Autoblog de la La quadrature du net

Ce site n'est pas le site officiel de la Quadrature du net.
C'est un blog automatisé qui réplique les articles de laquadrature.net

Les comptes 2017 de La Quadrature du Net

Wed, 02 May 2018 11:24:50 +0000 - (source)

La Quadrature du Net a pour habitude de publier sur son site web ses comptes annuels. Voici ceux de l'année 2017, qui ont été approuvés par l'Assemblée Générale du 1 avril 2018.

Commentaire de présentation

La Quadrature du Net est une association déclarée depuis 2013. La campagne de dons de 2016 a été similaire à la précédente, assurant une fois encore une bonne partie du financement sur 2017, notamment grâce aux dons récurrents et ponctuels qui (hors des temps de campagne de dons) représentent plus de 13 000 € par mois. Grâce à ces campagnes de dons et ces dons individuels réguliers, plus de 70% de notre budget est ainsi assuré.

Les dépenses pour 2017 sont assez similaires à celles de 2016, la majorité des dépenses venant des salaires des permanents et stagiaires de l'association, qui permettent d'assurer son activité au jour le jour.

Benjamin Sonntag pour La Quadrature du Net

Les comptes 2017

 

Banque  2017

%

1. SOLDE EN DEBUT DE MOIS

   

Encaissement

   

A1. Dons LQDN

   

Dons individuels

263 570,53 €

72%

Dons entreprises

11 652,26 €

3%

Dons fondations

79 693,36 €

22%

Remboursements conférences

3 721,51 €

2%

Financement d’un poste aidé

3 496,80 €

2%

Intérêts financiers

567,89 €

-%

2. TOTAL RECETTES

362 702,35 €

100%

B. Décaissements

   

B1. d'exploitation

   

B1.1 Dépenses LQDN

   

Salaires

163 293,02 €

41%

URSSAF & Tickets Restau

141 115,00 €

35%

Local (Loyer, EDF, Tel)

28 234,65 €

7%

Frais Généraux (poste, service, buro...)

5 470,14 €

2%

Équipements (informatique, vidéo …)

4 387,58 €

1%

Transport

17 109,13 €

4%

Campagnes, Communauté

14 676,40 €

4%

Frais bancaires, Assurance

3 199,49 €

1%

Divers (goodies, projets ponctuels...)

13 079,97 €

3%

Prestations de service

7 445,00 €

2%

3. TOTAL DÉPENSES

398 010,38 €

100%

C1.  Epargne

   

Livret A & Instrument Financier

83 178,55 €

 

Z1. Totaux

   

Résultat

-35 304,83 €

 
     

Compte courant au 31.12.2017

160 294,96 €

Livret A au 31.12.2017

83 178,55 €

Solde trésorerie

243 473,51 €


Pourquoi attaquer Facebook ?

Thu, 19 Apr 2018 16:05:57 +0000 - (source)

19 avril 2018 - Notre campagne d'actions de groupe commence par Facebook, qui est l'illustration la plus flagrante du modèle que nous dénonçons : rémunérer un service en échange de notre vie privée et de notre liberté de conscience. Détaillons aujourd'hui les conséquences de ses activités.

Alors que le RGPD entre en application dans un mois, Facebook campe sur ses positions et défend son modèle économique, annonçant il y a deux jours que ses services resteraient inaccessibles aux utilisateurs refusant d'être ciblés. Les modifications que l'entreprise souhaiterait faire (EN) pour, soi-disant, donner plus de contrôle à ses utilisateurs, apparaissent dès lors comme bien marginales et anecdotiques.

Revenons en détail sur les conséquences du modèle Facebook.

L'entreprise Facebook

Facebook a été créé il y a 14 ans, notamment par Mark Zuckerberg, son actuel directeur général, et emploie 25 000 salariés. Son chiffre d'affaire de 30 milliards d'euros repose à 98 % sur l'affichage publicitaire, proposé à 2,2 milliards d'utilisateurs actifs. Le site Facebook serait le 3ème site Internet le plus visité (classement Alexa), mais l'entreprise détient également WhatsApp et Messenger (services de messageries), ainsi qu'Instagram (réseau de partage de photos et de vidéos, 17ème site Internet le plus visité).

L'entreprise explique sans pudeur son fonctionnement : des personnes qui souhaitent diffuser un message (une publicité, un article, un événement, etc.) désignent à Facebook un public cible, selon certains critères sociaux, économiques ou de comportement, et paient l'entreprise pour qu'elle diffuse ce message à ce public, dans les meilleures conditions.

Ce fonctionnement implique deux choses : connaître chaque utilisateur, puis afficher les messages devant être diffusés, au bon moment et sous le bon format, pour influencer au mieux les personnes ciblées.

Détaillons la façon dont Facebook s'y prend.

Ce que Facebook analyse

Facebook explique dans sa Politique d'utilisation des données qu'il analyse les informations suivantes :

L'entreprise explique, toujours sans pudeur, analyser ces données pour nous proposer les contenus payés de la façon la plus « adaptée » (comprendre : de la façon la plus subtile, pour passer notre attention).

Comme on le voit, la majorité des données analysées par Facebook ne sont pas celles que l'on publie spontanément, mais celles qui ressortent de nos activités.

De l'analyse de toutes ces données résulte un nouveau jeu d'informations, qui sont les plus importantes pour Facebook et au sujet desquelles l'entreprise ne nous laisse aucun contrôle : l'ensemble des caractéristiques sociales, économiques et comportementales que le réseau associe à chaque utilisateur afin de mieux le cibler.

Ce que Facebook sait de nous

En 2013, l'université de Cambridge a conduit l'étude suivante : 58 000 personnes ont répondu à un test de personnalité, puis ce test a été recoupé à tous leurs « j'aime » laissés sur Facebook. En repartant de leurs seuls « j'aime », l'université a ensuite pu estimer leur couleur de peau (avec 95 % de certitude), leurs orientations politique (85 %) et sexuelle (80 %), leur confession religieuse (82 %), s'ils fumaient (73 %), buvaient (70 %) ou consommaient de la drogue (65 %).

Cette démonstration a permis de mettre en lumière le fonctionnement profond de l'analyse de masse : quand beaucoup d'informations peuvent être recoupées s'agissant d'un très grand nombre de personnes (plus de 2 milliards pour Facebook, rappelons-le), de très nombreuses corrélations apparaissent, donnant l'espoir, fondé ou non, de révéler automatiquement (sans analyse humaine) le détail de la personnalité de chaque individu.

Aujourd'hui, Michal Kosinski, le chercheur ayant dirigé cette étude, continue de dénoncer les dangers de l'analyse de masse automatisée : il explique (EN) que, par une telle analyse de masse, de simples photos pourraient révéler l'orientation sexuelle d'une personne, ses opinions politiques, son QI ou ses prédispositions criminelles. Qu'importe la pertinence des corrélations résultant de telles analyses de masse, c'est bien cette méthode qui a été à la source du fonctionnement de Cambridge Analytica, dont les conséquences politiques sont, elles, bien certaines.

Une application aussi révélatrice qu'inquiétante de telles méthodes est l'ambition (EN) affichée par Facebook de détecter automatiquement les personnes présentant des tendances suicidaires. En dehors de cette initiative discutable2, Facebook révèle ici l'ampleur et le détail des informations nous concernant qu'il espère déduire des analyses de masse qu'il conduit.

