encadrant les services neutres ou non lucratifs. Mais cette distinction ne doit en aucun cas légitimer la censure actuellement imposée par une poignée d'entreprises sur de larges pans du Web. Les futures négociations sur la directive Copyright devront interdire toute mesure de filtrage automatisé plutôt que d'en imposer.

]]>
Plaintes massives dans toute l'Europe contre la rétention illégale de nos données10563 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180625_131209_Plaintes_massives_dans_toute_l_Europe_contre_la_retention_illegale_de_nos_donneesMon, 25 Jun 2018 11:12:09 +000025 juin 2018 — 62 associations, fournisseurs d'accès Internet associatifs, universitaires et militants envoient ensemble une lettre ouverte à la Commission européenne et déposent plusieurs plaintes contre la législation de dix-sept États membres en matière de conservation généralisée des données.

Quels sont les enjeux ?

La « rétention généralisée des données » est l'obligation imposées aux opérateurs de télécommunications (téléphonie et Internet) de conserver les données de connexion (numéros appelés, adresses IP, données de localisation, d'identité) de l'ensemble de leurs utilisateurs pendant plusieurs mois ou plusieurs années (selon la loi de chaque État). Cette conservation s'applique à toute personne, même si elle n'est suspectée d'aucun crime ou délit.

Dix-sept États membres de l'Union européenne prévoient toujours une telle rétention généralisée dans leur droit national.

Pourquoi est-ce contraire au droit de l'Union européenne ?

La Cour de justice de l'Union européenne a clairement jugé qu'une telle conservation généralisée et indifférenciée des données était contraire au droit à la vie privée, à la protection des données personnelles et la liberté d'expression et d'information – protégées par la Charte des droits fondamentaux de l'Union européenne.

Pour la Cour, ces mesures de surveillance généralisées sont inacceptables.

Quel est notre but ?

En l'espèce, le droit de l'Union européenne, censé prévaloir sur les lois nationales, est plus protecteur de nos droits et libertés. Nous souhaitons le faire appliquer et que les régimes de conservation généralisée des données encore en vigueur dans dix-sept États membres soient abrogés.

Pour cela, nous avons envoyé des plaintes à la Commission européenne afin de l'inviter à enquêter sur l'affaire et saisir, à terme, la Cour de justice de l'Union européenne (CJUE) pour sanctionner directement chacun des États violant le droit européen. Pour expliquer notre démarche, nous accompagnons ces plaintes d'une lettre ouverte commune, portée par plus de 60 signataires dans 19 pays de l'Union, également envoyée à la Commission européenne.

Téléchargez notre lettre ouverte

Comment aider ?

Vous aussi, envoyez une plainte à la Commission européenne ! Il vous suffit de reprendre ce modèle, de mettre vos coordonnées et de l'envoyer à cette adresse e-mail : SG-PLAINTES@ec.europa.eu

En plus, c'est sans risque, sans frais et à la portée de chacun·e.

Telecharger le formulaire de plainte

Retrouvez toutes les informations sur http://stopdataretention.eu/

]]>
25 juin 2018 — 62 associations, fournisseurs d'accès Internet associatifs, universitaires et militants envoient ensemble une lettre ouverte à la Commission européenne et déposent plusieurs plaintes contre la législation de dix-sept États membres en matière de conservation généralisée des données.

Quels sont les enjeux ?

La « rétention généralisée des données » est l'obligation imposées aux opérateurs de télécommunications (téléphonie et Internet) de conserver les données de connexion (numéros appelés, adresses IP, données de localisation, d'identité) de l'ensemble de leurs utilisateurs pendant plusieurs mois ou plusieurs années (selon la loi de chaque État). Cette conservation s'applique à toute personne, même si elle n'est suspectée d'aucun crime ou délit.

Dix-sept États membres de l'Union européenne prévoient toujours une telle rétention généralisée dans leur droit national.

Pourquoi est-ce contraire au droit de l'Union européenne ?

La Cour de justice de l'Union européenne a clairement jugé qu'une telle conservation généralisée et indifférenciée des données était contraire au droit à la vie privée, à la protection des données personnelles et la liberté d'expression et d'information – protégées par la Charte des droits fondamentaux de l'Union européenne.

Pour la Cour, ces mesures de surveillance généralisées sont inacceptables.

Quel est notre but ?

En l'espèce, le droit de l'Union européenne, censé prévaloir sur les lois nationales, est plus protecteur de nos droits et libertés. Nous souhaitons le faire appliquer et que les régimes de conservation généralisée des données encore en vigueur dans dix-sept États membres soient abrogés.

Pour cela, nous avons envoyé des plaintes à la Commission européenne afin de l'inviter à enquêter sur l'affaire et saisir, à terme, la Cour de justice de l'Union européenne (CJUE) pour sanctionner directement chacun des États violant le droit européen. Pour expliquer notre démarche, nous accompagnons ces plaintes d'une lettre ouverte commune, portée par plus de 60 signataires dans 19 pays de l'Union, également envoyée à la Commission européenne.

Téléchargez notre lettre ouverte

Comment aider ?

Vous aussi, envoyez une plainte à la Commission européenne ! Il vous suffit de reprendre ce modèle, de mettre vos coordonnées et de l'envoyer à cette adresse e-mail : SG-PLAINTES@ec.europa.eu

En plus, c'est sans risque, sans frais et à la portée de chacun·e.

Telecharger le formulaire de plainte

Retrouvez toutes les informations sur http://stopdataretention.eu/

]]>
Directive Copyright : combattons le filtrage automatisé... et la centralisation du Web !10548 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180612_130459_Directive_Copyright___combattons_le_filtrage_automatise..._et_la_centralisation_du_Web__Tue, 12 Jun 2018 11:04:59 +000012 juin 2018 - Le 20 juin prochain, le Parlement européen arrêtera sa décision sur la directive Copyright, symbole d'une nouvelle période de régulation de l'Internet. La Quadrature du Net vous invite à appeler les eurodéputés pour exiger qu'ils agissent contre l'automatisation de la censure au nom de la protection du droit d'auteur et, plus largement, contre la centralisation du Web.

Pour comprendre la décision complexe qui se jouera le 20 juin, il faut d'abord revenir sur les base de la régulation des contenus diffusés sur Internet.

Un équilibre incertain

La directive « eCommerce » adoptée en 2000 par l'Union européenne a posé les fondements de la régulation des contenus diffusés sur Internet. Elle crée le principe suivant : si vous hébergez et diffusez du texte, des images ou des vidéos fournis par des tiers et que ces contenus sont illicites (car portant atteinte au droit d'auteur, étant sexistes ou racistes, faisant l'apologie du terrorisme, etc.), vous n'en êtes pas responsable. Cette absence de responsabilité exige toutefois deux choses : que vous n'ayez pas eu un rôle actif dans la diffusion des contenus (en les hiérarchisant pour en promouvoir certains, par exemple) et que, si on vous signale un contenu « illicite », vous le retiriez « promptement ». Si vous échouez à respecter ces conditions, vous pouvez être considéré comme ayant vous-même publié le contenu.

Cet équilibre, particulièrement incertain (l'évaluation de « illicite » et de « promptement » étant bien difficile), s'est appliqué indistinctement pendant vingt ans à tous les hébergeurs. Ceux qui nous louent les serveurs où diffuser nos sites Internet (l'entreprise française OVH en est un bon exemple) ; les forums et les wiki où nous partageons nos expériences et nos savoirs ; les réseaux non-centralisés tels que Mastodon ou PeerTube ; et, bien sûr, les géants du Web - Facebook et autres YouTube, qui semblent avoir enfermé entre leurs mains la plus grande partie de nos échanges publics.

Cet équilibre s'est rompu au fur et à mesure que ces géants ont abandonné toute idée de rester neutres : assumant aujourd'hui leur rôle actif, ils hiérarchisent tous les contenus qu'ils diffusent selon des critères économiques (mettant en avant les publicités de ceux qui les paient ainsi que les contenus qui nous feront rester chez eux le plus longtemps) ou politiques (Facebook ayant par exemple une lourde politique de censure de la nudité).

En théorie, comme on l'a vu, le filtrage généralisé du débat public, qui repose souvent sur l'application automatique de ces critères économiques et politiques, devrait les rendre responsables de tous les contenus qu'ils diffusent. En pratique, toutefois, on comprend pourquoi ce principe n'est pas vraiment appliqué : il inciterait ces géants à censurer tout discours potentiellement illicite, limitant drastiquement les capacités d'expression des millions de personnes qui les utilisent encore pour participer au débat public, bon gré mal gré. Le droit semble donc imparfait, car étant trop strict en théorie pour s'appliquer en pratique.

Filtrage automatique

En septembre 2016, pour répondre à une partie de ce problème, la Commission européenne a proposé une « directive Copyright ».

L'article 13 de ce texte entend créer de nouvelles règles pour les gros hébergeurs - qui diffusent un « grand nombre d'œuvres ». Ceux-ci devraient passer des accords avec les ayants droit des œuvres qu'ils diffusent, afin de définir les modes de répartition des revenus (publicitaires ou d'abonnement) avec ceux-ci ou de prendre des mesures pour empêcher la diffusion de contenus signalés par ces derniers.

Le texte mentionne des « techniques efficaces de reconnaissance des contenus », faisant clairement référence au Content ID déployé sur YouTube depuis dix ans - outil qui permet à Google de détecter automatiquement les œuvres publiées sur son site afin de permettre à leurs ayants droit d'empêcher ou de permettre leur diffusion (auquel cas contre rémunération).

Les propositions de la Commission doivent connaître les mêmes critiques que celles portées depuis des années contre YouTube : elles reportent tous les équilibres de la régulation sur des outils automatisés, présentés en solution miracle. Ignorant toutes les subtilités des comportements humains, ces outils censurent un peu tout et n'importe quoi au gré des bugs techniques, de critères mal calibrés et de logiques absurdes, et neutralisent au passage l'exercice légitime des exceptions au droit d'auteur (droit de citation, de parodie...).

Pour saisir l'importance de ce débat, il faut bien comprendre que ces filtrages automatisés sont déjà largement déployés et vantés par Facebook ou Google, au-delà de la question du droit d'auteur, pour prétendre lutter contre tout type de contenus illicites. Nombre de gouvernements semblent ici aussi tentés de leur emboîter le pas.

La directive Copyright ne doit pas légitimer et généraliser ce solutionnisme technologique, automatisant nos relations sociales et traitant les humains comme de quelconques machines laissées aux mains de quelques entreprises privées. Au contraire, le débat d'aujourd'hui doit être l'opportunité de limiter le recours qu'en font les géants du Web et de contester l'emprise qu'ils exercent sur notre monde.

Une nouvelle distinction

Le 25 mai dernier, les États membres de l'Union européenne ont arrêté leur position sur la directive Copyright. Cette position comporte un ajout décisif en créant clairement une nouvelle catégorie d'acteurs : toute personne qui, hébergeant et diffusant un large nombre d'œuvres, organise et promeut celles-ci à des fins lucratives - qui a un « rôle actif » dans leur présentation.

Cette nouvelle catégorie est instaurée pour échapper à la protection offerte par le directive « eCommerce » de 2000, sans toutefois être soumise à un régime de responsabilité systématique. Il s'agit donc d'une catégorie intermédiaire, entre « tout » et « rien », qui pourrait résoudre nombre des problèmes apparus ces vingts dernières années. Appelons « plateformes » cette nouvelle catégorie d'acteurs car, même si le terme est aussi générique que vague, il semble être celui que la pratique et les discours officiels commencent à consacrer.

Selon la position des États membres, ces plateformes devraient être responsables des œuvres qu'elles diffusent sans l'autorisation des ayants droit si elles n'ont pas mis en place de système qui, dans la mesure de leurs moyens, aurait pu empêcher leur mise en ligne. L'idée d'un filtrage automatique tel que le « Content ID » n'est pas écartée, mais son recours y est moins explicitement visé.

De son côté, le Parlement européen arrêtera sa position le 20 juin prochain, au sein de sa commission « Affaires juridiques » (JURI). Au terme de longs débats, le rapporteur du texte, Axel Voss (PPE, Allemagne), semble vouloir reprendre les ajouts proposés par les États membres (voir ses dernières propositions publiées), ainsi qu'ajouter une précision nouvelle : la censure opérée par les plateformes ne doit pas conduire au filtrage de contenus qui ne contreviennent pas à un droit d'auteur, ni au déploiement d'une surveillance généralisée des contenus mis en ligne. La distance mise avec le filtrage automatique généralisé se dessine un peu plus. Il est cependant crucial qu'elle figure de manière explicite dans le texte final de même qu'un seuil clair soit fixé (de contenus diffusés, d'utilisateurs inscrits, etc.) de manière à avoir la certitude que le dispositif concernera surtout le problème de la centralisation.

Enfin, les propositions d'Axel Voss précisent certaines garanties contre des censures arbitraires ou abusives : un mécanisme de contestation rapide auprès de la plateforme, ainsi que la possibilité de saisir un juge afin de faire valoir des exceptions au droit d'auteur qui rendraient le filtrage injustifié. Il faudrait néanmoins aller bien plus loin, car faire peser sur les internautes la charge de saisir le juge pour faire valoir leurs droits est encore trop lourd, vu le déséquilibre des parties en présence. Mieux vaudrait inverser les règles en cas de contestation d'une demande de retrait : les contenus censurés doivent revenir en ligne quand un utilisateur estime être dans son bon droit, et c'est aux ayants droit de saisir la justice pour obtenir le retrait définitif, sous le contrôle d'un juge.

Un compromis décevant

Ces différentes propositions, au lieu de légitimer clairement le modèle de régulation automatisée qui fonde la puissance de géants du Web, pourraient au contraire commencer à l'encadrer et à en limiter les effets. Mais ne nous réjouissons pas : la régulation automatisée, plutôt que d'être mollement encadrée à la marge comme ici, devrait être entièrement déconstruite et bannie - il n'en est rien pour l'instant. De plus, la position du Parlement européen reste à faire, et celui-ci pourrait très bien retomber dans le solutionnisme technologique qui a animé tant de décisions récentes.

Jusqu'au 20 juin, La Quadrature du Net vous invite donc à appeler les eurodéputés pour exiger :

  1. que les nouvelles obligations en matière de droit d'auteur ne concernent que des hébergeurs qui hiérarchisent les contenus à des fins lucratives et qui atteignent un certain seuil fixé de manière claire ;
  2. que ces obligations ne se transforment jamais en filtrage automatisé, qui doit être clairement interdit ;
  3. que la charge de saisir la justice pour faire valoir ses droits en cas de demande de retrait pèse sur les ayants droit et non sur les internautes.

Si le texte s'arrête sur ce compromis, le pire sera peut-être évité, mais cette directive Copyright n'en restera pas moins un échec, car le débat s'est encore une fois focalisé sur des mesures répressives et régressives, alors qu'il s'agissait à la base de réfléchir les équilibres du droit d'auteur à l'heure du numérique. Cette ambition a été abandonnée avec le rejet par le Parlement européen des propositions du Rapport Reda, qui étaient elles-mêmes déjà en retrait par rapport aux propositions de la Quadrature du Net sur la réforme du droit d'auteur.

Un nouvel équilibre

Comme on l'a dit, ce débat dépasse largement celui du droit d'auteur. Il concerne la régulation des hébergeurs dans son ensemble, en matière de lutte contre les « fake news », contre la diffusion de la haine, contre la propagande terroriste, etc., tel qu'on le voit de plus en plus vivement discuté. Il concerne la façon dont chacun et chacune peut accéder au débat public, pour s'y exprimer comme s'y informer.

Tous ces enjeux connaissent un ennemi commun : la centralisation du Web, qui a enfermé la très grande majorité des internautes dans des règles uniques et rigides, qui n'ont que faire de la qualité, de la sérénité ou de la pertinence de nos échanges, n'existant que pour la plus simple recherche du profit de quelques entreprises.

L'une des principales causes de cette centralisation est le frein que le droit a longtemps posé contre l'apparition de son remède - le développement d'hébergeurs non-centralisés qui, ne se finançant pas par la surveillance et la régulation de masse, ne peuvent pas prendre le risque de lourds procès pour avoir échoué à retirer « promptement » chaque contenu « illicite » qui leur serait signalé. Des hébergeurs qui, souvent, peuvent à peine prendre le risque d'exister.

La condition du développement de tels services est que, enfin, le droit ne leur impose plus des règles qui depuis vingt ans ne sont presque plus pensées que pour quelques géants. Prévoir une nouvelle catégorie intermédiaire dédiée à ces derniers offre l'espoir de libérer l'Internet non-centralisé du cadre absurde dans lequel juges et législateurs l'ont peu à peu enfermé.

]]>
12 juin 2018 - Le 20 juin prochain, le Parlement européen arrêtera sa décision sur la directive Copyright, symbole d'une nouvelle période de régulation de l'Internet. La Quadrature du Net vous invite à appeler les eurodéputés pour exiger qu'ils agissent contre l'automatisation de la censure au nom de la protection du droit d'auteur et, plus largement, contre la centralisation du Web.

Pour comprendre la décision complexe qui se jouera le 20 juin, il faut d'abord revenir sur les base de la régulation des contenus diffusés sur Internet.

Un équilibre incertain

La directive « eCommerce » adoptée en 2000 par l'Union européenne a posé les fondements de la régulation des contenus diffusés sur Internet. Elle crée le principe suivant : si vous hébergez et diffusez du texte, des images ou des vidéos fournis par des tiers et que ces contenus sont illicites (car portant atteinte au droit d'auteur, étant sexistes ou racistes, faisant l'apologie du terrorisme, etc.), vous n'en êtes pas responsable. Cette absence de responsabilité exige toutefois deux choses : que vous n'ayez pas eu un rôle actif dans la diffusion des contenus (en les hiérarchisant pour en promouvoir certains, par exemple) et que, si on vous signale un contenu « illicite », vous le retiriez « promptement ». Si vous échouez à respecter ces conditions, vous pouvez être considéré comme ayant vous-même publié le contenu.

Cet équilibre, particulièrement incertain (l'évaluation de « illicite » et de « promptement » étant bien difficile), s'est appliqué indistinctement pendant vingt ans à tous les hébergeurs. Ceux qui nous louent les serveurs où diffuser nos sites Internet (l'entreprise française OVH en est un bon exemple) ; les forums et les wiki où nous partageons nos expériences et nos savoirs ; les réseaux non-centralisés tels que Mastodon ou PeerTube ; et, bien sûr, les géants du Web - Facebook et autres YouTube, qui semblent avoir enfermé entre leurs mains la plus grande partie de nos échanges publics.

Cet équilibre s'est rompu au fur et à mesure que ces géants ont abandonné toute idée de rester neutres : assumant aujourd'hui leur rôle actif, ils hiérarchisent tous les contenus qu'ils diffusent selon des critères économiques (mettant en avant les publicités de ceux qui les paient ainsi que les contenus qui nous feront rester chez eux le plus longtemps) ou politiques (Facebook ayant par exemple une lourde politique de censure de la nudité).

En théorie, comme on l'a vu, le filtrage généralisé du débat public, qui repose souvent sur l'application automatique de ces critères économiques et politiques, devrait les rendre responsables de tous les contenus qu'ils diffusent. En pratique, toutefois, on comprend pourquoi ce principe n'est pas vraiment appliqué : il inciterait ces géants à censurer tout discours potentiellement illicite, limitant drastiquement les capacités d'expression des millions de personnes qui les utilisent encore pour participer au débat public, bon gré mal gré. Le droit semble donc imparfait, car étant trop strict en théorie pour s'appliquer en pratique.

Filtrage automatique

En septembre 2016, pour répondre à une partie de ce problème, la Commission européenne a proposé une « directive Copyright ».

L'article 13 de ce texte entend créer de nouvelles règles pour les gros hébergeurs - qui diffusent un « grand nombre d'œuvres ». Ceux-ci devraient passer des accords avec les ayants droit des œuvres qu'ils diffusent, afin de définir les modes de répartition des revenus (publicitaires ou d'abonnement) avec ceux-ci ou de prendre des mesures pour empêcher la diffusion de contenus signalés par ces derniers.

Le texte mentionne des « techniques efficaces de reconnaissance des contenus », faisant clairement référence au Content ID déployé sur YouTube depuis dix ans - outil qui permet à Google de détecter automatiquement les œuvres publiées sur son site afin de permettre à leurs ayants droit d'empêcher ou de permettre leur diffusion (auquel cas contre rémunération).

Les propositions de la Commission doivent connaître les mêmes critiques que celles portées depuis des années contre YouTube : elles reportent tous les équilibres de la régulation sur des outils automatisés, présentés en solution miracle. Ignorant toutes les subtilités des comportements humains, ces outils censurent un peu tout et n'importe quoi au gré des bugs techniques, de critères mal calibrés et de logiques absurdes, et neutralisent au passage l'exercice légitime des exceptions au droit d'auteur (droit de citation, de parodie...).

Pour saisir l'importance de ce débat, il faut bien comprendre que ces filtrages automatisés sont déjà largement déployés et vantés par Facebook ou Google, au-delà de la question du droit d'auteur, pour prétendre lutter contre tout type de contenus illicites. Nombre de gouvernements semblent ici aussi tentés de leur emboîter le pas.

La directive Copyright ne doit pas légitimer et généraliser ce solutionnisme technologique, automatisant nos relations sociales et traitant les humains comme de quelconques machines laissées aux mains de quelques entreprises privées. Au contraire, le débat d'aujourd'hui doit être l'opportunité de limiter le recours qu'en font les géants du Web et de contester l'emprise qu'ils exercent sur notre monde.

Une nouvelle distinction

Le 25 mai dernier, les États membres de l'Union européenne ont arrêté leur position sur la directive Copyright. Cette position comporte un ajout décisif en créant clairement une nouvelle catégorie d'acteurs : toute personne qui, hébergeant et diffusant un large nombre d'œuvres, organise et promeut celles-ci à des fins lucratives - qui a un « rôle actif » dans leur présentation.

Cette nouvelle catégorie est instaurée pour échapper à la protection offerte par le directive « eCommerce » de 2000, sans toutefois être soumise à un régime de responsabilité systématique. Il s'agit donc d'une catégorie intermédiaire, entre « tout » et « rien », qui pourrait résoudre nombre des problèmes apparus ces vingts dernières années. Appelons « plateformes » cette nouvelle catégorie d'acteurs car, même si le terme est aussi générique que vague, il semble être celui que la pratique et les discours officiels commencent à consacrer.

Selon la position des États membres, ces plateformes devraient être responsables des œuvres qu'elles diffusent sans l'autorisation des ayants droit si elles n'ont pas mis en place de système qui, dans la mesure de leurs moyens, aurait pu empêcher leur mise en ligne. L'idée d'un filtrage automatique tel que le « Content ID » n'est pas écartée, mais son recours y est moins explicitement visé.

De son côté, le Parlement européen arrêtera sa position le 20 juin prochain, au sein de sa commission « Affaires juridiques » (JURI). Au terme de longs débats, le rapporteur du texte, Axel Voss (PPE, Allemagne), semble vouloir reprendre les ajouts proposés par les États membres (voir ses dernières propositions publiées), ainsi qu'ajouter une précision nouvelle : la censure opérée par les plateformes ne doit pas conduire au filtrage de contenus qui ne contreviennent pas à un droit d'auteur, ni au déploiement d'une surveillance généralisée des contenus mis en ligne. La distance mise avec le filtrage automatique généralisé se dessine un peu plus. Il est cependant crucial qu'elle figure de manière explicite dans le texte final de même qu'un seuil clair soit fixé (de contenus diffusés, d'utilisateurs inscrits, etc.) de manière à avoir la certitude que le dispositif concernera surtout le problème de la centralisation.

Enfin, les propositions d'Axel Voss précisent certaines garanties contre des censures arbitraires ou abusives : un mécanisme de contestation rapide auprès de la plateforme, ainsi que la possibilité de saisir un juge afin de faire valoir des exceptions au droit d'auteur qui rendraient le filtrage injustifié. Il faudrait néanmoins aller bien plus loin, car faire peser sur les internautes la charge de saisir le juge pour faire valoir leurs droits est encore trop lourd, vu le déséquilibre des parties en présence. Mieux vaudrait inverser les règles en cas de contestation d'une demande de retrait : les contenus censurés doivent revenir en ligne quand un utilisateur estime être dans son bon droit, et c'est aux ayants droit de saisir la justice pour obtenir le retrait définitif, sous le contrôle d'un juge.

Un compromis décevant

Ces différentes propositions, au lieu de légitimer clairement le modèle de régulation automatisée qui fonde la puissance de géants du Web, pourraient au contraire commencer à l'encadrer et à en limiter les effets. Mais ne nous réjouissons pas : la régulation automatisée, plutôt que d'être mollement encadrée à la marge comme ici, devrait être entièrement déconstruite et bannie - il n'en est rien pour l'instant. De plus, la position du Parlement européen reste à faire, et celui-ci pourrait très bien retomber dans le solutionnisme technologique qui a animé tant de décisions récentes.

Jusqu'au 20 juin, La Quadrature du Net vous invite donc à appeler les eurodéputés pour exiger :

  1. que les nouvelles obligations en matière de droit d'auteur ne concernent que des hébergeurs qui hiérarchisent les contenus à des fins lucratives et qui atteignent un certain seuil fixé de manière claire ;
  2. que ces obligations ne se transforment jamais en filtrage automatisé, qui doit être clairement interdit ;
  3. que la charge de saisir la justice pour faire valoir ses droits en cas de demande de retrait pèse sur les ayants droit et non sur les internautes.

Si le texte s'arrête sur ce compromis, le pire sera peut-être évité, mais cette directive Copyright n'en restera pas moins un échec, car le débat s'est encore une fois focalisé sur des mesures répressives et régressives, alors qu'il s'agissait à la base de réfléchir les équilibres du droit d'auteur à l'heure du numérique. Cette ambition a été abandonnée avec le rejet par le Parlement européen des propositions du Rapport Reda, qui étaient elles-mêmes déjà en retrait par rapport aux propositions de la Quadrature du Net sur la réforme du droit d'auteur.

Un nouvel équilibre

Comme on l'a dit, ce débat dépasse largement celui du droit d'auteur. Il concerne la régulation des hébergeurs dans son ensemble, en matière de lutte contre les « fake news », contre la diffusion de la haine, contre la propagande terroriste, etc., tel qu'on le voit de plus en plus vivement discuté. Il concerne la façon dont chacun et chacune peut accéder au débat public, pour s'y exprimer comme s'y informer.

Tous ces enjeux connaissent un ennemi commun : la centralisation du Web, qui a enfermé la très grande majorité des internautes dans des règles uniques et rigides, qui n'ont que faire de la qualité, de la sérénité ou de la pertinence de nos échanges, n'existant que pour la plus simple recherche du profit de quelques entreprises.

L'une des principales causes de cette centralisation est le frein que le droit a longtemps posé contre l'apparition de son remède - le développement d'hébergeurs non-centralisés qui, ne se finançant pas par la surveillance et la régulation de masse, ne peuvent pas prendre le risque de lourds procès pour avoir échoué à retirer « promptement » chaque contenu « illicite » qui leur serait signalé. Des hébergeurs qui, souvent, peuvent à peine prendre le risque d'exister.

La condition du développement de tels services est que, enfin, le droit ne leur impose plus des règles qui depuis vingt ans ne sont presque plus pensées que pour quelques géants. Prévoir une nouvelle catégorie intermédiaire dédiée à ces derniers offre l'espoir de libérer l'Internet non-centralisé du cadre absurde dans lequel juges et législateurs l'ont peu à peu enfermé.

]]>
Digital labour et travail domestique : quand l’exploitation capitaliste s’étend aux hommes blancs10539 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180608_172109_Digital_labour_et_travail_domestique___quand_l___exploitation_capitaliste_s___etend_aux_hommes_blancsFri, 08 Jun 2018 15:21:09 +0000Tribune de Ag3m, membre de La Quadrature du Net

08 juin 2018 - Force est de constater bien des ponts entre les discours des défenseurs des libertés numériques et les analyses féministes intersectionnelles. Les descriptions de l’exploitation de nos données et de notre travail par les GAFAM et autres géants du Net font écho à celles de l’exploitation des femmes et des personnes racisées et minorisées. Faire le pont entre ces analyses pourrait-il nous permettre d’appuyer notre militantisme sur les réflexions et les outils créés contre la domination patriarcale et raciste, pour les adapter aux situations d’exploitation économique capitaliste plus larges ?

Utilisation des données personnelles et échange des femmes

On connait bien, parmi les militants de la défense des libertés numériques, la formule « Si c’est gratuit, c’est toi le produit ! », un adage qui cherche à visibiliser la ressource économique que constitue l’exploitation des données personnelles des utilisateurs par les sites internet, et en particulier les GAFAM.

Alors les GAFAM utiliseraient les données personnelles pour vendre des profils utilisateurs. C’est marrant, ça me rappelle d’autres situations.

Au XVIIème et XVIIIème siècle se développent les agences matrimoniales.1 Elles sont alimentées par les familles ou les employés de maison qui leur vendent des informations sur les jeunes filles à marier dans le foyer. Les agences matrimoniales récupèrent, trient, reformulent et enfin revendent ces informations sous forme de service de mise en relation pour les jeunes gens qui cherchent une épouse.

L’analyse du mariage comme mise en vente des femmes n’est pas une idée neuve. En 1947, Claude Lévi-Strauss développe la théorie générale de l’échange,2 c’est-à-dire l’idée que notre société est basée sur le principe fondamental de l’échange des femmes entre les familles. Celles-ci tissent des liens, développent leur capital économique et leur pouvoir politique en mariant les jeunes filles. Elles s’échangent ainsi les femmes, leur force de travail lorsqu’elles aident leurs maris, leur travail de tenue de la maison, de procréation, d’intimité, … Dans Caliban et la sorcière : Femmes, corps et accumulation primitive3, Sylvia Federici montre que cette exploitation des femmes se développe en même temps que le système capitaliste, comme base même de ce système où les individus sont répartis entre classes sociales où certains dépendent d’autres. Les travailleurs dépendent des propriétaires des moyens de production, les femmes dépendent des hommes, les esclaves racisés des colonies dépendent des maîtres blancs.

Revenons à l’exemple des agences matrimoniales. C’est donc tout un marché qui s’organise. Les femmes sont mises en valeur à travers la publication de leur dot, puis par les petites annonces et les agences.

Un peu plus tard, au XIXème siècle, la culture épistolaire se développe : les gens commencent à écrire et à échanger des lettres ou à tenir des journaux intimes dans lesquelles ils se racontent. Les petites annonces sont désormais écrites par les gens eux-mêmes qui se mettent en valeur, présentent leur meilleur profil, et cherchent à rencontrer la bonne personne. Facebook much ?

Les technologies numériques que nous utilisons aujourd’hui, Facebook, Instagram, Twitter, LinkedIn, ne sont donc que la continuité de cette dynamique de nous mettre en avant sous notre plus beau jour pour trouver la bonne personne. Mais cette fois, il ne s’agit plus de vendre uniquement des femmes ou des personnes racisées, mais bien n’importe quel profil utilisateur, y compris ceux des hommes blancs, cisgenres et hétérosexuels de classe bourgeoise, si habitués à pouvoir choisir plutôt qu’à être choisis.

Espace numérique et espace intime

L’espace numérique est devenu notre nouvel espace intime : celui dans lequel nous vivons quotidiennement, où nous nous racontons à nous-mêmes, à nos amis, à nos proches, et parfois à un public plus large.

De la même manière que les femmes, bien que reléguées au foyer, sont observées, surveillées dans toutes leurs actions, les utilisateurs sont étudiés, analysés, contraints à suivre les règles de la plateforme et de la communauté dans laquelle ils évoluent.

La frontière entre « privé » et « public » est ténue. Ainsi, les questions dites « privées » de la contraception, de l’avortement, du viol conjugal ont été débattues dans l’espace public. Ainsi, encore aujourd’hui, des manifestations et des débats publics continuent de discuter de ce que chacun fait chez lui, du droit à certaines sexualités ou à certaines familles d’être reconnues.

De la même manière, on juge aujourd’hui sur SnapChat de l’apparence des jeunes filles, Facebook sait qui nous avons invité chez nous et nos commentaires apparaissent sur Youporn.

On entend parfois que l’espace numérique brouille la frontière entre privé et public, et pourtant on pourrait plutôt dire qu’il rend évidente la sentence politique des féministes de la seconde vague : « le privé est politique4 ». L’espace intime, et celui des femmes en particulier, est depuis longtemps l’affaire de tous, et il est, en particulier, l’affaire d’experts masculins (politiques, médecins, …) qui savent mieux qu’elles-mêmes ce dont elles ont besoin, et ne se privent pas de les examiner constamment, parfois sans leur consentement5.

La vie privée de chacun est désormais l’affaire des algorithmes et des publicitaires. Les assistants personnels et autres mouchards s’introduisent chez nous, écoutent en permanence tout ce que nous disons (sinon comment entendre « ok Google » lorsqu’il est prononcé ?), analysent nos comportements et nous proposent des solutions avant même que nous y pensions6.

De la même manière que la mise sous tutelle des femmes s’est faite pour le bien de la société, pour les protéger et les préserver, ces nouvelles technologies sont présentées sous l’angle des services qu’elles nous rendent et de la productivité qu’elles nous apportent.

Pourtant, en pratique, entre les défenseurs de la liberté qui luttent contre l’hégémonie des GAFAM et les féministes qui veulent accéder à l’autonomie et l’empowerment, les liens ne sont pas évidents.

Digital labour et travail domestique

De la même manière le digital labour7 s’inscrit dans cette continuité de l’exploitation surveillée.

Le travail des femmes, permanent et invisible, fait tourner la société en assurant la stabilité du foyer et celle, émotionnelle, du travailleur, et donc toutes les coulisses de la société capitaliste8.

Ce travail est volontaire, non par charité, mais par dépendance. En travaillant pour leur mari, les femmes bénéficient de son statut et de ressources auxquelles elles ne peuvent pas accéder par elles-mêmes. De la même manière que les utilisateurs de Google Maps fournissent leurs données à un système dont ils dépendent entièrement et auquel ils ne peuvent pas construire d’alternatives.

Il est bien sûr possible de chercher, autant que faire se peut, des alternatives à cette situation de dépendance. En utilisant Mastodon plutôt que Twitter, Diaspora plutôt que Facebook, un fournisseur d’email associatif plutôt que Gmail… Ce faisant, les utilisateurs gagnent en indépendance, mais se privent d’un certain nombre de fonctionnalités auxquelles ont accès la majeure partie de la société. Ce faisant, ils créent un réseau, parallèle et minoritaire, et dépensent plus d’énergie et de ressources pour accéder aux fonctionnalités dont ils ont besoin, y compris en termes d’accès au réseau social ou aux informations.

Les femmes de la renaissance, pouvaient, si elles le souhaitaient, ne pas se marier. Elles devenaient alors le plus souvent vagabondes, étaient privées de ressources financières, puisque moins payées que leurs collègues masculins, voire privées d’un accès à un travail, les reléguant à des métiers en périphérie de la société : prostituées, vendeuses itinérantes, … Privées de la sécurité (relative) garantie par le système familial, elles s’exposaient également à de nombreux risques, allant jusqu’à l’accusation de sorcellerie (et donc à la condamnation à mort). Elles intégraient alors des réseaux souterrains d’entraide et d’échanges de services, qui compensaient maigrement les discriminations sociales et économiques liées à leur statut.

Les femmes mariées, elles, contribuaient (et continuent à contribuer) à la force de travail de la société. Comme les micro-travailleurs du clic aident les intelligences artificielles ou décodent du texte sur des Captcha, les femmes aidaient leurs maris à accomplir leur travail, suppléant à toutes les tâches qu’ils ne pouvaient réaliser seuls. Elles animaient la vie du foyer, le tenant propre et rangé, prenant soin qu’il soit accueillant, qu’il y ait à manger, … Tout comme les utilisateurs sont amenés à prendre soin de leurs réseaux, en participant bénévolement à la modération des forums et discussions auxquels ils participent (coucou Webedia), en alimentant de leurs contenus les différentes plateformes à leur disposition, …

Conclusion

Tant que le travail du care et de la création de contenu exploitable (tu le vois le lien avec la procréation ?) ne pourra être effectué par les robots, il restera l’apanage des femmes et, de plus en plus, il s’agira de mettre tout le monde au travail, grâce à la subdivision en micro-tâches, de l’éducation des IA à l’animation de la communauté. On pourrait penser à une démocratisation de ce travail invisible et sous-valué.

Pourtant, on reste encore dans une configuration où le travail technique reste un milieu ultra masculin, où sont reconnus et parfois rémunérés les développeurs et administrateurs systèmes, tandis que le travail invisible et quotidien, traditionnellement féminin, se répartit sur tous les « prolétaires du clic », dont le travail n’est pas ou peu rémunéré, sauf à être dans les bons cercles, à avoir le bon réseau social, bref la bonne classe sociale qui permet d’avoir de la street cred et de monnayer la reconnaissance sociale.

Entre rapports de genre et rapports de classe, les relations de pouvoir dans le monde numérique ne semble pas pouvoir se passer des outils du féminisme intersectionnel et, plus largement, d’une analyse matérialiste des rapports de pouvoirs entre tous les acteurs du Net.

Retrouver la publication originale de cette tribune sur ce blog.

]]>
Tribune de Ag3m, membre de La Quadrature du Net

08 juin 2018 - Force est de constater bien des ponts entre les discours des défenseurs des libertés numériques et les analyses féministes intersectionnelles. Les descriptions de l’exploitation de nos données et de notre travail par les GAFAM et autres géants du Net font écho à celles de l’exploitation des femmes et des personnes racisées et minorisées. Faire le pont entre ces analyses pourrait-il nous permettre d’appuyer notre militantisme sur les réflexions et les outils créés contre la domination patriarcale et raciste, pour les adapter aux situations d’exploitation économique capitaliste plus larges ?

Utilisation des données personnelles et échange des femmes

On connait bien, parmi les militants de la défense des libertés numériques, la formule « Si c’est gratuit, c’est toi le produit ! », un adage qui cherche à visibiliser la ressource économique que constitue l’exploitation des données personnelles des utilisateurs par les sites internet, et en particulier les GAFAM.

Alors les GAFAM utiliseraient les données personnelles pour vendre des profils utilisateurs. C’est marrant, ça me rappelle d’autres situations.

Au XVIIème et XVIIIème siècle se développent les agences matrimoniales.1 Elles sont alimentées par les familles ou les employés de maison qui leur vendent des informations sur les jeunes filles à marier dans le foyer. Les agences matrimoniales récupèrent, trient, reformulent et enfin revendent ces informations sous forme de service de mise en relation pour les jeunes gens qui cherchent une épouse.

L’analyse du mariage comme mise en vente des femmes n’est pas une idée neuve. En 1947, Claude Lévi-Strauss développe la théorie générale de l’échange,2 c’est-à-dire l’idée que notre société est basée sur le principe fondamental de l’échange des femmes entre les familles. Celles-ci tissent des liens, développent leur capital économique et leur pouvoir politique en mariant les jeunes filles. Elles s’échangent ainsi les femmes, leur force de travail lorsqu’elles aident leurs maris, leur travail de tenue de la maison, de procréation, d’intimité, … Dans Caliban et la sorcière : Femmes, corps et accumulation primitive3, Sylvia Federici montre que cette exploitation des femmes se développe en même temps que le système capitaliste, comme base même de ce système où les individus sont répartis entre classes sociales où certains dépendent d’autres. Les travailleurs dépendent des propriétaires des moyens de production, les femmes dépendent des hommes, les esclaves racisés des colonies dépendent des maîtres blancs.

Revenons à l’exemple des agences matrimoniales. C’est donc tout un marché qui s’organise. Les femmes sont mises en valeur à travers la publication de leur dot, puis par les petites annonces et les agences.

Un peu plus tard, au XIXème siècle, la culture épistolaire se développe : les gens commencent à écrire et à échanger des lettres ou à tenir des journaux intimes dans lesquelles ils se racontent. Les petites annonces sont désormais écrites par les gens eux-mêmes qui se mettent en valeur, présentent leur meilleur profil, et cherchent à rencontrer la bonne personne. Facebook much ?

Les technologies numériques que nous utilisons aujourd’hui, Facebook, Instagram, Twitter, LinkedIn, ne sont donc que la continuité de cette dynamique de nous mettre en avant sous notre plus beau jour pour trouver la bonne personne. Mais cette fois, il ne s’agit plus de vendre uniquement des femmes ou des personnes racisées, mais bien n’importe quel profil utilisateur, y compris ceux des hommes blancs, cisgenres et hétérosexuels de classe bourgeoise, si habitués à pouvoir choisir plutôt qu’à être choisis.