Comment Facebook nous influence

Une fois que l'entreprise s'est faite une idée si précise de qui nous sommes, de nos envies, de nos craintes, de notre mode de vie et de nos faiblesses, la route est libre pour nous proposer ses messages au bon moment et sous le bon format, quand ils seront les plus à même d'influencer notre volonté.

L'entreprise s'est elle-même vantée de l'ampleur de cette emprise. En 2012, elle a soumis 700 000 utilisateurs à une expérience (sans leur demander leur consentement ni les informer). Facebook modifiait le fil d'actualité de ces personnes de sorte qu'étaient mis en avant certains contenus qui influenceraient leur humeur, espérant les rendre plus joyeuse pour certaines et plus tristes pour d'autres. L'étude concluait que « les utilisateurs ciblés commençaient à utiliser davantage de mots négatifs ou positifs selon l'ampleur des contenus auxquels ils avaient été “exposés” ».

Cette expérience ne fait que révéler le fonctionnement normal de Facebook : afin de nous influencer, il hiérarchise les informations que nous pouvons consulter sur ses services (le « fil d'actualité » ne représente qu'une faible partie des contenus diffusés par les personnes que nous suivons, car ces contenus sont sélectionnés et triés par Facebook).

Cette hiérarchisation de l'information ne se contente pas d'écraser notre liberté de conscience personnelle : elle a aussi pour effet de distordre entièrement le débat public, selon des critères purement économiques et opaques, ce dont la sur-diffusion de « fakenews » n'est qu'un des nombreux symptômes.

Dans son étude annuelle de 2017, le Conseil d'État mettait en garde contre la prétendue neutralité des algorithmes dans la mise en œuvre du tri : les algorithmes sont au service de la maximisation du profit des plateformes et sont dès lors conçus pour favoriser les revenus au détriment de la qualité de l'information.

Pourquoi c'est illégal ?

Dans ses toutes nouvelles conditions d'utilisation, revues pour l'entrée en application du RGPD, Facebook explique qu'il considère être autorisé à surveiller et influencer les utilisateurs au motif que ceux-ci auraient consenti à un contrat qui le prévoirait. Or, en droit, ce contrat ne suffit en aucun cas à rendre légale ces pratiques.

Le RGPD prévoit que notre consentement n'est pas valide, car non-libre, « si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat » (article 7, §4, et considérant 43 du RGPD, interprétés par le groupe de l'article 29).

Cette exigence d'un consentement libre se répercute sur la validité des dispositions qui, dans le contrat passé avec Facebook, autoriseraient ce dernier à nous surveiller et nous influencer.

En 2017, la CNIL a condamné Facebook à 150 000 euros d'amende pour avoir réalisé ses traitements sans base légale. Elle considérait alors que « l’objet principal du service est la fourniture d’un réseau social [...], que la combinaison des données des utilisateurs à des fins de ciblage publicitaire ne correspond ni à l’objet principal du contrat ni aux attentes raisonnables des utilisateurs [et qu'il incombe donc à Facebook] de veiller à ce que les droits des personnes concernées soient respectés et notamment à ce que l’exécution d’un contrat ne les conduise pas à y renoncer ». Ainsi, la CNIL « estime que les sociétés ne peuvent se prévaloir du recueil du consentement des utilisateurs [ni] de la nécessité liée à l’exécution d’un contrat ».

Puisque le contrat passé avec Facebook n'autorise pas la surveillance décrite ci-dessus, celle-ci est illicite - c'est le cœur de nos actions de groupe ! Malheureusement, les méfaits de Facebook dépassent son propre site.

Comment Facebook collabore avec des tiers

Facebook ne cache plus son activité de traçage un peu partout sur le Web, même s'agissant de personnes n'ayant pas de compte Facebook (qui se voient alors créer un « profil fantôme »).

Les méthodes de pistage sont nombreuses :

Les personnes ciblées en sont rarement informées ou leur consentement n'est pas obtenu. Facebook se dédouane de cette responsabilité en la faisant peser sur les sites et applications ayant integré ses traçeurs. Bien que ces sites et applications soient bien responsables juridiquement, Facebook l'est tout autant, l'entreprise étant régulièrement condamnée pour ce pistage illicite, sans pour autant y mettre un terme :

Facebook trace également sur smartphone

L'entreprise ne s'intéresse pas seulement aux habitudes de navigation des internautes. Les applications sur téléphone mobile sont également une cible. En fournissant une série d'outils aux développeurs d'applications, Facebook va s'incruster dans ce nouveau monde. Dès qu'une application veut se connecter à Facebook, pour une raison ou une autre, un certain nombre de données personnelles sont transmises, souvent sans lien direct avec le but initial de l'application et, souvent aussi, sans que l'utilisateur n'en soit même informé.

L'association Exodus Privacy a mis en évidence l'omniprésence de ces traqueurs dans les applications mobiles. Si certains traqueurs affichent leurs intentions (cibler les utilisateurs à des fins publicitaires), d'autres ont un fonctionnement parfaitement opaque. Ainsi, nous avons pu observer que l'application Pregnancy + récolte les informations privées de l'enfant à naître (afin d'accompagner les parents dans la naissance) et les transmet à Facebook (semaine de grossesse et mois de naissance attendu). Sur son site, l'application explique simplement transmettre à des tiers certaines données pour assurer le bon fonctionnement du service… Grâce à Pregnancy +, votre enfant a déjà son compte Facebook avant même d'être né !

Autre exemple flagrant : en analysant les données émises par l'application Diabetes:M, on constate qu'elle envoie à Facebook l'« advertising ID » de l'utilisateur, donnant ainsi à Facebook une liste de personnes atteintes de diabète. Sur son site, l'application se contente d'expliquer travailler avec des réseaux publicitaires, sans autre détail…

WhatsApp et Instagram

Évidemment, la surveillance exercée par Facebook va s'étendre à ses deux grandes filliales : sa messagerie, WhatsApp, et le réseau social d'image et de vidéo, Instagram.

Le rachat de WhatsApp a mis en lumière le comportement de sa maison mère. La Commission européenne a d'abord sanctionné Facebook d'une amende de 110 millions d'euros sur le plan du droit de la concurrence, puis la CNIL française s'est prononcée sur le plan des données personnelles. En décembre dernier, elle a mis en demeure Facebook d'arrêter d'imposer aux utilisateurs de WhatsApp d'accepter que leurs informations soient transférées au réseau social.

Encore une fois, c'est le consentement libre qui faisait défaut : WhatsApp ne pouvait pas être utilisé sans donner son consentement à des mesures purement publicitaires. Ceci est désormais clairement interdit.

Comment Facebook peut-il survivre s'il ne peut plus se financer sur nos données ?

Le modèle économique de Facebook est en train d'être drastiquement remis en cause. Il n'est plus permis de rémunérer un service en contrepartie de libertés fondamentales. Facebook ne va pas forcément disparaître, mais ne pourra plus continuer à se rémunérer de la même façon.

Mais qu'importe : nous n'avons pas besoin de Facebook pour pouvoir continuer d'utiliser des services gratuits et de qualité. Il existe déjà de nombreuses alternatives aux services des GAFAM qui sont réellement gratuites (c'est-à-dire qui n'impliquent pas de « monnayer » nos libertés), car leur financement repose sur le modèle originel d'Internet : la décentralisation, qui permet la mutualisation des coûts en stockage, en calcul et en bande passante.

Par exemple, La Quadrature du Net fournit à plus de 9 000 personnes l'accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n'est que l'un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la surveillance de masse).

Rejoindre collectivement ces alternatives est bien l'objectif final de nos actions, mais nous pensons pouvoir n'y parvenir qu'une fois chacun et chacune libérée de l'emprise des GAFAM. Nous pourrons alors construire l'Internet de nos rêves, libre et décentralisé, que notre alliée Framasoft construit déjà chaque jour ardemment !


Rejoignez la procédure


Détection des cyberattaques : une nouvelle loi de surveillance

Wed, 18 Apr 2018 11:27:22 +0000 - (source)

Le 18 avril 2018 - Le nouveau projet de loi de programmation militaire (LPM), présenté en Conseil des ministres le 8 février dernier et adopté en première lecture par l'Assemblée nationale le 27 mars, comporte un volet axé sur la cybersécurité. Les enjeux sont importants : lutter contre les attaques informatiques sur les réseaux. Sauf que le dispositif envisagé, reposant sur des boîtes noires – ces sondes dédiées à l'analyse du trafic Internet et placées en différents points du réseau – sous l'égide de l'ANSSI et des grands opérateurs télécoms, ouvre une brèche immense qui, de nouveau, fait planer le spectre d'une surveillance massive de nos communications.

La loi de programmation militaire (LPM) est un exercice législatif qui revient en France tous les 5 ans. La dernière LPM, adoptée en 2013 pour les années 2014-2019, étendait les accès administratifs aux données de connexion. Avec un certain retard, La Quadrature du Net s'était mobilisée contre cette disposition introduite par voie d'amendement lors des débats législatifs puis, avec l'aide des Exégètes amateurs, à travers un recours devant le Conseil d'État.

Cette année, la LPM revient avec une nouvelle mouture pour les années 2019-2025. Dans sa partie « cyber-défense » (chapitre III), ce texte modifie le code de la défense pour donner plus de moyens à l'ANSSI (Agence nationale de sécurité des systèmes d'information) pour veiller à l'intégrité et à la sécurité des réseaux. Et cette année encore, La Quadrature accuse un retard coupable. Alors que certains de ses membres s'étaient rendus le 12 février dernier à une réunion de présentation du projet de loi organisée à l'initiative de l'ANSSI, nous n'avions toujours pas donné notre avis sur le dispositif. Mieux vaut tard que jamais.

Ce texte sécuritaire fourre-tout qui fait l'objet d'un examen express pose problème en tant que tel. Il résulte en effet d'une volonté de faire passer des dispositions portant atteinte aux droits fondamentaux dans le cadre d'une loi de programmation budgétaire, alors qu'elles mériteraient un débat spécifique et approfondi. À cet égard, les dispositions relatives à la cyberdéfense que nous analysons ici doivent se lire dans un contexte plus global : le projet de loi prévoit également l'acquisition de deux drones Reaper militarisés, autorise le recueil de données génétiques par les militaires français à l'étranger, acte la montée en puissance des activités militaires dédiés à la lutte informatique offensive avec la création de 1500 nouveaux postes dédiés, et accorde une immunité pénale à ces « cyber-attaquants », en autres choses.

Ici, nous nous concentrons donc sur la détection des cyberattaques. À ce stade, le Sénat entame donc l'examen du texte en première lecture. S'il est sans doute illusoire d'espérer un rejet en bloc du dispositif, il est encore temps de corriger les sérieux problèmes contenus dans ce texte. Car en l'état, ce dispositif est flou, déséquilibré et attentatoire aux libertés.

Une collaboration entre l'ANSSI et les opérateurs volontaires

En premier lieu, la nouvelle LPM tend à favoriser les mesures de sécurité prises volontairement par les opérateurs de télécommunications1. La réglementation sur la neutralité du Net2 et celle sur la confidentialité des communications3 autorisent déjà les opérateurs de télécommunications à analyser les données de connexion (adresse IP, taille des paquets, port...) afin de « préserver l’intégrité et la sûreté du réseau, des services fournis par l’intermédiaire de ce réseau et des équipements terminaux des utilisateurs finals ».

Cette possibilité, réaffirmée par cette LPM, est complétée par celle de collaborer avec l'ANSSI, en lui transmettant les informations sur les menaces détectées et en utilisant les renseignements transmis par l'ANSSI afin de mieux cibler leurs activités de détection. À cela s'ajoute la possibilité pour l'ANSSI d'obliger les opérateurs à indiquer à leurs abonnés que la sécurité de leurs réseau a été compromise.

Dans la mesure où ces mesures restent volontaires (elles ne sont pas imposées selon les instructions de l'ANSSI), ce dispositif peut paraître légitime. Encore faut-il que l'usage des sondes soit autorisé par les abonnés concernés, qu'il soit transparent et rigoureusement contrôlé. Or, c'est loin d'être le cas.

Les opérateurs doivent être mandatés par leurs abonnés

Il manque un élément clef : le mandat de l'abonné pour la surveillance de son trafic par l'opérateur. Sans cela, ces sondes scrutant l'ensemble du trafic sont une atteinte directe au secret des correspondances, et constituent de ce point de vue un système de surveillance des abonnés. Cette surveillance étant alors opérée par un acteur privé, sans aucun contrôle.

En s'assurant que cette surveillance du trafic résulte d'une demande de l'abonné, le paradigme change. L'opérateur devient agent de l'abonné, agissant à son compte pour les questions de sécurité des systèmes, et l'abonné peut à tout moment décider de retirer sa confiance à cet agent délégataire. On peut supposer que, le secret des communications électroniques étant un principe général du droit des télécoms, la nécessité absolue de cet accord est implicite. Reste que la précision est nécessaire pour éviter tout abus.

Garantir un usage transparent et contrôlé des sondes

Par ailleurs, il faut qu'une autorité de contrôle puisse s'assurer de la bonne utilisation de ces sondes extrêmement dangereuses sur le plan de la vie privée, et qu'elle puisse faire la transparence sur l'utilisation de ces outils maniés par des acteurs privés. Cette autorité, ce devrait être l'ARCEP, à qui le projet de loi donne quelques compétences s'agissant des pouvoirs nouveaux octroyés par l'ANSSI (compétences utilement précisées et renforcées par l'Assemblée nationale, voir plus bas).

Même si le Code des postes et des communications électroniques prévoit bien que l'ARCEP contrôle le respect par les opérateurs de leurs obligations en matière de confidentialité des communications4 et en matière de neutralité du Net, le projet de loi ne prévoit rien de spécifique s'agissant de ces activités de détection de cyberattaques appelées à monter en puissance. La précision aurait sans doute de l'intérêt pour obliger l'ARCEP à les contrôler régulièrement et de manière inopinée, le cas échéant à sanctionner les abus, et à communiquer publiquement sur la nature et les suites données à ces contrôles.

Les nouvelles boîtes noires imposées par l'ANSSI

La nouvelle LPM entend également permettre à l'ANSSI d'agir directement sur les réseaux, en déployant ses propres « boîtes noires » sur les systèmes des opérateurs et fournisseurs d'accès à Internet, ainsi que ceux des hébergeurs5. Suite à un amendement adopté à l'Assemblée, le non-respect de ces obligations par les opérateurs et hébergeurs est désormais passible de sanctions (un an d’emprisonnement et 75 000 euros d’amende).