Espace numérique et espace intime

L’espace numérique est devenu notre nouvel espace intime : celui dans lequel nous vivons quotidiennement, où nous nous racontons à nous-mêmes, à nos amis, à nos proches, et parfois à un public plus large.

De la même manière que les femmes, bien que reléguées au foyer, sont observées, surveillées dans toutes leurs actions, les utilisateurs sont étudiés, analysés, contraints à suivre les règles de la plateforme et de la communauté dans laquelle ils évoluent.

La frontière entre « privé » et « public » est ténue. Ainsi, les questions dites « privées » de la contraception, de l’avortement, du viol conjugal ont été débattues dans l’espace public. Ainsi, encore aujourd’hui, des manifestations et des débats publics continuent de discuter de ce que chacun fait chez lui, du droit à certaines sexualités ou à certaines familles d’être reconnues.

De la même manière, on juge aujourd’hui sur SnapChat de l’apparence des jeunes filles, Facebook sait qui nous avons invité chez nous et nos commentaires apparaissent sur Youporn.

On entend parfois que l’espace numérique brouille la frontière entre privé et public, et pourtant on pourrait plutôt dire qu’il rend évidente la sentence politique des féministes de la seconde vague : « le privé est politique4 ». L’espace intime, et celui des femmes en particulier, est depuis longtemps l’affaire de tous, et il est, en particulier, l’affaire d’experts masculins (politiques, médecins, …) qui savent mieux qu’elles-mêmes ce dont elles ont besoin, et ne se privent pas de les examiner constamment, parfois sans leur consentement5.

La vie privée de chacun est désormais l’affaire des algorithmes et des publicitaires. Les assistants personnels et autres mouchards s’introduisent chez nous, écoutent en permanence tout ce que nous disons (sinon comment entendre « ok Google » lorsqu’il est prononcé ?), analysent nos comportements et nous proposent des solutions avant même que nous y pensions6.

De la même manière que la mise sous tutelle des femmes s’est faite pour le bien de la société, pour les protéger et les préserver, ces nouvelles technologies sont présentées sous l’angle des services qu’elles nous rendent et de la productivité qu’elles nous apportent.

Pourtant, en pratique, entre les défenseurs de la liberté qui luttent contre l’hégémonie des GAFAM et les féministes qui veulent accéder à l’autonomie et l’empowerment, les liens ne sont pas évidents.

Digital labour et travail domestique

De la même manière le digital labour7 s’inscrit dans cette continuité de l’exploitation surveillée.

Le travail des femmes, permanent et invisible, fait tourner la société en assurant la stabilité du foyer et celle, émotionnelle, du travailleur, et donc toutes les coulisses de la société capitaliste8.

Ce travail est volontaire, non par charité, mais par dépendance. En travaillant pour leur mari, les femmes bénéficient de son statut et de ressources auxquelles elles ne peuvent pas accéder par elles-mêmes. De la même manière que les utilisateurs de Google Maps fournissent leurs données à un système dont ils dépendent entièrement et auquel ils ne peuvent pas construire d’alternatives.

Il est bien sûr possible de chercher, autant que faire se peut, des alternatives à cette situation de dépendance. En utilisant Mastodon plutôt que Twitter, Diaspora plutôt que Facebook, un fournisseur d’email associatif plutôt que Gmail… Ce faisant, les utilisateurs gagnent en indépendance, mais se privent d’un certain nombre de fonctionnalités auxquelles ont accès la majeure partie de la société. Ce faisant, ils créent un réseau, parallèle et minoritaire, et dépensent plus d’énergie et de ressources pour accéder aux fonctionnalités dont ils ont besoin, y compris en termes d’accès au réseau social ou aux informations.

Les femmes de la renaissance, pouvaient, si elles le souhaitaient, ne pas se marier. Elles devenaient alors le plus souvent vagabondes, étaient privées de ressources financières, puisque moins payées que leurs collègues masculins, voire privées d’un accès à un travail, les reléguant à des métiers en périphérie de la société : prostituées, vendeuses itinérantes, … Privées de la sécurité (relative) garantie par le système familial, elles s’exposaient également à de nombreux risques, allant jusqu’à l’accusation de sorcellerie (et donc à la condamnation à mort). Elles intégraient alors des réseaux souterrains d’entraide et d’échanges de services, qui compensaient maigrement les discriminations sociales et économiques liées à leur statut.

Les femmes mariées, elles, contribuaient (et continuent à contribuer) à la force de travail de la société. Comme les micro-travailleurs du clic aident les intelligences artificielles ou décodent du texte sur des Captcha, les femmes aidaient leurs maris à accomplir leur travail, suppléant à toutes les tâches qu’ils ne pouvaient réaliser seuls. Elles animaient la vie du foyer, le tenant propre et rangé, prenant soin qu’il soit accueillant, qu’il y ait à manger, … Tout comme les utilisateurs sont amenés à prendre soin de leurs réseaux, en participant bénévolement à la modération des forums et discussions auxquels ils participent (coucou Webedia), en alimentant de leurs contenus les différentes plateformes à leur disposition, …

Conclusion

Tant que le travail du care et de la création de contenu exploitable (tu le vois le lien avec la procréation ?) ne pourra être effectué par les robots, il restera l’apanage des femmes et, de plus en plus, il s’agira de mettre tout le monde au travail, grâce à la subdivision en micro-tâches, de l’éducation des IA à l’animation de la communauté. On pourrait penser à une démocratisation de ce travail invisible et sous-valué.

Pourtant, on reste encore dans une configuration où le travail technique reste un milieu ultra masculin, où sont reconnus et parfois rémunérés les développeurs et administrateurs systèmes, tandis que le travail invisible et quotidien, traditionnellement féminin, se répartit sur tous les « prolétaires du clic », dont le travail n’est pas ou peu rémunéré, sauf à être dans les bons cercles, à avoir le bon réseau social, bref la bonne classe sociale qui permet d’avoir de la street cred et de monnayer la reconnaissance sociale.

Entre rapports de genre et rapports de classe, les relations de pouvoir dans le monde numérique ne semble pas pouvoir se passer des outils du féminisme intersectionnel et, plus largement, d’une analyse matérialiste des rapports de pouvoirs entre tous les acteurs du Net.

Retrouver la publication originale de cette tribune sur ce blog.

]]>
Surveillance : Macron lâche la bride des services de renseignement10538 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180605_170905_Surveillance___Macron_lache_la_bride_des_services_de_renseignementTue, 05 Jun 2018 15:09:05 +00005 juin 2018 — Alors que La Quadrature du Net dénonçait il y a quelques semaines l'instauration de nouvelles mesures de surveillance au nom de la lutte contre la cybercriminalité dans la loi de programmation militaire en cours d'examen au Parlement, le gouvernement d'Emmanuel Macron persiste et signe.

Cette fois, il s'agit de toucher à la loi renseignement, en ouvrant aux services de renseignement intérieurs (notamment la DGSI) les montagnes de données accumulées par la DGSE dans le cadre de son dispositif de surveillance massive des communications Internet dites « internationales ». Et parce qu'il est toujours préférable de contourner le débat public lorsqu'on touche à la surveillance d'État, c'est en catimini, par voie d'amendement, que le gouvernement a choisi de procéder, non sans compter le soutien de quelques parlementaires complices.

Déni de réalité, déni démocratique

Le 22 mai dernier au Sénat, la ministre des Armées Florence Parly présente dans l'hémicycle un amendement au projet de loi de programmation militaire, déjà adopté en première lecture à l'Assemblée. À première vue, c'est sensible, puisqu'il s'agit de toucher au livre VIII du code de la sécurité intérieure, celui qui encadre les activités des services de renseignement. Mais la ministre se veut rassurante :

« Le Gouvernement ne souhaite évidemment pas, par le biais d’un amendement au détour du projet de loi relatif à la programmation militaire, remettre sur le métier la loi relative au renseignement. C’est un chantier qui nous occupera plutôt en 2020 et auquel il paraît indispensable d’associer étroitement la délégation parlementaire au renseignement, la DPR.

Je vous propose donc, mesdames, messieurs les sénateurs, de permettre simplement une utilisation plus rationnelle des données légalement recueillies dans le cadre de la surveillance des communications internationale. Nous ne donnons pas aux services de nouveaux moyens de collecte ni ne modifions en profondeur les équilibres retenus en 2015 ».

Il s'agit donc d'être « rationnel » sans toucher aux « équilibres retenus en 2015 » – équilibres déjà bien précaires et dûment attaqués devant les juridictions françaises et européennes1. Un petit patch bureaucratique pour faire en sorte de fluidifier le travail des services et qui, comme nous l'apprend la ministre, a été validé par la Commission nationale de contrôle des techniques de renseignement (la CNCTR) et par le Conseil d'État dans leurs avis respectifs sur l'amendement proposé.

Sauf que ces propos tiennent plus du déni de réalité, voire d'une volonté manifeste de tromper son monde. Car loin d'être anecdotique, l'amendement transforme radicalement les fameux « équilibres » de la loi renseignement.



OOOoops
Serveurs du Groupement Interministériel de Contrôle, basé aux Invalides (Bruno Coutier - L'Obs)


Surveillance intérieure / surveillance extérieure

Pour le comprendre, quelques rappels sont de rigueur.

Traditionnellement, les activités de surveillance d'un État envers les personnes résidant sur son territoire sont plus étroitement encadrées que les activités de surveillance dite « internationale », c'est-à-dire celle touchant des personnes situées hors du territoire national. C'est donc dans le cadre des activités de surveillance internationale que les programmes de surveillance les plus « massifs » se sont d'abord développés (par exemple le programme UPSTREAM de la NSA, le programme TEMPORA du GCHQ britannique, ou le programme similaire lancé à partir de 2008 par la DGSE française pour collecter à grande échelle le trafic Internet au niveau des câbles sous-marins, et l'exploiter à l'envie par la suite2).

Dans les hautes sphères de l'État, ce principe continue d'être défendu. Ainsi, dans son rapport annuel de 2014 sur les libertés à l'ère numérique, le Conseil d'État notait :

« Le fait que les garanties entourant l’interception des communications soient moindres lorsqu’elles se situent à l’étranger plutôt que sur le territoire se justifie (...). (...) Dès lors que les personnes situées à l’étranger échappent à la juridiction de l’État, l’interception de leurs communications n’est pas susceptible de porter atteinte à leurs droits dans la même mesure que si elles se situaient sur le territoire ; elles ne peuvent en particulier faire l’objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés »3.

C'est en vertu de ces arguments que, en 2015, la loi renseignement a prévu un régime juridique beaucoup plus lâche pour la surveillance internationale : le Premier ministre autorise l'interception non-ciblée de vastes quantités de données associées à une région du monde, à des organisations, groupes de personne, etc. ; ces données sont conservées pendant beaucoup plus longtemps que dans le cadre de la surveillance nationale ; elles peuvent faire l'objet d'analyse « en masse » des données via des traitements « Big Data » (ce que, soit dit en passant, la DGSI a également commencé à faire depuis quelques mois grâce aux algorithmes de Palantir sur les données saisies dans le cadre de l'état d'urgence, et ce en dehors de tout cadre juridique4).

Or, comme le rappelait dès 2013 la coalition internationale « Necessary and Proportionate » en réponse aux révélations d'Edward Snowden, cette distinction national/international n'a plus lieu d'être. À l'heure où les communications Internet sont par nature transfrontières (même lorsque j'échange un mail avec ma voisine, il est probable qu'il transite via l'étranger), et où les doctrines du renseignement font de moins en moins la différence entre menace extérieure et « ennemi intérieur », les arguments qui la fondent sont caducs. En outre, comme le rappelaient La Quadrature du Net, FFDN et FDN dans leur mémoire envoyé en 2015 au Conseil constitutionnel alors que celui-ci se penchait sur la loi renseignement, cette distinction revient au plan juridique à bafouer l'universalité des droits5. De notre point de vue, il s'agirait donc d'abolir tout simplement le régime dérogatoire de surveillance internationale pour faire appliquer à toutes et tous le régime le plus protecteur : celui associé à la surveillance nationale.

L'extension du régime dérogatoire de la surveillance internationale

Mais, comme on pouvait le redouter, non seulement le régime de la surveillance internationale tient bon, mais il est en fait en train de devenir le dénominateur commun pour l'ensemble du champ du renseignement.

Certes, dès 2015, la loi renseignement ouvrait la voix à de telles évolutions. Les dispositions régulant les usages du puissant système de surveillance de la DGSE prévoyaient déjà la possibilité de surveiller des communications « rattachables au territoire national » (via leurs identifiants techniques comme l'adresse IP ou le numéro de téléphone) dès lors que les communications en question traversaient les frontières. Mais à ce jour ces formes de surveillance étaient uniquement possible pour les résidents français situés hors du territoire national.

Ici, il s'agit d'aller encore plus loin. En vertu de l'amendement adopté au Sénat, et comme l'explique la ministre :

« Nous voulons d’abord permettre l’exploitation des données d’un identifiant technique rattachable au territoire national interceptées dans le cadre de la surveillance des communications internationales, alors même que son utilisateur est en France6

Il s'agit notamment d'ouvrir aux services de renseignement intérieur les vannes du vaste système de surveillance déployé par la DGSE depuis 2008, et dans lequel l'État a depuis investi près de 1,5 milliards d'euros. Cela permet en effet d'accéder à quantité de données qui, dans le cadre strictement national, étaient plus difficilement exploitables7.

Remonter le passé pour confirmer des suspicions

Mais ce n'est pas tout. Le gouvernement a également souhaité autoriser des opérations de surveillance dites de « levée de doute ». Et la ministre d'expliquer :

« La levée de doute prendra la forme d’une vérification ponctuelle sur les données de connexion légalement interceptées dans le cadre de la surveillance des communications internationales.

Il s’agit d’opérations très rapides, non répétées et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne, qui pourra alors être surveillée si elle présente une menace. Dès que la vérification fera apparaître la nécessité d’une surveillance, l’exploitation des communications ne pourra être poursuivie que via les techniques de renseignement inscrites dans la loi de 2015 ».

En gros, les services utilisent un ou plusieurs « sélecteurs » ou « identifiants » correspondant à des personnes ou groupes de personnes situés à l'étranger, avec lesquels on va sonder les bases de données pour établir le graphe social et tenter de faire émerger les données de suspects résidant en France8. On peut ensuite se livrer à une surveillance plus poussée de ces suspects dans le cadre du régime de surveillance nationale (en demandant par exemple une autorisation pour procéder à une interception de sécurité)9.

L'amendement inaugure également deux régimes dérogatoires à ce dispositif de « levée de doute », qui permettent non pas de constituer ces graphes à partir d'identifiants « étrangers », mais à partir d'identifiants directement rattachables au territoire national : l'un en cas de « menace terroriste urgente », l'autre s'agissant « d'éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation »10.

Au plan opérationnel, ces opérations de levée de doutes poursuivent la même logique « exploratoire » que les boîtes noires de l'article L. 851-3 ou la surveillance en temps réel des données de connexion du L. 851-2 (elle aussi sont des manières de repérer des signaux faibles, en préalable d'une surveillance plus poussée). Sauf qu'il s'agit cette fois de sonder les données conservées massivement dans les data-centers de la DGSE, et non de faire de la surveillance de flux en « temps réel ». Pour rappel, une fois collectées, les métadonnées des résidents français sont conservées quatre ans par les services...

La fuite en avant de la surveillance

Quand un outil technique existe, il n'y a aucune raison de ne pas l'utiliser à fond... C'est en tous cas la position des caciques du renseignement et des responsables politiques qui président à ces activités secrètes, et qui estiment nécessaire de mettre au service du renseignement intérieur les vastes dispositifs de surveillance de la DGSE. La fin justifie les moyens, et tant pis pour l'État de droit.

Ni le gouvernement, ni la CNCTR, ni le Conseil d'État n'ont donc de problème à s'asseoir sur les arguments qu'ils invoquaient il y a tout juste trois ans pour justifier l'instauration d'un régime dérogatoire pour la surveillance internationale11, à savoir que celle ci ne concernait que des personnes situées hors du territoire, et donc échappant a priori au pouvoir coercitif de l'État. Aujourd'hui, ils rendent ce régime dérogatoire toujours plus poreux à la surveillance des résidents français, en permettant au renseignement intérieur de piocher allégrement dans les bases de données de la DGSE. Avec cet amendement, il devient par exemple possible de retracer d'un seul coup l'historique des communications d'un résident français en remontant quatre ans en arrière, là où le régime de surveillance nationale permettait de récolter des métadonnées vieilles d'un an maximum auprès des opérateurs et de quantité d'hébergeurs. On change clairement de dimension.

Le plus choquant, c'est peut être que le gouvernement refuse de reconnaître l'importance de ces évolutions, en prétendant qu'il ne s'agit que de quelques aménagements techniques. Cette manière de procéder du gouvernement Macron – qui semble chercher à étouffer à tout prix le débat – devrait justifier à elle seule que les parlementaires s'opposent à cet amendement scélérat (la Commission mixte paritaire composée de députés et de sénateurs se réunit bientôt pour finaliser le texte).

Malgré quelques maigres avancées en termes de transparence dont témoigne notamment le dernier rapport de la CNCTR, cette affaire illustre bien l'immaturité démocratique persistante du renseignement français. Alors que la ministre promet une révision plus en profondeur de la loi renseignement pour 2020, on peut d'ores et déjà s'attendre au pire...

  • 1. S'agissant des recours dans lesquels La Quadrature intervient, voir : https://exegetes.eu.org/dossiers/renseignement/index.html
  • 2. JAUVERT, Vincent, 2015. Comment la France écoute (aussi) le monde. In : L’Obs [en ligne]. 1 juillet 2015. Disponible à l’adresse : http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html.
  • 3. RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux [en ligne]. Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État. Disponible à l’adresse : http://www.ladocumentationfrancaise.fr/rapports-publics/144000541/index.shtml.
  • 4. C'est apparemment cette collaboration DGSI-Palantir qui a poussé les rédacteurs du rapport Villani sur l'intelligence artificielle (IA) à envisager des « dérogations » pour promouvoir des « expérimentations » sur l'usage de l'IA dans le champ du renseignement. Il n'est pas question de les encadrer dans la loi mais de les faire sous le contrôle d'autorités comme la CNCTR, ce qui est tout simplement illégal.
  • 5. Voir la section 9.4.2, p.age 74, du mémoire Amicus Curiae. Disponible à l'adresse : https://exegetes.eu.org/recours/amicusrenseignement/2015-06-25-Amicus-Curiae-Version-Greffe-CC.pdf
  • 6. Nous soulignons. L'amendement est rédigé comme suit :
    V. – Par dérogation au troisième alinéa de l’article L. 854-1 et pour la défense ou la promotion des finalités mentionnées aux 1° , 2° , 4° , 6° et 7° de l’article L. 811-3, le Premier ministre ou l’un de ses délégués peut, dans les conditions prévues au III, délivrer une autorisation d’exploitation de communications, ou de seules données de connexion interceptées, de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national dont l’utilisateur communique depuis ce territoire.
    « Le nombre maximal des autorisations d’exploitation, en vigueur simultanément et portant sur des correspondances, est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. La décision fixant ce contingent et sa répartition entre les ministres mentionnés au premier alinéa de l’article L. 821-2 sont portées à la connaissance de la commission ».
    (...)
    « Les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir, lorsque la décision d’autorisation le prévoit, autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales, dans la limite de la portée de ces autorisations et dans le respect des garanties qui les entourent. »
  • 7. L'exposé des motifs évoque notamment le fait que, si « les données interceptées [par la DGSE] sont partielles », elles présentent un intérêt d’autant plus important qu’y figurent des données que l’on ne peut obtenir par réquisition auprès des opérateurs, notamment celles des messageries cryptées ». On peut ainsi supposer que le relevé des seules données de connexion dans le système de la DGSE permet de retracer l'ensemble d'un historique de navigation Internet (protocoles utilisés, services consultés, etc.) alors que du côté d'un opérateur fixe dans le cadre de la surveillance nationale, permettra seulement d'identifier l'internaute concerné et les adresses IP utilisées ainsi que ses « fadettes » téléphoniques.
  • 8. « IV. – L’autorisation prévue au III vaut autorisation d’effectuer au sein des données de connexion interceptées des vérifications ponctuelles aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, organisations ou personnes mentionnés au 3° du III.
  • 9. (...) « Lorsque les vérifications ponctuelles mentionnées aux alinéas précédents font apparaître la nécessité d’une surveillance, l’exploitation des communications, ou des seules données de connexion interceptées, ne peut être poursuivie que sur le fondement d’une autorisation obtenue en application des chapitres I ou II du présent titre ou du V du présent article, dans le respect des règles qui leur sont propres.
  • 10. « A la seule fin de détecter, de manière urgente, une menace terroriste, cette vérification ponctuelle peut porter sur les communications de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national. Ces numéros et identifiants sont immédiatement communiqués au Premier ministre et à la Commission nationale de contrôle des techniques de renseignement, pour les besoins du contrôle prévu à l’article L. 854-9.