Ces boîtes noires sont définies comme « un système de détection recourant à des marqueurs techniques à seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information » (dans une formulation d'ailleurs très proche de celle donnée en 2015 dans la loi renseignement)6. La LPM limite l'utilisation des ces sondes aux cas où l'ANSSI « a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs » d'importance vitale (centrale électrique, aéroport, opérateurs télécoms, industries de défense, etc.). Or, ainsi définies, ces dispositions confèrent à l'ANSSI un pouvoir excessif.

Une atteinte injustifiée à la confidentialité des communications

La notion de « données techniques » ou « marqueurs techniques » utilisée dans le projet de loi n'a aucune définition juridique ou technique. Comme l'a relevé le journaliste Marc Rees, il s'agit bel et bien par ce vocable de contourner la jurisprudence constitutionnelle protégeant la confidentialité des communications, pour surveiller le contenu des communications et non les seules métadonnées. D'ailleurs, Guillaume Poupard, le directeur de l'ANSSI, ne se cache pas de la volonté de regarder dans le détail le contenu des communications. Lors de son audition à l'Assemblée nationale, il expliquait ainsi :

Il va donc de soi que nous traitons des données, y compris des données personnelles. C’est pourquoi le texte ne loi ne saurait comprendre une disposition visant à rassurer qui interdirait de toucher aux données personnelles : nous y touchons de fait. L’essentiel est que la finalité reste la détection et que l’on s’en tienne aux données strictement nécessaires et signifiantes. Prenons un exemple : le travail de détection consiste parfois à chercher au fin fond de pièces jointes, dans des courriers électroniques, pour y détecter un éventuel virus caché.

Entendue ainsi, la notion de « marqueurs techniques » contrevient donc directement au secret des correspondances. Or, Guillaume Poupard reconnaît lui-même que beaucoup peut déjà être fait à partir des seules métadonnées (qui renvoient en droit français aux termes de « données de connexion » ou d'« informations et documents », utilisés par exemple par la loi renseignement)7. Ci ces métadonnées peuvent déjà révéler beaucoup d'informations sur notre vie, limiter le pouvoir de surveillance de l'ANSSI à ces seules métadonnées aurait au moins le mérite de ne pas anéantir l'ensemble de l'édifice juridique qui protège encore un tant soit peu peu la confidentialité de nos communications.

Quel degré de surveillance pour quelles menaces ?

De même, la LPM n'établit aucun lien de causalité entre la menace pour les autorités publiques et les opérateurs d'importance vitale, d'un côté, et, de l'autre, les « événements susceptibles d’affecter la sécurité des systèmes » que les boîtes noires doivent détecter. Un tel lien doit être établi afin que l'ANSSI ne puisse analyser le trafic qu'aux seuls points du réseau où elle pourra détecter les menaces affectant les seules autorités et opérateurs qu'elle est censée protéger. Une précision par ailleurs indispensable pour permettre aux opérateurs concernés et à l'ARCEP, qui contrôlera l'action de l'ANSSI dans ce domaine, de s'assurer de la proportionnalité de la mesure de surveillance engagée.

Enfin, la notion de « menace » pour les autorités et opérateurs dont l'ANSSI est chargée d'assurer la protection est également très floue. L'étude d'impact de la loi parle d'une vingtaine de menaces par an seulement qui seraient suffisamment graves pour justifier de telles pratiques. Or, la loi n'offre aucun critère pour les limiter de la sorte et empêcher que des boîtes noires ne soient déployées constamment et en tout point pour prévenir n'importe quel type de menace plus ou moins abstraite – ce qui serait parfaitement injustifiable. Là encore, ces éléments de doctrine doivent figurer dans la loi, et faire l'objet d'une information régulière et transparente afin de permettre aux citoyens et à l'ensemble des acteurs concernés par ces mesures de pouvoir juger de leur proportionnalité.

Une durée de conservation doublée, sans raison valable

Alors que le projet de loi du gouvernement prévoyait que l'ANSSI puisse conserver pendant une durée maximale de 5 ans les « données techniques » collectées, la commission de la Défense nationale de l'Assemblée nationale a doublé cette durée à l'initiative du rapporteur, Jean-Jacques Bridey (député LREM), en la portant à 10 ans. Cette durée semble excessive puisque, comme on l'a vu, les données techniques recueillies sont très souvent des données à caractère personnel. 5 ans paraissent déjà très longs quand on sait que la loi renseignement limite à un mois après leur collecte la durée de conservation du contenu des correspondances.

Les responsables de l'ANSSI irresponsables ?

Quand bien même les nouveaux pouvoirs donnés à l'ANSSI seraient mieux limités, une autorité indépendante doit pouvoir s'assurer que ces pouvoirs ne sont dévoyés à des fins politiques ou de contrôle de la population. Or, le contrôle des activités de l'ANSSI par l'ARCEP, prévu dans le projet de loi, manque singulièrement de mordant.

D'abord, comme l'a souligné l'ARCEP dans son avis rendu sur le projet de loi, se pose d'abord la question du renforcement de ses moyens pour garantir sa capacité à contrôler l'ANSSI. Ensuite, en dépit des précisions apportées par l'Assemblée s'agissant des modalités de ce contrôle8, le texte ne prévoit qu'un contrôle distant, sur la foi de rapports et de documents, mais loin du terrain. Aucune possibilité de contrôler le fonctionnement des sondes installées sur les infrastructures des opérateurs télécoms ou des hébergeurs n'est prévue. Le projet de loi ne prévoit pas non plus que ces derniers puissent saisir l'ARCEP pour faire obstacle aux demandes de l'ANSSI.

Enfin, si elle constate des abus, l'ARCEP ne pourra qu'adopter des recommandations à l'adresse de l'ANSSI. Le texte ne prévoit aucune sanction. Pour faire en sorte que les nouveaux pouvoirs de l'ANSSI soient dûment encadrés, il faudrait aussi poser explicitement dans la loi le fait que le non-respect des dispositions contenues dans ce chapitre « cyberdéfense » sont constitutives des délits prévus en matière de traitements illégaux de données. Ces derniers font l'objet de sanctions pénales, et par ce truchement, toute constatation par l'ARCEP de non-respect des dispositions devra être signalée au Ministère public, lequel pourra ensuite engager une action pénale (voir l'article 40 du code de procédure pénale). En cas d'abus, les responsables de l'ANSSI seront ainsi mis devant leurs responsabilités.

Le droit européen de nouveau bafoué

On sait tout l'irrespect dont font preuve nombre de responsables publics français vis-à-vis des règles européennes encadrant les mesures de surveillance. Ce projet de loi en fournit une nouvelle illustration.

D'abord, parce qu'il ne prévoit aucune information des personnes qui verraient leur trafic Internet scruté par l'ANSSI. Lors de son audition, Guillaume Poupard expliquait ainsi sa volonté d'en passer directement par l'installation de sondes chez les hébergeurs plutôt qu'auprès des personnes ayant loué ses machines :

Bien entendu, nous pourrions demander la permission au détenteur de la machine, à celui qui l’a louée de manière légitime, mais nous ne voulons pas le faire. En effet, dans le meilleur des cas nous tomberons sur une victime que tout cela dépasse complètement : la plupart du temps, ces serveurs sont loués par des particuliers, par des gens que l’on n’a pas envie de mêler à des affaires aussi compliquées. Surtout, le plus souvent, celui qui loue la machine est l’agresseur lui-même.

Or, quelque soit le statut de ces personnes dont le trafic aura été surveillé – victimes innocentes et ignorantes ou cyber-attaquant malveillant –, à aucun moment le projet de loi ne prévoit qu'elles en soient informées (soit pendant la mesure de surveillance, soit après). C'est pourtant là une obligation, qui ressort notamment de la jurisprudence de la Cour européenne des droits de l'Homme (CEDH) et permet l'exercice d'un droit de recours effectif contre ces mesures de surveillance9.

Pour respecter le droit européen, d'autres dispositifs pourraient d'ailleurs être envisagés pour permettre l'exercice d'un droit de recours effectif, comme la possibilité de saisir l'ARCEP pour savoir si nos communications ont été, pour une raison ou une autre, aspirées par l'ANSSI. Le cas échéant, cela permettrait à l'ARCEP de s'assurer ensuite du caractère proportionné de cette surveillance. Si elle constatait une irrégularité, elle pourrait ordonner la destruction des données et saisir d'elle-même le ministère public. Dans le même temps, l'ARCEP devrait s'assurer de la bonne information de la personne surveillée et de la possibilité pour elle de se constituer partie civile.

Il y a deuxième point sur lequel le texte est en contrariété flagrante avec le droit de l'Union européenne, et en particulier la directive européenne de 2000 sur la société de l'information dont l'article 15 interdit aux États d'imposer aux opérateurs ou aux hébergeurs des mesures générales de surveillance. En l'état, l'article 2321-2-1 va bien à l'encontre de ce principe, en prévoyant que l'ANSSI puisse exiger l'utilisation de boîtes noires dans le but de scanner l'ensemble du trafic pour repérer des « cyber-menaces » chez les opérateurs et les hébergeurs.10 Notons que ce sont là les mêmes arguments que nous soulevons contre les boîtes noires de la Direction générale de la Sécurité intérieure (DGSI) dans le cadre de nos recours contre la loi renseignement.

L'ANSSI, ce faux-ami

Pour finir, il faut évoquer une inquiétude de fond s'agissant de l'ANSSI. Car même si les grands pontes de la cybersécurité aiment rappeler l'originalité du modèle français en la matière – avec une agence cybersécurité civile rattachée directement au Premier ministre et ne s'occupant pas de lutte informatique offensive –, force est de reconnaître la porosité croissante entre l'ANSSI et le monde du renseignement pour tout un tas de missions (les intrusions étrangères dans les systèmes d'information de l'État, la gestion des logiciels « chevaux de Troie » utilisés par les services pour réaliser des intrusions informatiques, l'échange de renseignement s'agissant de failles informatiques, etc.).

Cela a pu par le passé conduire à des prises de position pour le moins surprenantes, et en rupture avec l'image bienveillante et soucieuse des libertés que les dirigeants de l'ANSSI prennent soin de cultiver. Ainsi, Next INpact rappelait fin 2015 que, pour le projet du gouvernement de généraliser le chiffrement des mails, l'ANSSI avait tenu à distance des solutions de chiffrement robustes et décentralisées, dites de « bout-en-bout ». Guillaume Poupard disait alors vouloir ménager la possibilité que le trafic email soit accessible en clair en certains points du réseau. Plutôt que de promouvoir un chiffrement fort sans lequel il ne peut y avoir de véritable sécurité informatique, l'ANSSI entendait alors ménager les capacités de surveillance des services de renseignement et de police. On sait aussi que les services de renseignement ont joué un rôle de premier plan dans la rédaction de ce projet de loi.

Aujourd'hui, les dirigeants de l'ANSSI sont peut être sincères lorsqu'ils évoquent leur volonté de minimiser l'impact sur les libertés, la neutralité du Net et le droit au chiffrement de ces mesures de détections des attaques. Mais qu'en sera-t-il demain ? L'ANSSI – et les pouvoirs nouveaux dont la dote cette nouvelle LPM –, évolue dans une réalité institutionnelle qui la rend très perméable aux dérives sécuritaires. Raison pour laquelle un modèle de cybersécurité plus décentralisé, extirpé au maximum du secret d'État et misant sur la capacitation de l'ensemble des acteurs et utilisateurs d'Internet, aurait mérité d'être sérieusement envisagé et débattu publiquement. Au lieu de ça, le choix a été fait de présenter une nouvelle loi de surveillance, en procédure accélérée.


Attaquons les GAFAM et leur monde

Tue, 17 Apr 2018 12:15:25 +0000 - (source)

17 avril 2018 - Nous avons lancé hier notre campagne d'actions de groupe contre les GAFAM. Jusqu'au 25 mai (jour du dépôt des plaintes devant la CNIL) toute personne vivant en France peut nous rejoindre sur gafam.laquadrature.net. C'est sur la base de ces premières actions que nous pourrons, sur le temps long, déconstruire méthodiquement le monde qu'ils tentent de nous imposer.

imagecontregafam

Nous n'attendrons pas le 25 mai, jour d'entrée en application du règlement général sur la protection des données (RGPD), pour agir. Nous n'avons plus à attendre.

Ce règlement européen (que nous avions ardemment défendu il y a 3 ans) nous donne enfin l'opportunité de renverser la grande farce sur laquelle les GAFAM ont construit leur monde : le « consentement » que nous leur donnerions, pour qu'ils sondent notre esprit et influent nos volontés, ne vaut rien. Il est vulgairement monnayé contre l'utilisation de leurs sites et applications.

Or, le droit européen est maintenant clair : un consentement monnayé, bradé, ne vaut rien et ne suffit plus à rendre légale leur surveillance de masse1. Ce « consentement » de paille ne saurait donc plus longtemps servir d'alibi à Zuckerberg et aux autres pour nous rendre responsables de la perte de notre vie privée et de la destruction de nos liens collectifs.

Nos actions de groupe se baseront sur ce seul argument juridique, la fausseté du consentement, car il attaque à sa racine le monde ultra-centralisé (pour eux) et individualiste (pour nous) qu'ils espèrent pouvoir imposer.

Notre campagne de 40 jours consacrera chaque semaine à chacun des GAFAM, pour comprendre la spécifité de l'emprise de chacun d'eux. Mais ce n'est qu'une première étape : les GAFAM ne sont que le symbôle d'un monde qu'il faudra, une fois cette étape passée, déconstruire méthodiquement : contre leurs alliés (sites de presse ou du gouvernement), qui diffusent leurs mouchards partout sur Internet, contre les administrations avec lesquelles ils vivent le grand amour et contre toutes les entreprises ‑ notamment françaises - qui ont embrassé leurs ambitions de manipulation de masse, Criteo en tête.

Cette première étape doit donc être la plus puissante possible, car c'est d'elle que partira le reste.

Puissante comment ? En mettant la CNIL au pied du mur. En déposant sur son bureau une plainte réunissant tant de personnes qu'elle ne pourra pas refuser de la traiter avec la fermeté requise sans perdre toute légitimité. Et le nouveau règlement lui donne enfin les moyens de cette fermeté : des amendes de 4 % du chiffre d'affaire mondial.

Que ce soit clair : cette première étape est si décisive que nous ne pouvons entièrement la laisser dans les mains de la CNIL. Si, au 3 septembre, elle n'a encore entamé aucune démarche, nous porterons nos actions devant l'autorité judiciaire, civile ou pénale, qui a elle aussi le pouvoir de nous défendre.

Enfin, comprenons bien que ces actions auront nécessairement une répercution européenne, si ce n'est mondiale. Le processus de coopération entre les différents États membres de l'Union européenne prévu par le nouveau règlement impliquera manifestement que nos actions soient, en fin de course, tranchées au niveau européen. Nous invitons donc les populations de chaque État membre à reprendre l'initiative entamée en France dans leur pays : nos actions se retrouveront au sommet !