    « Des vérifications ponctuelles peuvent également être mises en œuvre pour détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation mentionnés au 1° de l’article L. 811-3.

  • 11. Comble de l'hypocrisie, cet argument est d'ailleurs rappelé par le gouvernement dans l'exposé des motifs de l'amendement ! D'après le texte en effet, «  les exigences liées à l'exercice des libertés constitutionnellement garanties ne peuvent être les mêmes pour une personne résidant sur le territoire de la République et pour une personne résidant à l'étranger. Celle-ci échappant à la juridiction de l'Etat, elle ne peut en particulier faire l'objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés ».
]]>
5 juin 2018 — Alors que La Quadrature du Net dénonçait il y a quelques semaines l'instauration de nouvelles mesures de surveillance au nom de la lutte contre la cybercriminalité dans la loi de programmation militaire en cours d'examen au Parlement, le gouvernement d'Emmanuel Macron persiste et signe.

Cette fois, il s'agit de toucher à la loi renseignement, en ouvrant aux services de renseignement intérieurs (notamment la DGSI) les montagnes de données accumulées par la DGSE dans le cadre de son dispositif de surveillance massive des communications Internet dites « internationales ». Et parce qu'il est toujours préférable de contourner le débat public lorsqu'on touche à la surveillance d'État, c'est en catimini, par voie d'amendement, que le gouvernement a choisi de procéder, non sans compter le soutien de quelques parlementaires complices.

Déni de réalité, déni démocratique

Le 22 mai dernier au Sénat, la ministre des Armées Florence Parly présente dans l'hémicycle un amendement au projet de loi de programmation militaire, déjà adopté en première lecture à l'Assemblée. À première vue, c'est sensible, puisqu'il s'agit de toucher au livre VIII du code de la sécurité intérieure, celui qui encadre les activités des services de renseignement. Mais la ministre se veut rassurante :

« Le Gouvernement ne souhaite évidemment pas, par le biais d’un amendement au détour du projet de loi relatif à la programmation militaire, remettre sur le métier la loi relative au renseignement. C’est un chantier qui nous occupera plutôt en 2020 et auquel il paraît indispensable d’associer étroitement la délégation parlementaire au renseignement, la DPR.

Je vous propose donc, mesdames, messieurs les sénateurs, de permettre simplement une utilisation plus rationnelle des données légalement recueillies dans le cadre de la surveillance des communications internationale. Nous ne donnons pas aux services de nouveaux moyens de collecte ni ne modifions en profondeur les équilibres retenus en 2015 ».

Il s'agit donc d'être « rationnel » sans toucher aux « équilibres retenus en 2015 » – équilibres déjà bien précaires et dûment attaqués devant les juridictions françaises et européennes1. Un petit patch bureaucratique pour faire en sorte de fluidifier le travail des services et qui, comme nous l'apprend la ministre, a été validé par la Commission nationale de contrôle des techniques de renseignement (la CNCTR) et par le Conseil d'État dans leurs avis respectifs sur l'amendement proposé.

Sauf que ces propos tiennent plus du déni de réalité, voire d'une volonté manifeste de tromper son monde. Car loin d'être anecdotique, l'amendement transforme radicalement les fameux « équilibres » de la loi renseignement.



OOOoops
Serveurs du Groupement Interministériel de Contrôle, basé aux Invalides (Bruno Coutier - L'Obs)


Surveillance intérieure / surveillance extérieure

Pour le comprendre, quelques rappels sont de rigueur.

Traditionnellement, les activités de surveillance d'un État envers les personnes résidant sur son territoire sont plus étroitement encadrées que les activités de surveillance dite « internationale », c'est-à-dire celle touchant des personnes situées hors du territoire national. C'est donc dans le cadre des activités de surveillance internationale que les programmes de surveillance les plus « massifs » se sont d'abord développés (par exemple le programme UPSTREAM de la NSA, le programme TEMPORA du GCHQ britannique, ou le programme similaire lancé à partir de 2008 par la DGSE française pour collecter à grande échelle le trafic Internet au niveau des câbles sous-marins, et l'exploiter à l'envie par la suite2).

Dans les hautes sphères de l'État, ce principe continue d'être défendu. Ainsi, dans son rapport annuel de 2014 sur les libertés à l'ère numérique, le Conseil d'État notait :

« Le fait que les garanties entourant l’interception des communications soient moindres lorsqu’elles se situent à l’étranger plutôt que sur le territoire se justifie (...). (...) Dès lors que les personnes situées à l’étranger échappent à la juridiction de l’État, l’interception de leurs communications n’est pas susceptible de porter atteinte à leurs droits dans la même mesure que si elles se situaient sur le territoire ; elles ne peuvent en particulier faire l’objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés »3.

C'est en vertu de ces arguments que, en 2015, la loi renseignement a prévu un régime juridique beaucoup plus lâche pour la surveillance internationale : le Premier ministre autorise l'interception non-ciblée de vastes quantités de données associées à une région du monde, à des organisations, groupes de personne, etc. ; ces données sont conservées pendant beaucoup plus longtemps que dans le cadre de la surveillance nationale ; elles peuvent faire l'objet d'analyse « en masse » des données via des traitements « Big Data » (ce que, soit dit en passant, la DGSI a également commencé à faire depuis quelques mois grâce aux algorithmes de Palantir sur les données saisies dans le cadre de l'état d'urgence, et ce en dehors de tout cadre juridique4).

Or, comme le rappelait dès 2013 la coalition internationale « Necessary and Proportionate » en réponse aux révélations d'Edward Snowden, cette distinction national/international n'a plus lieu d'être. À l'heure où les communications Internet sont par nature transfrontières (même lorsque j'échange un mail avec ma voisine, il est probable qu'il transite via l'étranger), et où les doctrines du renseignement font de moins en moins la différence entre menace extérieure et « ennemi intérieur », les arguments qui la fondent sont caducs. En outre, comme le rappelaient La Quadrature du Net, FFDN et FDN dans leur mémoire envoyé en 2015 au Conseil constitutionnel alors que celui-ci se penchait sur la loi renseignement, cette distinction revient au plan juridique à bafouer l'universalité des droits5. De notre point de vue, il s'agirait donc d'abolir tout simplement le régime dérogatoire de surveillance internationale pour faire appliquer à toutes et tous le régime le plus protecteur : celui associé à la surveillance nationale.

L'extension du régime dérogatoire de la surveillance internationale

Mais, comme on pouvait le redouter, non seulement le régime de la surveillance internationale tient bon, mais il est en fait en train de devenir le dénominateur commun pour l'ensemble du champ du renseignement.

Certes, dès 2015, la loi renseignement ouvrait la voix à de telles évolutions. Les dispositions régulant les usages du puissant système de surveillance de la DGSE prévoyaient déjà la possibilité de surveiller des communications « rattachables au territoire national » (via leurs identifiants techniques comme l'adresse IP ou le numéro de téléphone) dès lors que les communications en question traversaient les frontières. Mais à ce jour ces formes de surveillance étaient uniquement possible pour les résidents français situés hors du territoire national.

Ici, il s'agit d'aller encore plus loin. En vertu de l'amendement adopté au Sénat, et comme l'explique la ministre :

« Nous voulons d’abord permettre l’exploitation des données d’un identifiant technique rattachable au territoire national interceptées dans le cadre de la surveillance des communications internationales, alors même que son utilisateur est en France6

Il s'agit notamment d'ouvrir aux services de renseignement intérieur les vannes du vaste système de surveillance déployé par la DGSE depuis 2008, et dans lequel l'État a depuis investi près de 1,5 milliards d'euros. Cela permet en effet d'accéder à quantité de données qui, dans le cadre strictement national, étaient plus difficilement exploitables7.

Remonter le passé pour confirmer des suspicions

Mais ce n'est pas tout. Le gouvernement a également souhaité autoriser des opérations de surveillance dites de « levée de doute ». Et la ministre d'expliquer :

« La levée de doute prendra la forme d’une vérification ponctuelle sur les données de connexion légalement interceptées dans le cadre de la surveillance des communications internationales.

Il s’agit d’opérations très rapides, non répétées et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne, qui pourra alors être surveillée si elle présente une menace. Dès que la vérification fera apparaître la nécessité d’une surveillance, l’exploitation des communications ne pourra être poursuivie que via les techniques de renseignement inscrites dans la loi de 2015 ».

En gros, les services utilisent un ou plusieurs « sélecteurs » ou « identifiants » correspondant à des personnes ou groupes de personnes situés à l'étranger, avec lesquels on va sonder les bases de données pour établir le graphe social et tenter de faire émerger les données de suspects résidant en France8. On peut ensuite se livrer à une surveillance plus poussée de ces suspects dans le cadre du régime de surveillance nationale (en demandant par exemple une autorisation pour procéder à une interception de sécurité)9.

L'amendement inaugure également deux régimes dérogatoires à ce dispositif de « levée de doute », qui permettent non pas de constituer ces graphes à partir d'identifiants « étrangers », mais à partir d'identifiants directement rattachables au territoire national : l'un en cas de « menace terroriste urgente », l'autre s'agissant « d'éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation »10.

Au plan opérationnel, ces opérations de levée de doutes poursuivent la même logique « exploratoire » que les boîtes noires de l'article L. 851-3 ou la surveillance en temps réel des données de connexion du L. 851-2 (elle aussi sont des manières de repérer des signaux faibles, en préalable d'une surveillance plus poussée). Sauf qu'il s'agit cette fois de sonder les données conservées massivement dans les data-centers de la DGSE, et non de faire de la surveillance de flux en « temps réel ». Pour rappel, une fois collectées, les métadonnées des résidents français sont conservées quatre ans par les services...

La fuite en avant de la surveillance

Quand un outil technique existe, il n'y a aucune raison de ne pas l'utiliser à fond... C'est en tous cas la position des caciques du renseignement et des responsables politiques qui président à ces activités secrètes, et qui estiment nécessaire de mettre au service du renseignement intérieur les vastes dispositifs de surveillance de la DGSE. La fin justifie les moyens, et tant pis pour l'État de droit.

Ni le gouvernement, ni la CNCTR, ni le Conseil d'État n'ont donc de problème à s'asseoir sur les arguments qu'ils invoquaient il y a tout juste trois ans pour justifier l'instauration d'un régime dérogatoire pour la surveillance internationale11, à savoir que celle ci ne concernait que des personnes situées hors du territoire, et donc échappant a priori au pouvoir coercitif de l'État. Aujourd'hui, ils rendent ce régime dérogatoire toujours plus poreux à la surveillance des résidents français, en permettant au renseignement intérieur de piocher allégrement dans les bases de données de la DGSE. Avec cet amendement, il devient par exemple possible de retracer d'un seul coup l'historique des communications d'un résident français en remontant quatre ans en arrière, là où le régime de surveillance nationale permettait de récolter des métadonnées vieilles d'un an maximum auprès des opérateurs et de quantité d'hébergeurs. On change clairement de dimension.

Le plus choquant, c'est peut être que le gouvernement refuse de reconnaître l'importance de ces évolutions, en prétendant qu'il ne s'agit que de quelques aménagements techniques. Cette manière de procéder du gouvernement Macron – qui semble chercher à étouffer à tout prix le débat – devrait justifier à elle seule que les parlementaires s'opposent à cet amendement scélérat (la Commission mixte paritaire composée de députés et de sénateurs se réunit bientôt pour finaliser le texte).

Malgré quelques maigres avancées en termes de transparence dont témoigne notamment le dernier rapport de la CNCTR, cette affaire illustre bien l'immaturité démocratique persistante du renseignement français. Alors que la ministre promet une révision plus en profondeur de la loi renseignement pour 2020, on peut d'ores et déjà s'attendre au pire...

  • 1. S'agissant des recours dans lesquels La Quadrature intervient, voir : https://exegetes.eu.org/dossiers/renseignement/index.html
  • 2. JAUVERT, Vincent, 2015. Comment la France écoute (aussi) le monde. In : L’Obs [en ligne]. 1 juillet 2015. Disponible à l’adresse : http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html.
  • 3. RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux [en ligne]. Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État. Disponible à l’adresse : http://www.ladocumentationfrancaise.fr/rapports-publics/144000541/index.shtml.
  • 4. C'est apparemment cette collaboration DGSI-Palantir qui a poussé les rédacteurs du rapport Villani sur l'intelligence artificielle (IA) à envisager des « dérogations » pour promouvoir des « expérimentations » sur l'usage de l'IA dans le champ du renseignement. Il n'est pas question de les encadrer dans la loi mais de les faire sous le contrôle d'autorités comme la CNCTR, ce qui est tout simplement illégal.
  • 5. Voir la section 9.4.2, p.age 74, du mémoire Amicus Curiae. Disponible à l'adresse : https://exegetes.eu.org/recours/amicusrenseignement/2015-06-25-Amicus-Curiae-Version-Greffe-CC.pdf
  • 6. Nous soulignons. L'amendement est rédigé comme suit :
    V. – Par dérogation au troisième alinéa de l’article L. 854-1 et pour la défense ou la promotion des finalités mentionnées aux 1° , 2° , 4° , 6° et 7° de l’article L. 811-3, le Premier ministre ou l’un de ses délégués peut, dans les conditions prévues au III, délivrer une autorisation d’exploitation de communications, ou de seules données de connexion interceptées, de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national dont l’utilisateur communique depuis ce territoire.
    « Le nombre maximal des autorisations d’exploitation, en vigueur simultanément et portant sur des correspondances, est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. La décision fixant ce contingent et sa répartition entre les ministres mentionnés au premier alinéa de l’article L. 821-2 sont portées à la connaissance de la commission ».
    (...)
    « Les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir, lorsque la décision d’autorisation le prévoit, autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales, dans la limite de la portée de ces autorisations et dans le respect des garanties qui les entourent. »
  • 7. L'exposé des motifs évoque notamment le fait que, si « les données interceptées [par la DGSE] sont partielles », elles présentent un intérêt d’autant plus important qu’y figurent des données que l’on ne peut obtenir par réquisition auprès des opérateurs, notamment celles des messageries cryptées ». On peut ainsi supposer que le relevé des seules données de connexion dans le système de la DGSE permet de retracer l'ensemble d'un historique de navigation Internet (protocoles utilisés, services consultés, etc.) alors que du côté d'un opérateur fixe dans le cadre de la surveillance nationale, permettra seulement d'identifier l'internaute concerné et les adresses IP utilisées ainsi que ses « fadettes » téléphoniques.
  • 8. « IV. – L’autorisation prévue au III vaut autorisation d’effectuer au sein des données de connexion interceptées des vérifications ponctuelles aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, organisations ou personnes mentionnés au 3° du III.
  • 9. (...) « Lorsque les vérifications ponctuelles mentionnées aux alinéas précédents font apparaître la nécessité d’une surveillance, l’exploitation des communications, ou des seules données de connexion interceptées, ne peut être poursuivie que sur le fondement d’une autorisation obtenue en application des chapitres I ou II du présent titre ou du V du présent article, dans le respect des règles qui leur sont propres.
  • 10. « A la seule fin de détecter, de manière urgente, une menace terroriste, cette vérification ponctuelle peut porter sur les communications de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national. Ces numéros et identifiants sont immédiatement communiqués au Premier ministre et à la Commission nationale de contrôle des techniques de renseignement, pour les besoins du contrôle prévu à l’article L. 854-9.

    « Des vérifications ponctuelles peuvent également être mises en œuvre pour détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation mentionnés au 1° de l’article L. 811-3.

  • 11. Comble de l'hypocrisie, cet argument est d'ailleurs rappelé par le gouvernement dans l'exposé des motifs de l'amendement ! D'après le texte en effet, «  les exigences liées à l'exercice des libertés constitutionnellement garanties ne peuvent être les mêmes pour une personne résidant sur le territoire de la République et pour une personne résidant à l'étranger. Celle-ci échappant à la juridiction de l'Etat, elle ne peut en particulier faire l'objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés ».
]]>
Dépôt des plaintes collectives contre les GAFAM !10532 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180528_154448_Depot_des_plaintes_collectives_contre_les_GAFAM__Mon, 28 May 2018 13:44:48 +000028 mai 2018 - La Quadrature du Net vient d'envoyer à la CNIL cinq plaintes contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn.

Voilà six semaines que nous avons lancé notre campagne pour vous inviter à rejoindre nos plaintes contre les GAFAM. Et ces six semaines ont suffi à réunir plus de 12 000 d'entre vous autour de ces plaintes collectives ! Pour comparer, en une année entière, celle de 2017, la CNIL a été saisie de 8 360 plaintes individuelles.

Où allons-nous, maintenant ? D'ici un mois au mieux, la CNIL devrait rendre une première décision pour répartir les différentes plaintes entre les autorités de plusieurs États européens. C'est désormais la règle avec le règlement général sur la protection des données (RGPD) : si une entreprise collecte des données sur plusieurs pays, les CNIL de tous ces pays doivent collaborer pour trouver une décision commune (ce qui évite le forum shopping, et pourrait donc être une assez bonne nouveauté si tout se passe bien). La CNIL d'un de ces États (celui où l'entreprise a le centre de ses activités dans l'Union européenne) est ainsi désignée « autorité chef de file » et est chargée de conduire l'instruction et d'animer cette coopération.

Mis à part la plainte dirigée contre Amazon qui partira au Luxembourg, toutes les autres seront très probablement réceptionnées par l'autorité irlandaise. Celle-ci ayant déjà pas mal à faire avec les instructions en cours contre les nombreux GAFAM qu'elle surveille habituellement, il nous a semblé plus sage de ne pas immédiatement la submerger de toutes nos plaintes : mieux vaut obtenir de bonnes décisions ciblées et faire jurisprudence le plus rapidement possible.

Nous avons donc choisi d'ouvrir le feu en attaquant 7 des 12 services initialement visés, et d'attendre un peu de voir comment les choses évoluent avant de lancer la procédure contre les 5 services restants (Whatsapp, Instagram, Android, Outlook et Skype). La procédure de coopération entre les CNIL européennes prendra de bien nombreux mois : inutile de se précipiter dès le début :)

Les premières plaintes sont accessibles en ligne et, évidemment, librement réutilisables par n'importe qui voulant s'en inspirer pour attaquer des GAFAM ou tant d'autres :

  1. Facebook ;
  2. Google (Gmail, Youtube, Search) ;
  3. Apple ;
  4. Amazon ;
  5. LinkedIn.

Il faut aussi remercier les dizaines d'entre vous qui avez participé à la rédaction collective de ces plaintes bien complexes ! Merci ! Et un grand merci encore à toutes celles et ceux qui ont su faire tant parler de la campagne au cours de ces dernières semaines !

Enfin, pour voir au-delà de nos avancées à nous, saluons l'action initiée par nos amis de chez NOYB (None Of Your Business) qui, le 25 mai dernier, dès l'entrée en application du RGPD, ont déposé quatre plaintes un peu partout en Europe contre Android, Instagram, Whatsapp et Facebook, se fondant sur le même argument que celui ayant animé toute nos actions : exiger un « consentement libre » pour rejeter l'idée d'une marchandisation de nos données personnelles. Bravo à vous !

]]>
28 mai 2018 - La Quadrature du Net vient d'envoyer à la CNIL cinq plaintes contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn.

Voilà six semaines que nous avons lancé notre campagne pour vous inviter à rejoindre nos plaintes contre les GAFAM. Et ces six semaines ont suffi à réunir plus de 12 000 d'entre vous autour de ces plaintes collectives ! Pour comparer, en une année entière, celle de 2017, la CNIL a été saisie de 8 360 plaintes individuelles.

Où allons-nous, maintenant ? D'ici un mois au mieux, la CNIL devrait rendre une première décision pour répartir les différentes plaintes entre les autorités de plusieurs États européens. C'est désormais la règle avec le règlement général sur la protection des données (RGPD) : si une entreprise collecte des données sur plusieurs pays, les CNIL de tous ces pays doivent collaborer pour trouver une décision commune (ce qui évite le forum shopping, et pourrait donc être une assez bonne nouveauté si tout se passe bien). La CNIL d'un de ces États (celui où l'entreprise a le centre de ses activités dans l'Union européenne) est ainsi désignée « autorité chef de file » et est chargée de conduire l'instruction et d'animer cette coopération.

Mis à part la plainte dirigée contre Amazon qui partira au Luxembourg, toutes les autres seront très probablement réceptionnées par l'autorité irlandaise. Celle-ci ayant déjà pas mal à faire avec les instructions en cours contre les nombreux GAFAM qu'elle surveille habituellement, il nous a semblé plus sage de ne pas immédiatement la submerger de toutes nos plaintes : mieux vaut obtenir de bonnes décisions ciblées et faire jurisprudence le plus rapidement possible.

Nous avons donc choisi d'ouvrir le feu en attaquant 7 des 12 services initialement visés, et d'attendre un peu de voir comment les choses évoluent avant de lancer la procédure contre les 5 services restants (Whatsapp, Instagram, Android, Outlook et Skype). La procédure de coopération entre les CNIL européennes prendra de bien nombreux mois : inutile de se précipiter dès le début :)

Les premières plaintes sont accessibles en ligne et, évidemment, librement réutilisables par n'importe qui voulant s'en inspirer pour attaquer des GAFAM ou tant d'autres :

  1. Facebook ;
  2. Google (Gmail, Youtube, Search) ;
  3. Apple ;
  4. Amazon ;
  5. LinkedIn.

Il faut aussi remercier les dizaines d'entre vous qui avez participé à la rédaction collective de ces plaintes bien complexes ! Merci ! Et un grand merci encore à toutes celles et ceux qui ont su faire tant parler de la campagne au cours de ces dernières semaines !

Enfin, pour voir au-delà de nos avancées à nous, saluons l'action initiée par nos amis de chez NOYB (None Of Your Business) qui, le 25 mai dernier, dès l'entrée en application du RGPD, ont déposé quatre plaintes un peu partout en Europe contre Android, Instagram, Whatsapp et Facebook, se fondant sur le même argument que celui ayant animé toute nos actions : exiger un « consentement libre » pour rejeter l'idée d'une marchandisation de nos données personnelles. Bravo à vous !

]]>
Le RGPD va rebooter Internet : ouvrons le combat10521 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180525_130949_Le_RGPD_va_rebooter_Internet___ouvrons_le_combatFri, 25 May 2018 11:09:49 +0000Tribune de Marne et Arthur, instigateurs de la campagne de plaintes collectives contre les GAFAM

25 mai 2018 - Avant-hier, Emmanuel Macron recevait son homologue Mark Zuckerberg, symbole défait d'un monde dont le glas a sonné ce matin. Sous les traits forcés du dynamisme et de l'innovation, Macron, ne comprenant rien à son époque, fait la cour à des puissances dont le modèle, aussi dépassé qu'illégal, prendra bientôt fin. Les seules structures qui compteront à l'avenir seront les nôtres : celles de l'Internet libre et décentralisé, établies et régulées par le peuple lui-même. C'est la voie qu'a ouvert le RGPD : prenons-la sans détour.

Pour comprendre ce qui commence aujourd'hui avec l'entrée en application du règlement général sur la protection des données (RGPD), repartons d'abord dans le passé... il y a 5 ans, presque jour pour jour.

RGPD, fruit de la plus violente campagne de lobbying américaine

Le 27 mai 2013, La Quadrature du Net publiait son analyse principale en faveur d'un « consentement explicite » dans le RGPD, qui était alors en pleine discussion au Parlement européen. Cette revendication était alors notre combat principal et, aux côtés de nos associations alliées (voir notre campagne Naked Citizens, lancée le 25 avril 2013), nous l'avons gagné.

Ainsi, 5 ans plus tard, depuis ce matin, une entreprise ne peut plus justifier de nous surveiller au motif que nous y aurions « consenti » en oubliant de décocher une case obscure rangée en fin de formulaire ou derrière divers menus (stratégie éculée pour dérober l'accord d'une personne). C'est la victoire du « consentement explicite », c'est ce que continuent de violer Google, Apple ou Amazon, et c'est notamment ce que nous invoquons avec 11 000 autres personnes dans les plaintes collectives que nous déposerons lundi prochain devant la CNIL (et que vous pouvez encore rejoindre).

Avec le recul, ce « consentement explicite », cette arme que nous nous sommes donnés il y a 5 ans, cette victoire, semble irréelle. De l'aveu des parlementaires européens, l'Union européenne n'avait jamais connu de campagne de lobbying aussi intense et brutale que sur le RGPD : c'est toute la Silicon Valley qui descendait dans le Parlement, suivi de sa myriade de syndicats, de groupements, de Think Tanks™ et de serfs européens. Nous avions d'ailleurs recensé les milliers de pages qu'ils envoyaient au Parlement, et le site LobbyPlag les avait analysées pour révéler quels eurodéputés en déposaient et défendaient les propositions. Dans un premier temps, cet effort titanesque de lobbying a largement payé : au 19 mars 2013, chacune des 4 commissions consultatives du Parlement européen avait rendu un avis affaiblissant largement la protection de nos libertés.

Heureusement, le débat a subitement changé de ton lorsque, le 6 juin 2013, Edward Snowden a commencé à révéler les pratiques des renseignements américains. La première de ses révélations publiées, sur le programme PRISM, impliquait directement les mêmes entreprises américaines qui remportaient jusqu'ici le débat européen... Notre victoire doit probablement beaucoup à ces circonstances.

Le 21 octobre 2016, le Parlement européen arrêtait sa première position officielle : les pires de nos inquiétudes en avaient enfin disparues, et nous gagnions sur le consentement explicite. À l'époque, nous regrettions pourtant amèrement les nombreuses failles qui, existantes depuis la première réglementation européenne de 1995, avaient été maintenues dans RGPD (et y sont encore aujourd’hui). Au premier rang d'entre elle : l'« intérêt légitime » (nous y revenons ci-dessous).

Peu de nouveautés

Définitivement signé le 27 avril 2016, le RGPD aura finalement apporté peu de protections nouvelles pour nos libertés. En plus du « consentement explicite » que nous avions réussi à obtenir, les avancées, bien que considérables, sont surtout procédurales : les CNIL pourront prononcer des sanctions à hauteur de 20 millions d'euros ou 4% du chiffre d'affaire mondial de la société visée (la plus haute des deux valeurs est retenue) et, pour les pousser à agir fermement, elles pourront être saisies par des plaintes collectives réunissant des milliers de personnes (c'est ce que nous faisons !).

À côté de ça, tous les grands principes de la protection de données (conditions de licéité, données sensibles, loyautés, etc.) ainsi que la majorité de nos « droits » (d'accéder à nos données, de les rectifier, etc.) ont été repris presque à l'identique de la directive européenne initiale de 1995. Le règlement crée bien aussi un nouveau droit à la portabilité, mais son intérêt pratique reste encore à trouver.

De plus, comme on l'a vu, le RGPD ne s'est pas contenté d'hériter des forces de la directive de 1995, il a aussi hérité de sa faille principale : il autorise toute entreprise à collecter et utiliser des données personnelles si elle y trouve un « intérêt légitime » (un intérêt économique, structurel...) et que la poursuite de cet intérêt ne porte pas une « atteinte disproportionnée » aux intérêts des personnes concernées. Oui, ce « critère » est particulièrement flou et tordu, et c'est hélas bien son but : « pour l'instant, vous avez le droit de faire ce que vous voulez, et on viendra vérifier plus tard, si on a le temps, que vous n'ayez pas trop dépassé les bornes ».

Heureusement, les CNIL européennes (réunies au sein de « groupe de l'article 29 ») ont pris position, dès 2014, pour affirmer que l'analyse comportementale à des fins de ciblage publicitaire ne devraient pas pouvoir constituer un tel « intérêt légitime », et ne devrait donc être autorisée qu'avec notre consentement (voir son avis 06/2014, p. 45). C'est un des arguments que nous opposons notamment à Google dans nos plaintes collectives - car celui-ci ose bel et bien invoquer son « intérêt légitime » pour justifier la surveillance de masse dont il tire sa fortune.

Une arme puissante

Mais alors, si le RGPD apporte si peu de nouveautés, pourquoi y trouverions-nous l'espoir de changements majeurs ? Son principal effet, en vérité, n'est pas tant d'avoir modifié le droit que d'en permettre enfin l'application.

En théorie, depuis longtemps, le droit des données personnelles pourrait être une arme puissante pour nous protéger : l'analyse comportementale n'est possible qu'avec notre consentement (qui doit désormais être explicite) et, surtout, ce consentement doit être libre.

Insistons encore une fois sur la notion de consentement libre, qui est au cœur de nos plaintes collectives. C'est bien là que se trouve le germe du changement à venir : le droit des données personnelles prévoit, depuis plusieurs années (voir dernièrement la décision rendue en France par la CNIL sur Whatsapp, fin 2017) que notre consentement n'est pas valide s'il est une condition pour accéder à un service. Le consentement n'est pas « libre » s'il est donné sous la menace de subir une conséquence négative. Il n'est pas valide s'il est assimilé à la contrepartie d'un contrat, à un prix.

Ce principe est simple à comprendre : céder ses données, c'est renoncer à son droit fondamental à la protection de la vie privée, à la liberté de conscience, à l'intégrité. Or, heureusement, nos principes démocratiques s'opposent à la marchandisation de nos libertés fondamentales (sans quoi la moindre « égalité des droits » ne bénéficierait qu'à ceux pouvant se l'acheter).

Pour résumer, depuis plusieurs années, les modèles économiques de Facebook ou Google n'ont, juridiquement, aucune raison d'exister : ils se financent grâce à une analyse comportementale de masse à des fins publicitaire. Or cette analyse n'est possible qu'avec notre consentement. Nous devrions donc pouvoir accéder à leur service tout en refusant de donner ce consentement : mais si nous avions véritablement cette possibilité, la très grande majorité d'entre nous refuserait cette surveillance.

Leur modèle est illégal et juridiquement absurde depuis longtemps. Le seul problème, en vérité, c'est que personne n'avait le pouvoir, ou la volonté, de les arrêter. C'est cela, et surtout cela, qui a changé ce matin.

Alors que, en France par exemple, jusqu'en 2016, la CNIL ne pouvait prononcer des sanctions qu'à hauteur de 150 000 €, ce qui était inutile contre Google ou Facebook (qui ont d'ailleurs bien été condamnés à payer cette somme), le montant de l'amende pourra désormais atteindre 4 % de leur chiffre d'affaire mondial. Et, au cas où les CNIL manqueraient de la volonté pour ce faire, les plaintes collectives sont maintenant là pour, enfin, rendre la population actrice de ce processus : si les CNIL, saisies par des milliers de personnes sur une même plainte, n'agissent pas, elles perdront toute légitimité.

Nous pouvons enfin oublier notre sentiment de « à quoi bon lutter contre ces géants ? ». Si cette amertume était entièrement justifiée hier, elle ne l'est plus aujourd'hui. Pour eux, la fête est finie. Elle commence pour nous.

Retour à l'Internet des origines

Le RGPD laisse l'espoir de voir enfin le droit protéger nos données contre des géants qui, y trouvant leur fortune, ont entièrement remodelé Internet.

Internet, dans ses principes fondamentaux, repose sur la décentralisation : la puissance de calcul, le stockage et l'usage de bande passante sont répartis sur un nombre infini de points du réseaux (nos ordinateurs et téléphones ainsi qu'une multitude de serveurs) dont l'interconnexion et le travail collectif ne dépendent d'aucune autorité centrale. C'est ce qui lui permet d'être si résilient, de voir constamment apparaître de nouvelles structures et de nouveaux usages, dont chacune et chacun peut être l'acteur, et ainsi d'offrir une alternative libre et vivante à notre monde physique, si bordé et normé qu'il est par des organisations aussi centralisées que rigides, incapables de s'adapter et de répondre aux préoccupations de la population.

C'est cet idéal des origines qui a conduit à l'essor d'Internet, pendant que le Minitel français, hyper centralisé, connaissait le cuisant échec dont nous nous réjouissons encore. Et pourtant, sur ce même Internet, nous avons vu apparaître Facebook, Youtube, Instagram ou Twitter, qui ne sont rien d'autre que de nouveaux Minitels (pour une comparaison utile, on peut revoir la conférence « Minitel 2.0 » dans laquelle Benjamin Bayart défendait la neutralité du Net - que nous avons d'ailleurs fini par obtenir, ici encore !) .

Sur ces nouveaux Minitels, nos relations, nos créations et nos débats sont entièrement régulés par des autorités centrales, selon leurs propres critères qui, chaque fois et afin d’accroître leurs recettes publicitaires, distordent entièrement l'espace public. Symptômes chroniques des effets de cette centralisation, celle-ci conduit à la sur-diffusion de vidéo anxiogènes et polémiques (voir notre analyse sur Google), de fakenews et de débats caricaturaux, stériles (voir notre analyse sur les fakenews). À l'opposé, sur des réseaux décentralisés, de tels contenus ne sont pas mis en avant et, surtout, ne nuisent pas à l'ensemble des internautes, puisque ceux-ci choisissent librement avec qui communiquer et selon quelles règles, en fonction du nœud où ils ont choisit de s'installer sur le réseau.

Comment en est-on arrivé à cette hyper-centralisation de l'Internet ? Il suffit de regarder la source des revenus de ces nouveaux Minitels pour comprendre que l'analyse comportementale à des fins publicitaires a été décisive dans leur essor. Or, ce levier économique, la source financière de cette centralisation, on l'a dit, est aujourd'hui obsolète. À court terme, quand le droit sera enfin appliqué, on voit mal comment Facebook, typiquement, pourra continuer de fournir son service « gratuitement » (sans publicité ciblée) et comment il pourra donc survivre. C'est donc le modèle-même de cette centralisation qui est aujourd'hui remis en cause puisque, historiquement, celle-ci n'a été possible qu'au moyen de pratiques qui ne seront plus possibles.

Évidement, on soulignera que le capitalisme, comme toujours, s'adaptera, et que la centralisation trouvera des nouvelles façons de se financer. Mais force est de constater que ces rebondissements tardent ici à se faire connaître alors que nous, en face, avons déjà notre modèle. Jusqu'à nouvel ordre, c'est donc celui qui primera.

Bref, nous avons déjà gagné.

]]>
Tribune de Marne et Arthur, instigateurs de la campagne de plaintes collectives contre les GAFAM

25 mai 2018 - Avant-hier, Emmanuel Macron recevait son homologue Mark Zuckerberg, symbole défait d'un monde dont le glas a sonné ce matin. Sous les traits forcés du dynamisme et de l'innovation, Macron, ne comprenant rien à son époque, fait la cour à des puissances dont le modèle, aussi dépassé qu'illégal, prendra bientôt fin. Les seules structures qui compteront à l'avenir seront les nôtres : celles de l'Internet libre et décentralisé, établies et régulées par le peuple lui-même. C'est la voie qu'a ouvert le RGPD : prenons-la sans détour.

Pour comprendre ce qui commence aujourd'hui avec l'entrée en application du règlement général sur la protection des données (RGPD), repartons d'abord dans le passé... il y a 5 ans, presque jour pour jour.

RGPD, fruit de la plus violente campagne de lobbying américaine

Le 27 mai 2013, La Quadrature du Net publiait son analyse principale en faveur d'un « consentement explicite » dans le RGPD, qui était alors en pleine discussion au Parlement européen. Cette revendication était alors notre combat principal et, aux côtés de nos associations alliées (voir notre campagne Naked Citizens, lancée le 25 avril 2013), nous l'avons gagné.

Ainsi, 5 ans plus tard, depuis ce matin, une entreprise ne peut plus justifier de nous surveiller au motif que nous y aurions « consenti » en oubliant de décocher une case obscure rangée en fin de formulaire ou derrière divers menus (stratégie éculée pour dérober l'accord d'une personne). C'est la victoire du « consentement explicite », c'est ce que continuent de violer Google, Apple ou Amazon, et c'est notamment ce que nous invoquons avec 11 000 autres personnes dans les plaintes collectives que nous déposerons lundi prochain devant la CNIL (et que vous pouvez encore rejoindre).

Avec le recul, ce « consentement explicite », cette arme que nous nous sommes donnés il y a 5 ans, cette victoire, semble irréelle. De l'aveu des parlementaires européens, l'Union européenne n'avait jamais connu de campagne de lobbying aussi intense et brutale que sur le RGPD : c'est toute la Silicon Valley qui descendait dans le Parlement, suivi de sa myriade de syndicats, de groupements, de Think Tanks™ et de serfs européens. Nous avions d'ailleurs recensé les milliers de pages qu'ils envoyaient au Parlement, et le site LobbyPlag les avait analysées pour révéler quels eurodéputés en déposaient et défendaient les propositions. Dans un premier temps, cet effort titanesque de lobbying a largement payé : au 19 mars 2013, chacune des 4 commissions consultatives du Parlement européen avait rendu un avis affaiblissant largement la protection de nos libertés.

Heureusement, le débat a subitement changé de ton lorsque, le 6 juin 2013, Edward Snowden a commencé à révéler les pratiques des renseignements américains. La première de ses révélations publiées, sur le programme PRISM, impliquait directement les mêmes entreprises américaines qui remportaient jusqu'ici le débat européen... Notre victoire doit probablement beaucoup à ces circonstances.

Le 21 octobre 2016, le Parlement européen arrêtait sa première position officielle : les pires de nos inquiétudes en avaient enfin disparues, et nous gagnions sur le consentement explicite. À l'époque, nous regrettions pourtant amèrement les nombreuses failles qui, existantes depuis la première réglementation européenne de 1995, avaient été maintenues dans RGPD (et y sont encore aujourd’hui). Au premier rang d'entre elle : l'« intérêt légitime » (nous y revenons ci-dessous).

Peu de nouveautés

Définitivement signé le 27 avril 2016, le RGPD aura finalement apporté peu de protections nouvelles pour nos libertés. En plus du « consentement explicite » que nous avions réussi à obtenir, les avancées, bien que considérables, sont surtout procédurales : les CNIL pourront prononcer des sanctions à hauteur de 20 millions d'euros ou 4% du chiffre d'affaire mondial de la société visée (la plus haute des deux valeurs est retenue) et, pour les pousser à agir fermement, elles pourront être saisies par des plaintes collectives réunissant des milliers de personnes (c'est ce que nous faisons !).

À côté de ça, tous les grands principes de la protection de données (conditions de licéité, données sensibles, loyautés, etc.) ainsi que la majorité de nos « droits » (d'accéder à nos données, de les rectifier, etc.) ont été repris presque à l'identique de la directive européenne initiale de 1995. Le règlement crée bien aussi un nouveau droit à la portabilité, mais son intérêt pratique reste encore à trouver.

De plus, comme on l'a vu, le RGPD ne s'est pas contenté d'hériter des forces de la directive de 1995, il a aussi hérité de sa faille principale : il autorise toute entreprise à collecter et utiliser des données personnelles si elle y trouve un « intérêt légitime » (un intérêt économique, structurel...) et que la poursuite de cet intérêt ne porte pas une « atteinte disproportionnée » aux intérêts des personnes concernées. Oui, ce « critère » est particulièrement flou et tordu, et c'est hélas bien son but : « pour l'instant, vous avez le droit de faire ce que vous voulez, et on viendra vérifier plus tard, si on a le temps, que vous n'ayez pas trop dépassé les bornes ».

Heureusement, les CNIL européennes (réunies au sein de « groupe de l'article 29 ») ont pris position, dès 2014, pour affirmer que l'analyse comportementale à des fins de ciblage publicitaire ne devraient pas pouvoir constituer un tel « intérêt légitime », et ne devrait donc être autorisée qu'avec notre consentement (voir son avis 06/2014, p. 45). C'est un des arguments que nous opposons notamment à Google dans nos plaintes collectives - car celui-ci ose bel et bien invoquer son « intérêt légitime » pour justifier la surveillance de masse dont il tire sa fortune.

Une arme puissante

Mais alors, si le RGPD apporte si peu de nouveautés, pourquoi y trouverions-nous l'espoir de changements majeurs ? Son principal effet, en vérité, n'est pas tant d'avoir modifié le droit que d'en permettre enfin l'application.

En théorie, depuis longtemps, le droit des données personnelles pourrait être une arme puissante pour nous protéger : l'analyse comportementale n'est possible qu'avec notre consentement (qui doit désormais être explicite) et, surtout, ce consentement doit être libre.

Insistons encore une fois sur la notion de consentement libre, qui est au cœur de nos plaintes collectives. C'est bien là que se trouve le germe du changement à venir : le droit des données personnelles prévoit, depuis plusieurs années (voir dernièrement la décision rendue en France par la CNIL sur Whatsapp, fin 2017) que notre consentement n'est pas valide s'il est une condition pour accéder à un service. Le consentement n'est pas « libre » s'il est donné sous la menace de subir une conséquence négative. Il n'est pas valide s'il est assimilé à la contrepartie d'un contrat, à un prix.

Ce principe est simple à comprendre : céder ses données, c'est renoncer à son droit fondamental à la protection de la vie privée, à la liberté de conscience, à l'intégrité. Or, heureusement, nos principes démocratiques s'opposent à la marchandisation de nos libertés fondamentales (sans quoi la moindre « égalité des droits » ne bénéficierait qu'à ceux pouvant se l'acheter).

Pour résumer, depuis plusieurs années, les modèles économiques de Facebook ou Google n'ont, juridiquement, aucune raison d'exister : ils se financent grâce à une analyse comportementale de masse à des fins publicitaire. Or cette analyse n'est possible qu'avec notre consentement. Nous devrions donc pouvoir accéder à leur service tout en refusant de donner ce consentement : mais si nous avions véritablement cette possibilité, la très grande majorité d'entre nous refuserait cette surveillance.

Leur modèle est illégal et juridiquement absurde depuis longtemps. Le seul problème, en vérité, c'est que personne n'avait le pouvoir, ou la volonté, de les arrêter. C'est cela, et surtout cela, qui a changé ce matin.

Alors que, en France par exemple, jusqu'en 2016, la CNIL ne pouvait prononcer des sanctions qu'à hauteur de 150 000 €, ce qui était inutile contre Google ou Facebook (qui ont d'ailleurs bien été condamnés à payer cette somme), le montant de l'amende pourra désormais atteindre 4 % de leur chiffre d'affaire mondial. Et, au cas où les CNIL manqueraient de la volonté pour ce faire, les plaintes collectives sont maintenant là pour, enfin, rendre la population actrice de ce processus : si les CNIL, saisies par des milliers de personnes sur une même plainte, n'agissent pas, elles perdront toute légitimité.

Nous pouvons enfin oublier notre sentiment de « à quoi bon lutter contre ces géants ? ». Si cette amertume était entièrement justifiée hier, elle ne l'est plus aujourd'hui. Pour eux, la fête est finie. Elle commence pour nous.

Retour à l'Internet des origines

Le RGPD laisse l'espoir de voir enfin le droit protéger nos données contre des géants qui, y trouvant leur fortune, ont entièrement remodelé Internet.

Internet, dans ses principes fondamentaux, repose sur la décentralisation : la puissance de calcul, le stockage et l'usage de bande passante sont répartis sur un nombre infini de points du réseaux (nos ordinateurs et téléphones ainsi qu'une multitude de serveurs) dont l'interconnexion et le travail collectif ne dépendent d'aucune autorité centrale. C'est ce qui lui permet d'être si résilient, de voir constamment apparaître de nouvelles structures et de nouveaux usages, dont chacune et chacun peut être l'acteur, et ainsi d'offrir une alternative libre et vivante à notre monde physique, si bordé et normé qu'il est par des organisations aussi centralisées que rigides, incapables de s'adapter et de répondre aux préoccupations de la population.

C'est cet idéal des origines qui a conduit à l'essor d'Internet, pendant que le Minitel français, hyper centralisé, connaissait le cuisant échec dont nous nous réjouissons encore. Et pourtant, sur ce même Internet, nous avons vu apparaître Facebook, Youtube, Instagram ou Twitter, qui ne sont rien d'autre que de nouveaux Minitels (pour une comparaison utile, on peut revoir la conférence « Minitel 2.0 » dans laquelle Benjamin Bayart défendait la neutralité du Net - que nous avons d'ailleurs fini par obtenir, ici encore !) .

Sur ces nouveaux Minitels, nos relations, nos créations et nos débats sont entièrement régulés par des autorités centrales, selon leurs propres critères qui, chaque fois et afin d’accroître leurs recettes publicitaires, distordent entièrement l'espace public. Symptômes chroniques des effets de cette centralisation, celle-ci conduit à la sur-diffusion de vidéo anxiogènes et polémiques (voir notre analyse sur Google), de fakenews et de débats caricaturaux, stériles (voir notre analyse sur les fakenews). À l'opposé, sur des réseaux décentralisés, de tels contenus ne sont pas mis en avant et, surtout, ne nuisent pas à l'ensemble des internautes, puisque ceux-ci choisissent librement avec qui communiquer et selon quelles règles, en fonction du nœud où ils ont choisit de s'installer sur le réseau.

Comment en est-on arrivé à cette hyper-centralisation de l'Internet ? Il suffit de regarder la source des revenus de ces nouveaux Minitels pour comprendre que l'analyse comportementale à des fins publicitaires a été décisive dans leur essor. Or, ce levier économique, la source financière de cette centralisation, on l'a dit, est aujourd'hui obsolète. À court terme, quand le droit sera enfin appliqué, on voit mal comment Facebook, typiquement, pourra continuer de fournir son service « gratuitement » (sans publicité ciblée) et comment il pourra donc survivre. C'est donc le modèle-même de cette centralisation qui est aujourd'hui remis en cause puisque, historiquement, celle-ci n'a été possible qu'au moyen de pratiques qui ne seront plus possibles.

Évidement, on soulignera que le capitalisme, comme toujours, s'adaptera, et que la centralisation trouvera des nouvelles façons de se financer. Mais force est de constater que ces rebondissements tardent ici à se faire connaître alors que nous, en face, avons déjà notre modèle. Jusqu'à nouvel ordre, c'est donc celui qui primera.

Bref, nous avons déjà gagné.

]]>
Écrivons ensemble les plaintes contre les GAFAM10520 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180521_160910_Ecrivons_ensemble_les_plaintes_contre_les_GAFAMMon, 21 May 2018 14:09:10 +000021 mai 2018 — Depuis plus d'un mois, nous vous invitons à rejoindre les 12 plaintes collectives contre les services des GAFAM. Aujourd'hui, nous vous proposons de rédiger ces plaintes avec nous. Pour laisser le temps aux retardataires de nous rejoindre, nous déposerons la plainte le lundi suivant l'entrée en application du RGPD : le 28 mai.

Ecrivons tous la plainte
Les plaintes se concentrent volontairement sur une poignée d'arguments ciblés autour des notions de consentement et de surveillance économique. Le projet de plainte que nous publions aujourd'hui reflète ce cadrage : les arguments sont précis et assez courts. De quoi inciter à participer celles et ceux pour qui les rouages juridiques aussi complexes que rigolos ne sont pas un passe-temps relaxant !

Que vous passiez relire l'orthographe et la grammaire, que vous proposiez des reformulations de style ou bien carrément de nouvelles sources ou arguments juridiques, votre participation sera la bienvenue ! Votre participation sera aussi une occasion de plus de rendre ces plaintes pleinement « collectives », d'un bout à l'autre !

Venez sur notre pad de rédaction des plaintes.

Merci de faire tout ça avec nous ! <3

]]>
21 mai 2018 — Depuis plus d'un mois, nous vous invitons à rejoindre les 12 plaintes collectives contre les services des GAFAM. Aujourd'hui, nous vous proposons de rédiger ces plaintes avec nous. Pour laisser le temps aux retardataires de nous rejoindre, nous déposerons la plainte le lundi suivant l'entrée en application du RGPD : le 28 mai.

Ecrivons tous la plainte
Les plaintes se concentrent volontairement sur une poignée d'arguments ciblés autour des notions de consentement et de surveillance économique. Le projet de plainte que nous publions aujourd'hui reflète ce cadrage : les arguments sont précis et assez courts. De quoi inciter à participer celles et ceux pour qui les rouages juridiques aussi complexes que rigolos ne sont pas un passe-temps relaxant !

Que vous passiez relire l'orthographe et la grammaire, que vous proposiez des reformulations de style ou bien carrément de nouvelles sources ou arguments juridiques, votre participation sera la bienvenue ! Votre participation sera aussi une occasion de plus de rendre ces plaintes pleinement « collectives », d'un bout à l'autre !

Venez sur notre pad de rédaction des plaintes.

Merci de faire tout ça avec nous ! <3

]]>
Derrière les assistants vocaux, des humains vous entendent10510 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180518_163817_Derriere_les_assistants_vocaux__des_humains_vous_entendentFri, 18 May 2018 14:38:17 +000018 mai 2018 - Cette semaine, nous sommes allés à la rencontre de Julie, qui a travaillé pour une entreprise chargée d' « améliorer » le fonctionnement de Cortana, l’assistant vocal de Microsoft, en écoutant une à une diverses paroles captées par la machine (volontairement ou non).

Nous partageons ici son témoignage édifiant, en vidéo ainsi qu'à l'écrit (en fin d'article).

Comme nous le rappelle Antonio Casilli ci-dessous, ce récit souligne exactement les pratiques très « humaines » que l'on retrouve en masse sous les miroirs trompeurs d'une soi-disant « intelligence artificielle ».

Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

Les humains derrière Cortana, par Antonio Casilli

Antonio Casilli, membre de La Quadrature du Net, est maître de conférences en Digital Humanities à Telecom ParisTech et chercheur associé en sociologie au Centre Edgar-Morin, Ecole des Hautes Etudes en Sciences Sociales, Paris. Voir son site.

Qui écoute vos conversations quand vous utilisez un assistant vocal comme Cortana ? Qui regarde vos requêtes quand vous utilisez un moteur de recherche comme Bing ? « Personne », vous assurent les concepteurs de ces dispositifs, « ce sont des machines ». La réalité est toute autre, comme l'atteste ce témoignage : une jeune femme qui, sans contrat de travail et sans aucun accord de confidentialité, a retranscrit des milliers de conversations privées, recherches d'information, noms et coordonnées personnelles de personnes utilisant des produits Microsoft.

Son métier ? Dresseuse d'IA.

Malgré les allégations de leurs producteurs, les assistants virtuels qui équipent les enceintes connectées trônant dans nos salles à manger ou qui se nichent jusque dans nos poches, installés sur nos smartphones, ne naissent pas intelligents. Ils doivent apprendre à interpréter les requêtes et les habitudes de leurs utilisateurs.

Cet apprentissage est aidé par des êtres humains, qui vérifient la pertinence des réponses des assistants virtuels aux questions de leurs propriétaires. Mais plus souvent encore, ces êtres humains « entraînent » les dispositifs, en leurs fournissant des données déjà préparées, des requêtes avec des réponses toutes faites (ex. « Quelle est la météo aujourd'hui ? » : « Il fait 23 degrés » ou « Il pleut »), des phrases auxquelles ils fournissent des interprétations (ex. savoir dans quel contexte « la flotte » signifie « un ensemble de navires » ou « la pluie »).

Ces dresseurs d'intelligences artificielles sont parfois des télétravailleurs payés à l'heure par des entreprises spécialisées. Dans d'autres cas, ils sont des « travailleurs à la pièce » recrutés sur des services web que l'on appelle des plateformes de micro-travail.

Celle de Microsoft s'appelle UHRS et propose des rémunérations de 3, 2, voire même 1 centime de dollar par micro-tâche (retranscrire un mot, labelliser une image…). Parfois les personnes qui trient vos requêtes, regardent vos photos, écoutent vos propos sont situés dans votre pays, voire dans votre ville (peut-être vos voisins d'en bas ?). D'autres fois, ils sont des travailleurs précaires de pays francophones, comme la Tunisie, le Maroc ou Madagascar (qui s'est dernièrement imposé comme « leader français de l'intelligence artificielle »).

Les logiciels à activation vocale tels Cortana, Siri ou Alexa sont des agents conversationnels qui possèdent une forte composante de travail non-artificiel. Cette implication humaine introduit des risques sociétaux spécifiques. La confidentialité des données personnelles utilisées pour entraîner les solutions intelligentes est à risque. Ces IA présupposent le transfert de quantités importantes de données à caractère personnel et existent dans une zone grise légale et éthique.

Dans la mesure où les usagers des services numériques ignorent la présence d'êtres humains dans les coulisses de l'IA, ils sous-estiment les risques qui pèsent sur leur vie privée. Il est urgent de répertorier les atteintes à la privacy et à la confidentialité associées à cette forme de « digital labor », afin d'en estimer la portée pour informer, sensibiliser, et mieux protéger les personnes les plus exposées.

Témoignage complet de Julie

J'ai travaillé comme transcripteuse ('transcriber') pour améliorer la qualité de la version française de Cortana, "votre assistante personnelle virtuelle" proposée par Microsoft. Je travaillais en télétravail pour une entreprise chinoise qui avait Microsoft pour client. J'ai commencé en Avril 2017 et arrêté en Décembre 2017.

J'ai pu constater directement le type de données que Microsoft collecte via son petit monstre Cortana, car les données audio qu'elle collectait passaient entre nos mains (et nos oreilles !) pour analyse et correction.

Microsoft, voulant améliorer les capacités de compréhension de Cortana, collectait les données des utilisateurs 'consentants'. Donc, quand ces utilisateurs s'adressaient à Cortana, celle-ci collectait, enregistrait ce qu'ils disaient. Ensuite, Microsoft récupérait tout ça, envoyait une partie des enregistrements à la compagnie pour laquelle je travaillais, et celle-ci mettait le tout sur notre plate-forme de télétravail.

Les transcripteurs se connectaient, et écoutaient un par un les enregistrements. Les pistes étaient généralement très courtes, entre 3 et 15 secondes en moyenne (mais pouvaient parfois durer plusieurs minutes). En fonction des projets sur lesquels on travaillait, on devait réaliser entre 120 et 170 transcriptions/heure. Plusieurs milliers de pistes étaient déposées quotidiennement sur notre plate-forme.

On écoutait l'enregistrement audio, ensuite un texte s'affichait, nous montrant ce que Cortana avait compris et retranscrit. Notre travail était de vérifier si elle avait bien compris - si ce n'était pas le cas, on devait corriger le texte, la moindre faute de compréhension, de conjugaison ou d'orthographe. Une autre partie du travail consistait à ajouter des tags dans le texte signalant les événements sonores qui pourraient expliquer pourquoi Cortana avait mal compris ceci ou mieux compris cela.

Je n'ai pas le détail de la suite du processus, mais j'imagine qu'ensuite, les données que nous corrigions étaient envoyées à une équipe de techniciens, programmeurs et autres génies de l'informatique qui s'occupaient de faire comprendre à Cortana comment ne pas répéter les mêmes erreurs.

Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels

Les données qu'on écoutait allaient d'Utilisateur A qui dit simplement "Hey Cortana, quelle sera la météo demain?" à Utilisateur B qui demande en chuchotant à Cortana de lui trouver des vidéos porno de telle ou telle catégorie...

Il y avait leurs recherches internet, leurs interactions directes avec Cortana ("Hey Cortana, raconte-moi une blague", "imite la poule", "est-ce que tu m'aimes?", "est-ce que tu ressens la douleur?"…). Les utilisateurs peuvent aussi dicter du texte : messages, documents texte (résumés de cours, comptes-rendus professionnels...), adresses GPS, courriers administratifs (avec par exemple leur numéro de sécurité sociale), etc. ; nous avions accès à tout ça.

Elle peut être connectée à des consoles Xbox, on avait donc aussi des enregistrements provenant de ce service-là. Il y avait notamment des morceaux de communication en ligne (principalement d'ados et d'enfants) qui discutent sur les jeux en réseaux.

On avait également de nombreux extraits de conversations en ligne, sûrement sur Skype, provenant de personnes qui utilisaient un service de traduction instantanée (Microsoft Translator mais peut-être aussi Skype Translator, je ne suis pas certaine).

Nous n'avions jamais l'intégralité des conversations évidemment, elles étaient découpées en petites pistes ; cependant on pouvait tomber sur plusieurs morceaux d'une même conversation dans une même série de transcriptions (c'était suffisant pour dresser un profil basique de l'utilisateur ou de son humeur du moment par exemple).

On avait des conversations diverses, vraiment toutes sortes de choses, notamment souvent les séances sexcams de certains utilisateurs qui avaient besoin d'un service de traduction pour se faire comprendre, et dans ces cas-là les transcriptions étaient très explicites (parfois amusantes, parfois glauques). Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels. Cortana ne fait pas le tri...

Enfin, il y avait beaucoup d'enregistrements involontaires, où des personnes discutent entre elles (dans leur voiture, à la maison, avec leurs enfants sur le chemin de l'école...) tandis que Cortana est dans les parages (tablette, téléphone portable, ordinateur, etc.) et s'est déclenchée de manière non-sollicitée et a tout enregistré.

(D'ailleurs, on avait aussi beaucoup d'utilisateurs qui insultaient tout simplement Cortana, car elle s'était déclenchée de façon non-sollicitée, ou avait mal compris une requête... Vous n'imaginez pas le nombre de fois où j'ai entendu "Sale pute Cortana !" )

On avait ainsi accès à énormément de données personnelles, que ce soit des bribes de conversations privées en ligne ou bien hors ligne.

N'importe qui pouvait être engagé

Pour pouvoir être embauché (ils recrutaient en grand nombre), il fallait s'inscrire sur le site de l'entreprise, postuler puis suivre une formation en ligne conclue par un examen final. Si on avait un pourcentage de réussite satisfaisant, on était engagé. Auquel cas, le manager nous faisait créer un compte sur le site internet de télétravail (une plate-forme externe, utilisée par plusieurs compagnies comme celle qui m'avait engagée), et le travail commençait.

Il n'y avait pas besoin d'envoyer son CV, ni aucun entretien individuel avec un responsable ou un manager (ni par téléphone, ni par Skype, ni e-mail, rien). N'importe qui pouvait être engagé et avoir accès aux enregistrements du moment qu'ils en avaient les compétences techniques, que l'examen final avait été réussi. Pourtant, nous avions accès à des informations sensibles et personnelles.

Beaucoup de personnes ignorent ou oublient que les données collectées par Cortana (et autres outils du genre) ne sont pas uniquement traitées par des robots, mais bien aussi par des êtres-humains.

En m'inscrivant sur le site de l'entreprise, j'ai accepté ses conditions d'utilisations en cochant machinalement des petites cases, celles-ci parlaient d'une multitudes de choses, mais à ce que je me souviens il n'y avait pas d'emphase spéciale sur le respect de la vie privée des utilisateurs de nos clients. Et à aucun moment j'ai signé de ma main un contrat de confidentialité.

Ils m'ont pourtant bien demandé de signer et renvoyer un document relatif aux taxes et impôts ; ils auraient pu en faire autant pour le respect de la confidentialité.

Et sur plus d'une cinquantaine de pages d'instructions détaillées sur comment traiter les transcriptions, pas une seule ligne ne mentionnait le respect de la vie privée des utilisateurs. Pas un seul des nombreux e-mails du manager que nous recevions chaque semaine, rien n'a jamais été dédié au respect de la vie privée (en ligne et hors ligne) des utilisateurs.

Et ce dont je parle ici ne concerne pas uniquement les utilisateurs français de Cortana, il y avait des équipes de transcripteurs pour une multitudes de langues (anglais, portugais, espagnol, etc.). On avait le même manager et les mêmes instructions générales.

En théorie, les données étaient anonymes pour les transcripteurs, c'est-à-dire que nous n'avions jamais les identifiants des utilisateurs que nous écoutions, et les pistes étaient généralement distribuées de façon aléatoire et désordonnée, en plus d'être parfois découpées. Cependant, inévitablement il arrivait que les utilisateurs révèlent un numéro de téléphone, une adresse, des coordonnées, date de naissance, numéros importants, événements auxquels ils allaient se rendre, etc.