Fichier attachéTaille
contrelesgafam.png12.43 Ko

Loi données personnelles, dernière étape ? Le Parlement doit défendre ses avancées

Thu, 05 Apr 2018 12:44:43 +0000 - (source)

5 avril 2018 - Demain se tiendra la commission mixte paritaire (réunissant une poignée de députés et de sénateurs) destinée à trancher les différentes version de la loi « données personnelles » adoptée par chacune des deux chambres ces deux derniers mois. Bien qu'échouant chacune à encadrer les services de renseignement, l'Assemblée nationale et le Sénat ont, chacun de leur côté, prévu certaines avancées pour nos libertés.

Le rôle de la commission sera de trancher point par point laquelle des versions des deux chambres doit être définitivement adoptée. L'Observatoire des Libertés et du Numérique (OLN) leur écrit pour leur indiquer les choix exigés par la défense de nos libertés.

Lettre ouverte aux membres de la commission mixte paritaire

Madame, Monsieur,

Vous débattrez demain du projet de loi relatif à la protection des données personnelles. L’Assemblée nationale et le Sénat que vous représentez ont arrêté certaines positions en faveur de la protection des libertés. Il s'agit à présent de concilier ces avancées afin de répondre aux enjeux posés par cette évolution législative historique.

Décision individuelle automatisée - article 14

L'Assemblée nationale et le Sénat ont fermement réitéré l'interdiction historique d'une automatisation de la Justice, mais l'Assemblée nationale a néanmoins admis cette automatisation dans le cadre des décisions administratives individuelles.

Ce revirement total par rapport à ce que la loi informatique et liberté a interdit dès 1978 a été de la volonté du secrétariat d’État au numérique, le ministère de la Justice ne semblant manifestement pas le soutenir activement. Il faut regretter que l'Assemblée n'ait pas pris le temps d'en discuter lors de l'examen du texte en séance publique, acceptant sans vrai débat ce changement de paradigme. Voir en ce sens l'avis de la CNIL sur le projet de loi (pp.27 – 28).

Heureusement, la rapporteure du texte au Sénat a fait poser certaines limites à cette automatisation des décisions administratives. À cet égard, toute limitation de la sorte devra être défendue et retenue par votre commission.

Sanction des collectivités - article 6

Le Sénat a indiqué souhaiter exempter les collectivités territoriales de toute sanction de la CNIL. À défaut d'être associé à la moindre sanction, le contrôle de la CNIL sur ces collectivités deviendrait parfaitement vain et, en pratique, prendrait vraisemblablement rapidement fin.

Ce contrôle apparaît toutefois indispensable au regard des mutations rapides et drastiques déjà entamées en matière de « justice prédictive » ou de « ville intelligente ». 

Ainsi l'application « Reporty » qui, testée par la ville de Nice, devait recueillir et centraliser les signalements vidéos d'incivilités et d'infractions transmis par ordiphone a été dénoncée par la CNIL qui a jugé les traitements envisagés disproportionnés et n'ayant pas de base légale. Voir en ce sens la récente décision de la CNIL.

Un deuxième cas récent qui justifie également de conserver le pouvoir de sanction de la CNIL à l’égard des collectivités est celui de « l'observatoire Big Data de la tranquillité publique » que la ville de Marseille est en train de mettre sur pied. Pour s’en convaincre lire l'article détaillé de La Quadrature du Net.

Face à des mutations aussi vertigineuses, vous devrez expliquer aux citoyens pourquoi vous leur avez retiré la protection que leur offrait encore la CNIL.

Votre commission doit donc retenir la position de l'Assemblée nationale, qui conserve à la CNIL son entier pouvoir de sanction.

Chiffrement par défaut - après l'article 10

Reprenant un amendement proposé par La Quadrature du Net, le Sénat a précisé l'obligation de sécurité imposée par le RGPD, indiquant que celle-ci implique de chiffrer les données chaque fois que cela est possible (et donc notamment de chiffrer les communications de bout en bout).

Cette précision fondamentale clarifie l’obligation de sécurité et évitera tout faux débat quant à son interprétation.
La CNIL considère en effet depuis longtemps que, « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité », exigeant ainsi des « solutions de chiffrement robustes, sous la maitrise complète de l’utilisateur » - telles que celles votées par le Sénat et qui doivent être maintenues dans la loi.

Rappelons que la position de la CNIL n'est en rien limitée à des considérations propres aux libertés, l'Agence nationale de sécurité des systèmes d'information (ANSSI) établissant ainsi nettement que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l'information. Eux seuls permettent d'assurer une sécurité au juste niveau lors de la transmission, du stockage et de l'accès aux données numériques sensibles ».

Droit à la portabilité - article 20 bis

La loi pour une république numérique de 2016 a inscrit dans la loi une obligation étendue à la portabilité des données. Cette portabilité dépasse celle restreinte aux seules données personnelles prévues par le règlement. La portabilité générale inscrite en droit français permet une mise en application véritable de ce dispositif pour permettre aux internautes consommateurs de faire véritablement jouer la concurrence entre services en ligne et éviter de devoir demeurer sur un service qui ne leur conviendrait plus en raison du « coût de sortie » d'une perte d'une grande quantité de données non personnelles, notamment celles apportées au service. 

Le Sénat l'a bien compris : le texte, dans la version qu'il a retenue, est plus protecteur des internautes, il facilitera une concurrence saine entre services en ligne et doit donc être conservé.

L’Observatoire des Libertés et du Numérique vous demande instamment à l’occasion de ce vote important pour les libertés numériques des résidents européens, de faire les choix des dispositions les plus protectrices des libertés.

Organisations signataires de l’OLN : Le CECIL, Creis-Terminal, La Ligue des Droits de l'Homme (LDH), La Quadrature du Net (LQDN)


Le Conseil constitutionnel restreint le droit au chiffrement

Wed, 04 Apr 2018 13:11:44 +0000 - (source)

4 avril 2018 - Dans sa décision du 30 mars 2018 relative à l'article 434-15-2 du code pénal, le Conseil constitutionnel a refusé de protéger le droit pour une personne suspectée (en l'espèce un soupçonné revendeur de drogues) de ne pas révéler ses clefs de déchiffrement. Alors que de nombreux acteurs du droit et le gouvernement lui-même s'attendaient à une décision ménageant le droit à ne pas s'auto-incriminer – c'est-à-dire le fait de ne pas être contraint de s'accuser soi-même en livrant son mot de passe –, le Conseil rend une décision très décevante. La Quadrature du Net, qui est intervenue dans cette affaire, s'inquiète de cette décision qui risque d'affaiblir durablement le droit au chiffrement.

La disposition attaquée, l'article 434-15-2 du code pénal, punit d'importantes peines d'amendes et de prison le refus de livrer aux autorités judiciaires une convention de déchiffrement (par exemple, le mot de passe permettant de déchiffrer le contenu d'un disque dur).

Des réserves a minima

Les seules réserves apportées par le Conseil consistent à confirmer qu'il est nécessaire pour l'autorité judiciaire « d'établir » que la personne concernée a effectivement connaissance de la clef de déchiffrement. Cette précision confirme que l'incrimination pénale ne peut être retenue contre des prestataires de solution de chiffrement « bout-en-bout » des communications qui, par définition, n'ont pas connaissance de la clef.

Le Conseil impose également que « l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données traitées par le moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Une précision qui invite à penser qu'il sera donc nécessaire pour les autorités de prouver que des données spécifiques intéressant l'enquête existent bien sur le périphérique concerné.

Malheureusement, le Conseil constitutionnel a refusé de reconnaître les atteintes de ce texte au droit de ne pas s'accuser, au droit au respect de la vie privée, au secret des correspondances, ou encore à la liberté d'expression et de communication.

Le droit de ne pas s'auto-incriminer bafoué

Cette décision constitue d'abord une véritable remise en cause du droit de ne pas s'auto-incriminer – un principe fondamental du droit pénal – qui déséquilibre fortement l'équilibre précaire entre l'instruction et la poursuite légitime des infractions d'un côté, les droits de la défense et le respect de la présomption d'innocence de l'autre. Elle est d'autant plus choquante que la limitation de l'application de ce texte aux seules personnes tierces à l'infraction (n'étant donc pas menacées par l'enquête) était déjà acceptée par une large majorité des acteurs du droit qui doivent faire application de cette incrimination (juridictions, forces de l'ordre, avocats…).

C'est ce qu'illustre par exemple un rapport de la CNIL de 2016, qui affirmait que les obligations de révéler des clefs de déchiffrement « ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête ». La CNIL poursuivait en rappelant que « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l'Homme et dans la jurisprudence de la Cour européenne ».

Même Philippe Blanc, représentant le Premier ministre dans cette affaire, le reconnaissait plusieurs fois lors de à l'audience du 6 mars 2018 :

La seule interprétation qui soit de nature à rendre l'article 434-15-2 du Code pénal conforme à la Constitution est, en effet, celle qui exclue l'application de cette loi aux personnes suspectées d'avoir commis elles-mêmes une infraction. Cette interprétation est nécessaire […] pour préserver le droit de la personne suspectée à ne pas s'auto-incriminer.

En ce même sens, dès février, le Centre de recherche de l'école des officiers de la gendarmerie nationale (CREOGN) anticipait la décision en ces termes : « Cette décision va sans doute consister en une déclaration de constitutionnalité sous réserve : le texte ne s'appliquerait pas aux auteurs, co-auteurs ou complices en vertu du droit de se taire et de ne pas s'auto-incriminer ».

Et pourtant, le Conseil constitutionnel en a décidé autrement.

Le droit à la vie privée et la liberté de communication menacées

Le CREOGN rappelait par ailleurs le contexte de la création de cette infraction : un simple amendement non véritablement débattu dans la loi relative à la sécurité quotidienne du 15 novembre 2001, adoptée dans le contexte et l'émotion des attaques du 11 septembre. Passible d'une sanction particulièrement importante (3 ans de prison et 270 000 € d'amende), cette disposition risque d'être désormais utilisée aussi bien par les juges d'instruction que par les procureurs pour contraindre des suspects de leur donner accès à tout périphérique chiffré (smartphone, ordinateur, périphériques de mémoire…).

Cette décision remet en cause le droit au chiffrement et l'intérêt de son usage, mais aussi, incidemment, la vie privée, la confidentialité des communications, le secret des sources journalistiques et la liberté de communication. Alors que l'ère numérique banalise la société de surveillance, ce droit est pourtant devenu une nécessité pour garantir les libertés fondamentales face aux possibilités d'arbitraire de l'État. En 2015, l'Assemblée parlementaire du Conseil de l'Europe rappelait ainsi que, « jusqu’à ce que les États acceptent de fixer des limites aux programmes de surveillance massive menés par leurs agences de renseignement, le chiffrement généralisé visant à renforcer la vie privée constitue la solution de repli la plus efficace pour permettre aux gens de protéger leurs données »1.

La décision du Conseil fait d'ailleurs fi des recommandations formulées en 2015 par David Kaye, rapporteur spécial du Conseil des droits de l'Homme de l'ONU pour la liberté d'expression, dans son rapport sur le droit au chiffrement, où il abordait la question des obligations de livrer les clefs de déchiffrement2. Plus largement, elle s'inscrit dans une tradition juridique française particulièrement hostile au chiffrement, qu'illustre par exemple l'article 132-79 du code pénal, qui fait de l'usage du chiffrement une circonstance aggravante lorsqu'il est utilisé pour préparer ou commettre un délit.

L'accès aux données stockées sur nos ordinateurs, nos téléphones ou, sur nos serveurs s'avère formidablement intrusif, révélant des pans entiers de notre intimité, de notre histoire personnelle, de notre mémoire. Dans ce contexte, le chiffrement des données permet de rétablir un peu de l'équilibre perdu entre les capacités de surveillance des États et le droit à la vie privée. Or, par cette décision, le Conseil constitutionnel admet que le simple fait d'être suspect justifie que l'État puisse nous forcer à révéler cette intimité, à nous faire transparents à ses yeux, alors même que les services enquêteurs peuvent disposer d'autres moyens pour élucider une affaire. C'est une erreur historique qui, dans son principe, pourrait s'avérer lourde de conséquences.

Si cette jurisprudence est décevante, elle marque toutefois l'émergence d'un véritable débat sur le droit au chiffrement au niveau des cours constitutionnelles européennes. Elle rappelle aussi, en creux, la nécessité de se mobiliser au niveau européen, par exemple autour de la directive sur l'accès transfrontière aux données qui sera présenté le 17 avril prochain, afin de garantir la protection d'un droit au chiffrement désormais consubstantiel de la protection de la vie privée et de la liberté de communication.


Surveillance généralisée des citoyens : La Quadrature du Net attaque les opérateurs mobiles

Thu, 22 Mar 2018 14:35:51 +0000 - (source)

22 mars 2018 - Quatre bénévoles de la Quadrature du Net ont demandé à leur opérateur de téléphonie mobile français (Free Mobile, Orange, Bouygues Telecom, SFR) d'accéder aux données personnelles que ces derniers conservent sur eux. N'ayant pas reçu de réponse satisfaisante au bout de 3 mois, nous venons de déposer 4 plaintes contre ces opérateurs auprès de la CNIL.

Les opérateurs mobiles doivent conserver pendant 1 an les données de localisation de tous leurs abonnés. Le code des postes communications électroniques, dans son article L34-1 et R10-13, leur impose de conserver pendant 1 an un ensemble d'informations sur l'utilisateur, informations qui permettent d'identifier l'utilisateur de la ligne, l'horaire et la durée de ses communications, mais surtout l'origine et la localisation de celles-ci ! Ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne.

En octobre dernier, 4 bénévoles de La Quadrature du Net ont demandé, conformément à l'article 39 de la loi 78-18 du 6 janvier 1978, d'obtenir les données personnelles les concernant conservées par leur opérateur mobile. Ainsi, Free Mobile, Bouygues Telecom, SFR et Orange ont chacun reçu un courrier recommandé et disposaient de 2 mois pour y répondre. Dans ces courriers, nous leur rappelions leurs obligations légales en terme de droits d'accès direct aux informations personnelles.

Depuis, nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées1 ! Orange et Bouygues Telecom, eux, n'ont jamais répondu. Nous avons donc, depuis, déposé 4 plaintes auprès de la CNIL contre les 4 opérateurs mobiles, afin de faire valoir nos droits d'accès à ces informations personnelles.