Certaines voix se reconnaissent facilement, et bien que les pistes étaient aléatoires et dans le désordre, mises bout à bout elles auraient dans quelques cas pu suffire à un transcripteur déterminé pour identifier un utilisateur. De plus, on travaillait tous depuis nos propres ordinateurs, il était donc facile de récupérer les enregistrements qu'on traitait si on le voulait.

Selon moi, ce n'était pas bien sécurisé, surtout quand on considère le fait qu'on avait aussi beaucoup d'enregistrements provenant d'enfants. Mais il faut comprendre que ce genre de traitement de données est de toute façon impossible à sécuriser entièrement (encore moins quand on sous-traite), car des données récoltées massivement ne peuvent pas être triées parfaitement, des informations sensibles passeront toujours.

Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti

Enfin, j'aimerais parler du fait qu'il me semble évident que la plupart des logiciels de reconnaissance vocale et assistants virtuels doivent se construire comme Cortana, donc il est important que les gens mesurent ce qu'utiliser de tels logiciels implique (ce que j'ai décrit n'est assurément pas juste typique à Microsoft).

Avec l'affluence des nouveaux ''assistants personnels virtuels'', le champs des possibles pour la collecte de données s'est développé de manière fulgurante.
Le modèle de Microsoft (et les autres GAFAM) n'est pas basé sur le respect de la vie privée et la non-intrusion, c'est le contraire.

Les outils comme Cortana sont hautement intrusifs et ont accès à une liste impressionnante de données personnelles, qu'ils exploitent et développent simultanément.

La collecte de données qu'ils peuvent permettre peut être utilisée à votre insu, détournée, utilisée contre votre gré, tombée entre de mauvaises mains, être exploitée à des fins auxquelles vous n'avez jamais consciemment donné votre accord…

Personnaliser les paramètres de confidentialité de services de ce genre requiert parfois des compétences en informatique qui dépassent l'utilisateur amateur, et des écrans de fumée font oublier que vous sacrifiez et marchandez votre vie privée à l'aide de formules comme "personnalisation du contenu", "optimisation des résultats", "amélioration de votre expérience et de nos services".

Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti.

Merci beaucoup à Julie pour son témoignage !

Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

]]>
18 mai 2018 - Cette semaine, nous sommes allés à la rencontre de Julie, qui a travaillé pour une entreprise chargée d' « améliorer » le fonctionnement de Cortana, l’assistant vocal de Microsoft, en écoutant une à une diverses paroles captées par la machine (volontairement ou non).

Nous partageons ici son témoignage édifiant, en vidéo ainsi qu'à l'écrit (en fin d'article).

Comme nous le rappelle Antonio Casilli ci-dessous, ce récit souligne exactement les pratiques très « humaines » que l'on retrouve en masse sous les miroirs trompeurs d'une soi-disant « intelligence artificielle ».

Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

Les humains derrière Cortana, par Antonio Casilli

Antonio Casilli, membre de La Quadrature du Net, est maître de conférences en Digital Humanities à Telecom ParisTech et chercheur associé en sociologie au Centre Edgar-Morin, Ecole des Hautes Etudes en Sciences Sociales, Paris. Voir son site.

Qui écoute vos conversations quand vous utilisez un assistant vocal comme Cortana ? Qui regarde vos requêtes quand vous utilisez un moteur de recherche comme Bing ? « Personne », vous assurent les concepteurs de ces dispositifs, « ce sont des machines ». La réalité est toute autre, comme l'atteste ce témoignage : une jeune femme qui, sans contrat de travail et sans aucun accord de confidentialité, a retranscrit des milliers de conversations privées, recherches d'information, noms et coordonnées personnelles de personnes utilisant des produits Microsoft.

Son métier ? Dresseuse d'IA.

Malgré les allégations de leurs producteurs, les assistants virtuels qui équipent les enceintes connectées trônant dans nos salles à manger ou qui se nichent jusque dans nos poches, installés sur nos smartphones, ne naissent pas intelligents. Ils doivent apprendre à interpréter les requêtes et les habitudes de leurs utilisateurs.

Cet apprentissage est aidé par des êtres humains, qui vérifient la pertinence des réponses des assistants virtuels aux questions de leurs propriétaires. Mais plus souvent encore, ces êtres humains « entraînent » les dispositifs, en leurs fournissant des données déjà préparées, des requêtes avec des réponses toutes faites (ex. « Quelle est la météo aujourd'hui ? » : « Il fait 23 degrés » ou « Il pleut »), des phrases auxquelles ils fournissent des interprétations (ex. savoir dans quel contexte « la flotte » signifie « un ensemble de navires » ou « la pluie »).

Ces dresseurs d'intelligences artificielles sont parfois des télétravailleurs payés à l'heure par des entreprises spécialisées. Dans d'autres cas, ils sont des « travailleurs à la pièce » recrutés sur des services web que l'on appelle des plateformes de micro-travail.

Celle de Microsoft s'appelle UHRS et propose des rémunérations de 3, 2, voire même 1 centime de dollar par micro-tâche (retranscrire un mot, labelliser une image…). Parfois les personnes qui trient vos requêtes, regardent vos photos, écoutent vos propos sont situés dans votre pays, voire dans votre ville (peut-être vos voisins d'en bas ?). D'autres fois, ils sont des travailleurs précaires de pays francophones, comme la Tunisie, le Maroc ou Madagascar (qui s'est dernièrement imposé comme « leader français de l'intelligence artificielle »).

Les logiciels à activation vocale tels Cortana, Siri ou Alexa sont des agents conversationnels qui possèdent une forte composante de travail non-artificiel. Cette implication humaine introduit des risques sociétaux spécifiques. La confidentialité des données personnelles utilisées pour entraîner les solutions intelligentes est à risque. Ces IA présupposent le transfert de quantités importantes de données à caractère personnel et existent dans une zone grise légale et éthique.

Dans la mesure où les usagers des services numériques ignorent la présence d'êtres humains dans les coulisses de l'IA, ils sous-estiment les risques qui pèsent sur leur vie privée. Il est urgent de répertorier les atteintes à la privacy et à la confidentialité associées à cette forme de « digital labor », afin d'en estimer la portée pour informer, sensibiliser, et mieux protéger les personnes les plus exposées.

Témoignage complet de Julie

J'ai travaillé comme transcripteuse ('transcriber') pour améliorer la qualité de la version française de Cortana, "votre assistante personnelle virtuelle" proposée par Microsoft. Je travaillais en télétravail pour une entreprise chinoise qui avait Microsoft pour client. J'ai commencé en Avril 2017 et arrêté en Décembre 2017.

J'ai pu constater directement le type de données que Microsoft collecte via son petit monstre Cortana, car les données audio qu'elle collectait passaient entre nos mains (et nos oreilles !) pour analyse et correction.

Microsoft, voulant améliorer les capacités de compréhension de Cortana, collectait les données des utilisateurs 'consentants'. Donc, quand ces utilisateurs s'adressaient à Cortana, celle-ci collectait, enregistrait ce qu'ils disaient. Ensuite, Microsoft récupérait tout ça, envoyait une partie des enregistrements à la compagnie pour laquelle je travaillais, et celle-ci mettait le tout sur notre plate-forme de télétravail.

Les transcripteurs se connectaient, et écoutaient un par un les enregistrements. Les pistes étaient généralement très courtes, entre 3 et 15 secondes en moyenne (mais pouvaient parfois durer plusieurs minutes). En fonction des projets sur lesquels on travaillait, on devait réaliser entre 120 et 170 transcriptions/heure. Plusieurs milliers de pistes étaient déposées quotidiennement sur notre plate-forme.

On écoutait l'enregistrement audio, ensuite un texte s'affichait, nous montrant ce que Cortana avait compris et retranscrit. Notre travail était de vérifier si elle avait bien compris - si ce n'était pas le cas, on devait corriger le texte, la moindre faute de compréhension, de conjugaison ou d'orthographe. Une autre partie du travail consistait à ajouter des tags dans le texte signalant les événements sonores qui pourraient expliquer pourquoi Cortana avait mal compris ceci ou mieux compris cela.

Je n'ai pas le détail de la suite du processus, mais j'imagine qu'ensuite, les données que nous corrigions étaient envoyées à une équipe de techniciens, programmeurs et autres génies de l'informatique qui s'occupaient de faire comprendre à Cortana comment ne pas répéter les mêmes erreurs.

Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels

Les données qu'on écoutait allaient d'Utilisateur A qui dit simplement "Hey Cortana, quelle sera la météo demain?" à Utilisateur B qui demande en chuchotant à Cortana de lui trouver des vidéos porno de telle ou telle catégorie...

Il y avait leurs recherches internet, leurs interactions directes avec Cortana ("Hey Cortana, raconte-moi une blague", "imite la poule", "est-ce que tu m'aimes?", "est-ce que tu ressens la douleur?"…). Les utilisateurs peuvent aussi dicter du texte : messages, documents texte (résumés de cours, comptes-rendus professionnels...), adresses GPS, courriers administratifs (avec par exemple leur numéro de sécurité sociale), etc. ; nous avions accès à tout ça.

Elle peut être connectée à des consoles Xbox, on avait donc aussi des enregistrements provenant de ce service-là. Il y avait notamment des morceaux de communication en ligne (principalement d'ados et d'enfants) qui discutent sur les jeux en réseaux.

On avait également de nombreux extraits de conversations en ligne, sûrement sur Skype, provenant de personnes qui utilisaient un service de traduction instantanée (Microsoft Translator mais peut-être aussi Skype Translator, je ne suis pas certaine).

Nous n'avions jamais l'intégralité des conversations évidemment, elles étaient découpées en petites pistes ; cependant on pouvait tomber sur plusieurs morceaux d'une même conversation dans une même série de transcriptions (c'était suffisant pour dresser un profil basique de l'utilisateur ou de son humeur du moment par exemple).

On avait des conversations diverses, vraiment toutes sortes de choses, notamment souvent les séances sexcams de certains utilisateurs qui avaient besoin d'un service de traduction pour se faire comprendre, et dans ces cas-là les transcriptions étaient très explicites (parfois amusantes, parfois glauques). Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels. Cortana ne fait pas le tri...

Enfin, il y avait beaucoup d'enregistrements involontaires, où des personnes discutent entre elles (dans leur voiture, à la maison, avec leurs enfants sur le chemin de l'école...) tandis que Cortana est dans les parages (tablette, téléphone portable, ordinateur, etc.) et s'est déclenchée de manière non-sollicitée et a tout enregistré.

(D'ailleurs, on avait aussi beaucoup d'utilisateurs qui insultaient tout simplement Cortana, car elle s'était déclenchée de façon non-sollicitée, ou avait mal compris une requête... Vous n'imaginez pas le nombre de fois où j'ai entendu "Sale pute Cortana !" )

On avait ainsi accès à énormément de données personnelles, que ce soit des bribes de conversations privées en ligne ou bien hors ligne.

N'importe qui pouvait être engagé

Pour pouvoir être embauché (ils recrutaient en grand nombre), il fallait s'inscrire sur le site de l'entreprise, postuler puis suivre une formation en ligne conclue par un examen final. Si on avait un pourcentage de réussite satisfaisant, on était engagé. Auquel cas, le manager nous faisait créer un compte sur le site internet de télétravail (une plate-forme externe, utilisée par plusieurs compagnies comme celle qui m'avait engagée), et le travail commençait.

Il n'y avait pas besoin d'envoyer son CV, ni aucun entretien individuel avec un responsable ou un manager (ni par téléphone, ni par Skype, ni e-mail, rien). N'importe qui pouvait être engagé et avoir accès aux enregistrements du moment qu'ils en avaient les compétences techniques, que l'examen final avait été réussi. Pourtant, nous avions accès à des informations sensibles et personnelles.

Beaucoup de personnes ignorent ou oublient que les données collectées par Cortana (et autres outils du genre) ne sont pas uniquement traitées par des robots, mais bien aussi par des êtres-humains.

En m'inscrivant sur le site de l'entreprise, j'ai accepté ses conditions d'utilisations en cochant machinalement des petites cases, celles-ci parlaient d'une multitudes de choses, mais à ce que je me souviens il n'y avait pas d'emphase spéciale sur le respect de la vie privée des utilisateurs de nos clients. Et à aucun moment j'ai signé de ma main un contrat de confidentialité.

Ils m'ont pourtant bien demandé de signer et renvoyer un document relatif aux taxes et impôts ; ils auraient pu en faire autant pour le respect de la confidentialité.

Et sur plus d'une cinquantaine de pages d'instructions détaillées sur comment traiter les transcriptions, pas une seule ligne ne mentionnait le respect de la vie privée des utilisateurs. Pas un seul des nombreux e-mails du manager que nous recevions chaque semaine, rien n'a jamais été dédié au respect de la vie privée (en ligne et hors ligne) des utilisateurs.

Et ce dont je parle ici ne concerne pas uniquement les utilisateurs français de Cortana, il y avait des équipes de transcripteurs pour une multitudes de langues (anglais, portugais, espagnol, etc.). On avait le même manager et les mêmes instructions générales.

En théorie, les données étaient anonymes pour les transcripteurs, c'est-à-dire que nous n'avions jamais les identifiants des utilisateurs que nous écoutions, et les pistes étaient généralement distribuées de façon aléatoire et désordonnée, en plus d'être parfois découpées. Cependant, inévitablement il arrivait que les utilisateurs révèlent un numéro de téléphone, une adresse, des coordonnées, date de naissance, numéros importants, événements auxquels ils allaient se rendre, etc.

Certaines voix se reconnaissent facilement, et bien que les pistes étaient aléatoires et dans le désordre, mises bout à bout elles auraient dans quelques cas pu suffire à un transcripteur déterminé pour identifier un utilisateur. De plus, on travaillait tous depuis nos propres ordinateurs, il était donc facile de récupérer les enregistrements qu'on traitait si on le voulait.

Selon moi, ce n'était pas bien sécurisé, surtout quand on considère le fait qu'on avait aussi beaucoup d'enregistrements provenant d'enfants. Mais il faut comprendre que ce genre de traitement de données est de toute façon impossible à sécuriser entièrement (encore moins quand on sous-traite), car des données récoltées massivement ne peuvent pas être triées parfaitement, des informations sensibles passeront toujours.

Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti

Enfin, j'aimerais parler du fait qu'il me semble évident que la plupart des logiciels de reconnaissance vocale et assistants virtuels doivent se construire comme Cortana, donc il est important que les gens mesurent ce qu'utiliser de tels logiciels implique (ce que j'ai décrit n'est assurément pas juste typique à Microsoft).

Avec l'affluence des nouveaux ''assistants personnels virtuels'', le champs des possibles pour la collecte de données s'est développé de manière fulgurante.
Le modèle de Microsoft (et les autres GAFAM) n'est pas basé sur le respect de la vie privée et la non-intrusion, c'est le contraire.

Les outils comme Cortana sont hautement intrusifs et ont accès à une liste impressionnante de données personnelles, qu'ils exploitent et développent simultanément.

La collecte de données qu'ils peuvent permettre peut être utilisée à votre insu, détournée, utilisée contre votre gré, tombée entre de mauvaises mains, être exploitée à des fins auxquelles vous n'avez jamais consciemment donné votre accord…

Personnaliser les paramètres de confidentialité de services de ce genre requiert parfois des compétences en informatique qui dépassent l'utilisateur amateur, et des écrans de fumée font oublier que vous sacrifiez et marchandez votre vie privée à l'aide de formules comme "personnalisation du contenu", "optimisation des résultats", "amélioration de votre expérience et de nos services".

Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti.

Merci beaucoup à Julie pour son témoignage !

Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

]]>
Newsletter #7810509 at https://www.laquadrature.nethttp://isyteck.com/autoblog/quadrature/index.php5?20180517_190755_Newsletter__78Thu, 17 May 2018 17:07:55 +0000Salut à toutes et à tous !

Voici la newsletter 78 de La Quadrature du Net !

Sommaire

L'activité de La Quadrature du Net

Newsletter, le retour

La newsletter de La Quadrature est enfin de retour !
Pourquoi un tel silence ? L'équipe des salariés de l'association a connu une recomposition importante, après le départ de Chris et d'Adrienne à la fin de l'été 2017. Il a fallu redistribuer les rôles, prendre ses marques en tâtonnant un peu. Et puis l'automne et l'hiver ont été chargés, entre la campagne de dons (un grand merci pour votre soutien renouvelé pour une année !), l'organisation du CCC (https://www.ccc.de/en/) - nouvellement installé à Leipzig - et une actualité politique animée - grâce aux diverses lois imaginées par le gouvernement Macron et à notre nouvelle campagne pour la protection des données personnelles.
Cette newsletter présente donc l'essentiel de l'actualité de ces trois derniers mois (janvier-mars 2018), pour ceux qui nous suivent de loin. Si vous cherchez des infos plus détaillées et surtout plus fréquentes sur nos actions, le bulletin QPSTAG (Que se passe-t-il au Garage ?) est diffusé chaque semaine sur la liste discussion@laquadrature.net.
Inscrivez-vous aux listes de diffusion ici : https://wiki.laquadrature.net/Listes_de_discussion

Nouveaux membres

Le 12 mars dernier, nous avons annoncé l'arrivée de nouveaux membres au sein de l'association, avec deux objectifs : acter l'engagement de bénévoles parmi les plus proches et les plus impliqués, et ouvrir l'espace de réflexion de l'association en accueillant des compétences et des sensibilités plus diverses. La première AG de ce nouveau groupe de travail a eu lieu pendant le week-end de Pâques, du samedi 31 mars au lundi 2 avril.
Une annonce à lire ici : https://www.laquadrature.net/fr/ouverture_nouveaux_membres

Campagne de dons 2017-2018

Merci beaucoup ! Grâce à vous, nous avons rassemblé assez d'argent pour faire fonctionner l'association jusqu'à la fin de 2018. Le bilan est en ligne sur notre site. Rendez-vous à la fin de l'année pour tenter de prolonger l'action une année encore !
Le bilan de campagne à lire ici :https://www.laquadrature.net/fr/bilan_campagne_dons_2017

Données personnelles sur tous les fronts

C'est le gros sujet de ce début d'année !
Entre l'entrée en application du RGPD à partir du 25 mai, la discussion autour du projet de loi sur les données personnelles, et l'affaire Cambridge Analytica qui met à jour le modèle économique de Facebook et d'innombrables autres sociétés du web, le problème de l'exploitation illégale de nos données personnelles a connu en ce début d'année un gros regain d'intérêt dans les médias. La Quadrature du Net a participé au débat à chaque fois qu'elle en a eu l'occasion.

Données personnelles : le projet de loi

Mi-mars, le projet de loi données personnelles était au Sénat. La commission en charge du dossier a refusé d'amender le texte pour encadrer les activités des services de renseignement, malgré les obligations édictées par la directive européenne. La Quadrature du Net a donc rédigé des amendements et invité les sénateurs et sénatrices de tous bords à les soutenir. Notre appel a été entendu, et nos amendements les plus importants ont été déposés et soutenus. Un seul a été accepté, concernant le chiffrement.
Début avril, après le vote du projet de loi au Sénat, est arrivée l'heure de la commission mixte paritaire, chargée de trouver un accord entre les deux textes votés à l'Assemblée nationale et au Sénat. À la veille de ce moment important, l'Observatoire des Libertés et du Numérique (OLN), dont fait partie La Quadrature du Net, a publié une lettre adressée aux parlementaires. Elle réaffirmait les points cruciaux à nos yeux, comme le droit au chiffrement et à la portabilité des données.
La commission mixte paritaire s'est finalement séparée sans arriver à un accord. Le texte repart donc pour une nouvelle navette entre les deux chambres.
Invitation à soutenir nos amendements au Sénat : https://www.laquadrature.net/fr/pjl_rgpd_senat_com
Nos amendements (PDF) : https://www.laquadrature.net/files/amendements_lqdn_pjl_rgpd_27_02_2018.pdf
Lettre ouverte de l'OLN aux membres de la CMP : https://www.laquadrature.net/fr/cmp_pjl_rgpd

Action de groupe contre les GAFAM

Le RGPD entre en application le 25 mai, mais nous avons des doutes sur le fait qu'il soit bien appliqué comme il se doit. Est-ce que des entreprises comme Facebook ont vraiment l'intention de cesser cette surveillance de masse dont elles tirent tous leurs profits ? On en doutait alors on a pris les devants. Le 16 avril, on a lancé une campagne visant à récolter un maximum de mandats pour mener UNE ACTION DE GROUPE CONTRE LES GAFAM !!! La CNIL pourra, à partir du 24 mai, sanctionner à hauteur de 4% du chiffre d'affaires mondial mais si on veut qu'elle agisse il faut qu'on soit nombreux à rejoindre l'action de groupe.
Rejoignez l'action : gafam.laquadrature.net !!!!
Sur le site vous trouverez chaque semaine une vidéo expliquant pourquoi on attaque chacun des GAFAM et un texte d'analyse lié.
Vous pouvez aussi créer et partager vos affiches ici : https://gafam.laquadrature.net/#poster
Rejoignez-nous dans notre action (pour rappel, les particuliers donnant mandat à La Quadrature dans le cadre de cette action de groupe ne prennent aucun risque personnel, que ce soit sur un plan juridique ou financier) et faites circuler l'information autour de vous !

Données personnelles : ePrivacy

Certaines dispositions du RGPD, protectrices pour les utilisateurs, gênent beaucoup les entreprises privées qui prospèrent actuellement sur l'exploitation de nos données personnelles. Certaines d'entre elles (publicitaires et groupes de presse en tête) ont donc écrit au gouvernement français (PDF) pour le supplier de réintroduire dans le règlement ePrivacy (toujours en discussion) des dispositions qui leur permettraient de continuer leur juteux business. « L’économie de la donnée est un pilier de la croissance, de la création d’emplois et du progrès » : le gouvernement de la « Start-up Nation » n'a pas dû être très difficile à convaincre avec de telles phrases. La Quadrature adresse à son tour une lettre ouverte aux ministres.
Un lettre ouverte à lire ici : https://www.laquadrature.net/fr/eprivacy_marchandisation

Surveillance : Marseille, ville laboratoire

La mairie de Marseille veut déployer un « observatoire Big Data de la tranquillité publique », confié à une entreprise privée : ce grand fourre-tout sécuritaire agrègera des informations venues des services de police, des pompiers, de la justice, de la sécurité routière, de la vidéosurveillance urbaine, des hôpitaux et même de la météo pour prédire les zones d'espace et de temps où des faits de délinquances sont susceptibles d'avoir lieu. Les habitants seront aussi invités à alimenter la base de données, à l'aide d'une application mobile, dans le genre de celle que lance de son côté la ville de Nice (Reporty).
Félix Tréguer, président de La Quadrature du Net et habitant de Marseille, a exercé le droit d'accès aux documents administratifs que détient chaque citoyen pour obtenir le Cahier des Clauses Techniques Particulières qui décrit le objectifs et les moyens du dispositif.
Il livre son analyse.
Une tribune à lire ici : https://www.laquadrature.net/fr/surveillance_big_data_marseille

Opérateurs téléphoniques : que savent-ils de nous ?

Les opérateurs téléphoniques collectent une grande quantité de données personnelles à travers nos téléphones (métadata de nos échanges, géolocalisation, etc.) : mais lesquelles précisément, et sont-ils prêts à le reconnaître ? Pour le savoir, quatre bénévoles de La Quadrature du Net ont écrit aux quatre grands opérateurs mobiles français (Orange, Free Mobile, Bouygues Telecom et SFR) pour leur demander l'accès, autorisé par la loi, aux données personnelles détenues par leurs fournisseurs téléphoniques respectifs. Trois mois plus tard, aucune réponse satisfaisante. Mais l'étape suivante était prévue : quatre plaintes ont donc été déposées auprès de la CNIL, une contre chaque opérateur. On attend désormais les réponses...
Une histoire à suivre, à lire ici : https://www.laquadrature.net/fr/conservation_operateurs

Au secours, les recours !

Quand une loi est votée, on peut encore la changer : il suffit de l'attaquer devant le Conseil constitutionnel – et de gagner. C'est ce à quoi s'emploient La Quadrature du Net, FDN et la Fédération FDN, dans le groupe informel des Exégètes amateurs. Mais cet hiver, deux recours devant le Conseil constitutionnel ont reçu un jugement défavorable.
D'abord, le « recours Chambord », jugement rendu le 2 février dernier : il s'agissait de rendre à tous le droit de photographier les monuments nationaux. Malheureusement, le Conseil constitutionnel a confirmé le « droit à l'image » consenti en 2016 aux gestionnaires de ces momuments. Une décision que Lionel Maurel, membre fondateur de La Quadrature du Net, analyse en détail dans ses conséquences.
Le 4 mars, le Conseil constitutionnel a rejeté le recours déposé pour contester l'obligation faite à une personne gardée à vue de remettre à la police ses clefs de chiffrement. Une décision assortie de conditions (l'aval d'un juge, en particulier), mais une déception expliquée dans notre analyse.
Décision Chiffrement : texte du recours https://www.laquadrature.net/fr/conseil-constitutionnel-clefs-chiffrement et décision du Conseil constitutionnel https://www.laquadrature.net/fr/le-conseil-constitutionnel-restreint-le-...
Décision Chambord : https://www.laquadrature.net/fr/apres-d%C3%A9cision-chambord-comment-sortir-d-un-domaine-public-residuel

FAKE NEWS, FAUX DÉBAT

Emmanuel Macron veut une loi pour interdire les « fake news », les fausses nouvelles et les manipulations médiatiques en ligne qui ont connu leur heure de gloire au moment de l'élection de Donald Trump aux États-Unis d'Amérique. La Commission européenne se pose elle aussi la question de savoir si elle peut aussi légiférer de son côté. La Quadrature du Net a donc répondu à sa consultation, pour dire non : la question des fake news est un faux problème, il s'agit avant tout d'un problème de logique économique desplateformes et des réseaux sociaux.
Une réponse à consultation à lire ici : https://www.laquadrature.net/fr/consultation_fake_news


Revue de Presse

Action contre les GAFAM

Loi RGPD

  • Sénat 360 : Débat protection des données personnelles — Public Sénat
  • Vidéo – Session « Protection des données : mythes ou réalités » — Inria-Alumni-Sif

Facebook & Cambridge Analytica

  • Antoinette Rouvroy: "À mon sens, Zuckerberg est dépassé" — L'Écho
  • J'ai voulu reprendre le contrôle de mes données — France Culture
  • Protection des données personnelles : faut-il brûler Facebook ? — France Inter
  • Face à Facebook, les options de l'internaute inquiet — Capital
  • Scandale Facebook : "Soyons clairs, le contrat démocratique est mort" — Marianne
  • Exploitation de nos données : quand le sage pointe le problème, l'idiot ne regarde que Facebook — Next INpact
  • Tristan Nitot : Facebook a « laissé faire » Cambridge Analytica — Le Point

Données personnelles

  • Données de connexion : la Quadrature du Net traîne quatre opérateurs devant la CNIL — Next INpact
  • À qui confier notre portefeuille de données personnelles ? — France Culture

Plateformes et « fake news »

  • La liberté d’expression prise au piège des réseaux sociaux — Mediapart
  • « Fake news » : « Les réseaux sociaux ne se soucient pas de ce que nous partageons » — Le Figaro
  • Fake news : analyse ligne par ligne de la future loi contre les fausses informations — Next INpact
  • Internet : comment le gratuit fait du client un produit — Le Parisien

Censure et surveillance

  • Les Pays-Bas rejettent une loi sur le renseignement — Le Monde
  • Reconnaissance faciale : comment nos visages sont traqués — Le Monde
  • La CNIL défavorable à l’utilisation de l’application de sécurité Reporty à Nice — Le Monde
  • Big Data de la tranquillité : le Minority Report de Marseille — Next INpact
  • À Marseille, un algorithme pour « anticiper la sécurité » — Le Monde
  • En Chine, travailler malgré la censure du Net — Le Monde
  • Blocage administratif : bras de fer entre la personnalité qualifiée de la CNIL et l’Intérieur — Next INpact
  • Technologies de prédiction du crime : Palantir a scruté les citoyens de la Nouvelle-Orléans en secret pendant 6 ans — TV5Monde
  • Cybersécurité : l’État appelle les télécoms à la rescousse — Libération
  • Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025 — Next INpact

Neutralité du net

  • Mitchell Baker : « La question est de savoir quel Internet nous voulons » — Le Monde


Participer

Il existe de nombreuses façons de participer à l'action menée par La Quadrature du Net. Vous pouvez aider La Quadrature en parlant de ses publications autour de vous, et en les diffusant sur vos blogs, Twitter,Diaspora*, vos réseaux sociaux, listes de discussion… Bref, en « buzzant ».

Vous pouvez également participer à nos listes de discussion ou échanger sur notre chat (ou directement sur notre canal IRC : #laquadrature sur irc.freenode.net).

La Quadrature du Net a aussi besoin d'aide pour un grand nombre de tâches quotidiennes, par exemple pour l'édition de sa revue de presse, des traductions, la mise à jour de son wiki, des créations graphiques ou sonores… Si vous en avez la capacité, vous pouvez contribuer à améliorer les outils comme Memopol, < ahref="http://respectmynet.eu/">Respect My Net, ou le Piphone,ContrôleTes Données, ou bien nous proposer de nouveaux projets sur notre GitLab. N'hésitez pas à nous contacter pour avoir plus d'information à ce sujet.

Enfin, si vous en avez les moyens, vous pouvez également nous souteniren effectuant un don.


Calendrier

Mai 2018 :

Juin 2018 :

  • 6 : réunion de préparation pour la campagne de dons 2018 : venez nous aider à imaginer notre campagne de dons de fin d'année ! (Au Garage, 60 rue des Orteaux, Paris, 19h)
  • 8 : Quadrapéro au Garage (60 rue des Orteaux, Paris, 19h)
  • 12 : Conférence de l'OLN sur les données personnelles, avec Lionel Maurel, Antonio Casilli, membres de La Quadrature du Net, et Arthur Messaud
  • 28-29 juin - 1er juillet : PSES - conférence "Actions de groupe contre les GAFAM" le 1er juillet à 15h (Arthur) : https://programme.passageenseine.fr/

Juillet 2018 :


English Version

The newsletter is back

Why such a long silence? The paid staff went through important changes after Chris and Adrienne left at the end of summer 2017, and the arrival of Myriam (administrator) and Marine (art and communication director). We needed time to reassign roles and find our bearings with a bit of fumbling... Autumn and winter were busy times: our support campaign (thanks again for another year of support!), the organisation of our tea-house at the CCC (now taking place at Leipzig (https://www.ccc.de/en/ ), and lively political developments - thanks to various laws conceived by the Macron government and to our new campaign to protect privacy.
This newsletter presents a summary of key points from the past three months (January-March 2018) for those following us from afar. If you're looking for more precise and frequent information about our actions, our weekly newletter in French, QPSTAG ("Que se passe-t-il au garage ?" or "What's on at the garage?") is sent out from discussion@laquadrature.net.
Subscribe to mailing-lists here: https://wiki.laquadrature.net/Listes_de_discussion/en

New members

Last 12 March, we announced the arrival of new members in the core of the association. Here are their two objectives: to engage volunteers among those closest and most involved in LQdN, and to open a space for reflection within the Association by accommodating more diverse skills and sensibilities. The first general meeting of this new taskforce took place over the Easter weekend, from Saturday, March 31 to Monday, April 2.
Read our announcement: https://www.laquadrature.net/en/node/10444

Donation Campaign 2017-2018

Thanks a lot! We have collected enough money to go forward until the end of 2018. The result is available on our site. We will meet again at the end of the year to try to keep this going for another year! \o/
Read the campaign's results here: https://www.laquadrature.net/en/Founding%20campaign%202017

Personal Data On All Fronts

Between the implementation of the RGPD from May 25, the discussion of the bill on personal data in the French Parliament, and the Facebook-Cambridge Analytica scandal that revealed Facebook's economic model to the general public: the problem of the illegal exploitation of our personal data has seen a big revival of interest in the media since the beginning of the year. La Quadrature du Net took part in the debate at every opportunity.

Personal Data: a French bill under discussion

In mid-March, the bill concerning personal data was examined in the French Senate. The commission in charge of the bill refused every amendment in the provisions regarding aiming at overseeing the activities of French intelligence services, in spite of the obligations laid down by the European directive. La Quadrature du Net wrote amendments and invited senators of both wings to defend them during the discussion. Our call was heard and our main amendments were supported. But only one of them was adopted (regarding cryptography).
In the beginning of April, after the bill was voted by the Senate, a commission was in charge of finding an agreement between the two bills voted by the Assemblée Nationale and the Senate. The day before this important meeting, the OLN (Observatoire des Libertés et du Numérique) published an open letter to members of the two chambers. It states again several points important to us, such as the right to encrypt and the portability of data.
The commission parted without coming to an agreement, and so the draft bill will go back and forth again between the two chambers.
Call for our amendments (in French): https://www.laquadrature.net/fr/pjl_rgpd_senat_com
Our amendments (PDF in French): https://www.laquadrature.net/files/amendements_lqdn_pjl_rgpd_27_02_2018.pdf
Open letter to the members of the French Parliament: https://www.laquadrature.net/fr/cmp_pjl_rgpd (in French)

Extrajudicial Class Action Against the GAFAM

The GDPR comes into effect on the 25th of May, but we doubt that it will be properly applied. Do companies such as Facebook and Google really intend to stop the mass surveillance from which they make their money? So we have decided to take pre-emptive action, and have begun collecting individual mandates in order to file a class action against the GAFAM.
French citizens are invited to join the action here: https://gafam.laquadrature.net (in French)

Personal Data : ePrivacy

Certain provisions of the GDPR which protect European citizens' private lives are a real impediment for private companies that live off the exploitation of personal data. Some of them (mainly advertising and press companies) pleaded their case with the French government and asked them to reinstate in future regulation a set of provisions allowing the safety of their profitable businesses. The government of the self-designated "Start-Up Nation" was easily convinced. La Quadrature du Net adresses its own open letter (FR) to the ministers.
Read the open letter here: https://www.laquadrature.net/fr/eprivacy_marchandisation (in French)

Marseille, A Laboratory for Surveillance

The mayor of Marseille, France's third major city, wants to build a "Big Data Observatory For Public Security" and has handed the project to a private company: this catch-all will gather information from the police, fire departments, road safety, legal bodies, CCTV, hospitals and even weather services to predict locales and times where delinquency is likely to take place. Residents of the city are also invited to feed a database through a mobile application very similar to Reporty, the app acquired by the city of Nice.
Félix Tréguer, founding member of La Quadrature du Net, managed to obtain access to the documents describing the objectives and means of the project.
Read his analysis here: https://www.laquadrature.net/fr/surveillance_big_data_marseille (in French)

Mobile Phone Operators: What Do They really Know?

Mobile phone operators collect a huge amount of personal data (metadata from our voice or text conversations, localisation, etc.). But which ones precisely? Are they ready to reveal and acknowledge the true extent of their databases? For the record, four members of La Quadrature du Net asked their own mobile operators (Orange, Free Mobile, Bouygues Telecom et SFR) access, authorised by law, to mail them the personal data held by their telephone providers. Three months later, the four operators had not given a satisfactory response. But the next step had already been planned: four cases have been filed against them with the CNIL, the French data protection authority. We're waiting now for the replies...
Read the whole story here: https://www.laquadrature.net/fr/conservation_operateurs (in French)

Litigations

When a law is voted, you can still change it: but you have to plead before the Constitutional Council–and win... This is the purpose of the Exégètes amateurs, an informal group of law experts from La Quadrature du Net, FDN and FFDN. But last winter, two of their actions were rejected by the French constitutional court.
First, on 2 February, the "Chambord" action: the point was to give back to every citizen the right to take a picture of a public monument and share it freely. Unfortunately, The Constitutional Council confirmed the "right to the image" granted in 2016 to the administrators of such monuments. Lionel Maurel, active member of SavoirsCom1 and founding member of La Quadrature du Net, analyses the consequences of this decision (FR).
On 4 March, the Council rejected a recourse intending to contest the obligation that a person placed in custody give the encryption key of their mobile phone to the police. The decision comes with a few conditions (such as the prior approval of a civil or criminal judge), but we explain why it is still a disappointment (FR).

Fake news, phony debate

Emmanuel Macron wants to forbid "fake news", and other types of online media manipulations that were popularised during the American presidential campaign won by Donald Trump. The European Commission also wonders if it can legislate on the matter: La Quadrature du Net answered the European consultation. The answer is no, "fake news" are a phony debate, the real problem is the click-bait favoring business model of platforms and social neworks.
Read the extensive answer here : https://www.laquadrature.net/en/node/10435

Press Review

Rubrique

  • As Zuckerberg Smiles to Congress, Facebook Fights State Privacy Laws — Wired
  • U.K. Assessing Evidence After Search at Cambridge Analytica — Bloomberg
  • Dutch say 'no' in referendum on spy agency tapping powers — Reuters

Pour vous inscrire à la newsletter, envoyez un email à actu-subscribe@laquadrature.net

Pour vous désinscrire, envoyez un email à actu-unsubscribe@laquadrature.net

]]>
Salut à toutes et à tous !

Voici la newsletter 78 de La Quadrature du Net !

Sommaire

L'activité de La Quadrature du Net

Newsletter, le retour

La newsletter de La Quadrature est enfin de retour !
Pourquoi un tel silence ? L'équipe des salariés de l'association a connu une recomposition importante, après le départ de Chris et d'Adrienne à la fin de l'été 2017. Il a fallu redistribuer les rôles, prendre ses marques en tâtonnant un peu. Et puis l'automne et l'hiver ont été chargés, entre la campagne de dons (un grand merci pour votre soutien renouvelé pour une année !), l'organisation du CCC (https://www.ccc.de/en/) - nouvellement installé à Leipzig - et une actualité politique animée - grâce aux diverses lois imaginées par le gouvernement Macron et à notre nouvelle campagne pour la protection des données personnelles.
Cette newsletter présente donc l'essentiel de l'actualité de ces trois derniers mois (janvier-mars 2018), pour ceux qui nous suivent de loin. Si vous cherchez des infos plus détaillées et surtout plus fréquentes sur nos actions, le bulletin QPSTAG (Que se passe-t-il au Garage ?) est diffusé chaque semaine sur la liste discussion@laquadrature.net.
Inscrivez-vous aux listes de diffusion ici : https://wiki.laquadrature.net/Listes_de_discussion

Nouveaux membres

Le 12 mars dernier, nous avons annoncé l'arrivée de nouveaux membres au sein de l'association, avec deux objectifs : acter l'engagement de bénévoles parmi les plus proches et les plus impliqués, et ouvrir l'espace de réflexion de l'association en accueillant des compétences et des sensibilités plus diverses. La première AG de ce nouveau groupe de travail a eu lieu pendant le week-end de Pâques, du samedi 31 mars au lundi 2 avril.
Une annonce à lire ici : https://www.laquadrature.net/fr/ouverture_nouveaux_membres

Campagne de dons 2017-2018

Merci beaucoup ! Grâce à vous, nous avons rassemblé assez d'argent pour faire fonctionner l'association jusqu'à la fin de 2018. Le bilan est en ligne sur notre site. Rendez-vous à la fin de l'année pour tenter de prolonger l'action une année encore !
Le bilan de campagne à lire ici :https://www.laquadrature.net/fr/bilan_campagne_dons_2017

Données personnelles sur tous les fronts

C'est le gros sujet de ce début d'année !
Entre l'entrée en application du RGPD à partir du 25 mai, la discussion autour du projet de loi sur les données personnelles, et l'affaire Cambridge Analytica qui met à jour le modèle économique de Facebook et d'innombrables autres sociétés du web, le problème de l'exploitation illégale de nos données personnelles a connu en ce début d'année un gros regain d'intérêt dans les médias. La Quadrature du Net a participé au débat à chaque fois qu'elle en a eu l'occasion.

Données personnelles : le projet de loi

Mi-mars, le projet de loi données personnelles était au Sénat. La commission en charge du dossier a refusé d'amender le texte pour encadrer les activités des services de renseignement, malgré les obligations édictées par la directive européenne. La Quadrature du Net a donc rédigé des amendements et invité les sénateurs et sénatrices de tous bords à les soutenir. Notre appel a été entendu, et nos amendements les plus importants ont été déposés et soutenus. Un seul a été accepté, concernant le chiffrement.
Début avril, après le vote du projet de loi au Sénat, est arrivée l'heure de la commission mixte paritaire, chargée de trouver un accord entre les deux textes votés à l'Assemblée nationale et au Sénat. À la veille de ce moment important, l'