De plus, lorsque notre action aura révélé que ces opérateurs conservent bien les informations visées par le code des postes et des télécommunications, ceux-ci se trouveraient (tout comme le droit français) en violation de la Charte des droits fondamentaux de l'Union européenne et pourront être attaqués à ce titre. Ce texte fondamental, hiérarchiquement supérieur au droit français, a été interprété par la Cour de justice de l'Union européenne, dans sa décision Tele2 du 21 décembre 20162, comme interdisant toute conservation généralisée de données de connexion.

La Quadrature du Net entend amener ce débat sur la place publique, à travers les opérateurs, la CNIL, la justice française et la pugnacité de ses bénévoles. Les Exégètes amateurs ont également une affaire pendante devant le Conseil d'État pour demander la mise en conformité de la loi française à la jurisprudence européenne.

« Nous nous attendions à ces réponses désinvoltes de la part d'Orange, SFR, Bouygues Télécom et Free, aussi avons-nous saisi la CNIL de ces 4 plaintes, et si besoin attaquerons en justice pour obtenir des informations complètes. Par la suite, nous attaquerons devant les tribunaux le non-respect du droit européen par les opérateurs, et cette loi illicite portant atteinte à la vie privée de tous » annonce Benjamin Sonntag, cofondateur de La Quadrature du Net.

PS: un exemple de ce que sait votre opérateur mobile sur votre localisation

Fichier attachéTaille
4op.png41.43 Ko

La surveillance policière dopée aux Big Data arrive près de chez vous !

Tue, 20 Mar 2018 12:35:24 +0000 - (source)

Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Mise-à-jour (7 juin 2018) - Trois nouveaux documents sont disponibles :

Les responsables municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Pour ces élus marseillais qui n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data apparaît comme une véritable aubaine. Selon Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale ». Rien que ça !

Le Centre de supervision urbaine de Marseille, en février 2013 (Photo Olivier Monge. Myop).

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce au traitement de l'image (2000 caméras à terme, et demain des drones1), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés (opérateurs télécoms, etc.), qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale2.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui a rapporté en 2013 autour de 60 millions d'euros3. Depuis quelques années, notamment grâce à des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !4

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – notamment dans le champ de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice5.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Il y est notamment souligné la nécessité d'anticiper la « menace », par exemple « par évaluation du risque de rassemblements dangereux par analyse des tweets » et par « l'identification des acteurs » (puisqu'on vous dit que la promesse d'anonymisation est un leurre !)6.

Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par cet outil de surveillance ? Faut-il comprendre que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

Fichier attachéTaille
CCTP_ObservatoireBigData_Marseille.pdf5.82 Mo
BDTP-CCAP.pdf764.35 Ko
BDTP-Rapport_candidatures.pdf2.01 Mo
BDTP-Intégration_système_dinformation.pdf5.75 Mo

Loi données personnelles : Le Sénat refuse (lui aussi) d'encadrer les services de renseignement

Wed, 14 Mar 2018 15:15:50 +0000 - (source)

14 mars 2017 - Ce matin, la commission du Sénat en charge d'examiner le projet de loi données personnelles a rendu sa version du texte. Comme à l'Assemblée nationale (voir notre article), la commission des lois a refusé de déposer le moindre amendement visant à encadrer les activités du renseignement français, tel que le droit européen l'exige pourtant. Le texte sera examiné par l'ensemble des sénateurs le 20 mars prochain : ils devront déposer et soutenir tout amendement visant à nous protéger des abus des services de renseignement.

Lire nos amendements (PDF, 8 pages)

Le projet de loi données personnelles a deux buts : préparer le droit français à l'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain et — nos parlementaires l'oublient presque systématiquement — transposer en droit français la directive 2016/680, qui a pour objectif d'encadrer les traitements de données personnelles en matière de prévention, de détection et de sanction des infractions pénales.

Lire notre article présentant les enjeux de cette directive.

Contrairement à ce que prétend le gouvernement, cette directive s'applique aux activités de renseignement, dès lors que celles-ci visent précisément à détecter et prévenir des infractions (terrorisme, délinquance et criminalité organisées, manifestations interdites, etc.) et que ces infractions ne concernent pas la « sécurité nationale » (l'Union européenne légiférant de longue date en matière de lutte contre le terrorisme, par exemple) et n'échappent donc en aucun cas au champ de cette directive.

Lire notre analyse (PDF, 4 pages) sur la notion de « sécurité nationale » dans la directive.

Or, la loi française n'encadre pas les activités de renseignement avec les garanties imposées par la directive : elle ne prévoit aucune information des personnes surveillées (afin que celles-ci puissent, une fois la menace écartée, contester une mesure illicite) ; elle interdit aux autorités de contrôle d'accéder aux renseignements collectés par les services français auprès de services étrangers ; elle ne prévoit aucune voie de recours juridictionnelle en matière de surveillance internationale.

Ces trois manquements sont frontalement contraires aux exigences de la directive 2016/680. Le Sénat doit corriger la loi française en ce sens. Autrement, La Quadrature du Net devra, encore un fois, agir en justice pour faire modifier la loi (avec les Exégètes amateurs, nous avons déjà fait censurer deux fois la loi renseignement devant le Conseil constitutionnel, en plus d'avoir participé à la censure de nombreuses dispositions lors de l'examen préalable du texte par le Conseil).

Si la conformité du droit français au droit européen n'est plus assurée par le législateur mais par des associations telles que La Quadrature du Net, la légitimité et le rôle du législateur deviennent parfaitement illusoires. Le 20 mars, les Sénateurs devront arrêter de nier et de saper leur fonction. Pour ce faire, ils peuvent déposer et soutenir les amendements que nous proposons (PDF, 6 pages).

Lire nos amendements (PDF, 8 pages)

La Quadrature du Net s'ouvre à de nouveaux membres

Mon, 12 Mar 2018 10:35:17 +0000 - (source)

Paris, le 12 mars 2018 - Comme annoncé en novembre 2017 dans les conclusions du bilan de ses dix premières années, La Quadrature du Net a intégré formellement en tant que membres une trentaine de ses proches. La plupart bénévoles de longue date, ces membres ont rejoint l'association début janvier 2018, sur invitation du bureau et de l'équipe salariée.

piloupe
Cet élargissement amorce une nouvelle dynamique et un renforcement de l'association. Grâce à la multiplication des sensibilités et des expertises, diverses questions au cœur de l'action de la Quadrature bénéficient d'un nouvel éclairage. Plusieurs membres ont déjà pris la parole au nom de l'association dans les médias ou dans le cadre de conférences et d'ateliers.

Il reste encore beaucoup à mettre en place, notamment en termes d'organisation et de processus, mais La Quadrature du Net tient à prendre le temps de cette discussion, loin de l'urgence habituelle que connait l'association. Nous comptons profiter de notre assemblée générale annuelle, qui aura lieu du 31 mars au 2 avril, pour dessiner une feuille de route des prochaines actions militantes et réfléchir aux structures nécessaires pour les mener à bien. Un compte-rendu de ce premier rassemblement sera rendu public, comme le sera régulièrement le résultat des actions des membres.

L'engagement bénévole a toujours été au cœur du fonctionnement de La Quadrature du Net. Ce statut de membre souhaite progressivement reconnaitre celles et ceux qui donnent de leur temps et de leur énergie, pour leur donner du pouvoir sur les orientations de la structure. Cet élargissement n'est donc qu'un début. La construction politique et juridique d'un Internet libre et la défense des droits fondamentaux à l'ère numérique se poursuivent grâce à l'implication de toutes et tous !


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles