Autoblog de la La quadrature du nethttp://www.laquadrature.net/http://www.laquadrature.net/ Un collège-lycée contraint illégalement des enfants à être traçables en permanence10605 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180727_151455_Un_college-lycee_contraint_illegalement_des_enfants_a_etre_tra__ables_en_permanenceFri, 27 Jul 2018 13:14:55 +000030 juillet 2018 - Il y a dix jours, une lycéenne de l'établissement scolaire privé Rocroy Saint-Vincent de Paul, à Paris, a révélé un changement du règlement intérieur de l'établissement. À compter de la rentrée, chaque collégien et lycéen devra porter sur lui un porte-clef fourni à l'établissement par la start-up française New School et qui permettra de localiser l'élève via une puce Bluetooth intégrée. Voici le résultat de notre analyse juridique et technique de ce système, concluant à son illégalité.

Fonctionnement du porte-clef

L'établissement scolaire a expliqué que le porte-clef obligatoire lui sera fourni par New School, une start-up française soutenue notamment par Apple1 et mise en avant en 2016 par Qwant2.

Le porte-clef intègre une puce Bluetooth, gérée par un logiciel fourni par une autre start-up française, Ubudu, qui a annoncé sa collaboration avec New School depuis 2016.

Sur son site, Ubudu se décrit ainsi : « Ubudu est la solution RTLS de prochaine génération, qui piste, analyse et détecte biens et personnes sur des lieux industriels ou de services : aéroports, usines, hôpitaux, magasins, centres sportifs ou de loisir, etc. Ubudu fonctionne uniquement avec des petits tags ou smartphones échangeant des signaux radio avec des capteurs fixes, et un serveur de localisation qui calcule et traite la position »3.

Dans sa documentation technique, Ubudu décrit un de ces tags, le tag BLE (Bluetooth Low Energy) : « utilisez des tags BLE si vous avez de nombreux biens à pister et n'avez pas besoin d'une précision en deçà de 1-2m. [...] Des exemples de mise en œuvre comprennent la solution de service en salle de McDonalds ou le badge étudiant New School (voir photo). Vous pouvez aussi utiliser des équipements iBeacon standards, dont nous recommandons ceux de haute qualité, tels que ceux de EM Microelectronics »4.

Parmi les puces EM Microelectronics auxquelles renvoient Ubudu se trouve la puce EMBC01. La fiche technique de cette puce indique qu'elle peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu'elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois.

Nous pensons que cette puce (recommandée par Ubudu, partenaire de New School), ou une puce similaire, est celle intégrée dans le porte-clef New School. En effet, la documentation commerciale de New School indique que « la durée de vie de nos porte-clés connectés est d’environ 13 mois », ce qui correspond à la durée de 12,5 mois de la puce EMBC01. De même, après prise de contact avec New School, NextInpact explique que, « à en croire ses développeurs, cette clef [...] dispose d’une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l’extérieur » - la même portée que la puce EMBC01.

Enfin, la puce qui apparait sur plusieurs photo du porte-clef New School (ici, en bas, une photo de 2016 tirée de l'article de Qwant en soutien à la start-up) est identique à l'image de la puce EMBC01 diffusée par EM Microelectronics dans sa documentation (ici, en haut).

Le porte-clef New School émet donc constamment, une fois par seconde et pendant 13 mois, un identifiant unique, propre à chaque porte-clef et, ainsi, à chaque enfant. Cet identifiant peut être capté par les smartphones situés dans un rayon de plusieurs dizaines de mètres.

Dans son règlement intérieur, l'établissement Rocroy explique que le port constant du porte-clef par les enfants permettra « de s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité ». Comme le détaille New School dans sa documentation, les professeurs et encadrants, munis de smartphone, pourront recevoir l'identifiant unique émis par chaque porte-clef et, ainsi, contrôler la présence des porte-clefs environnants (et, par là, en théorie, de chaque enfant dont le nom et la photo sont associés à chaque identifiant Bluetooth dans la base de données New School).

Charlemagne/EcoleDirecte

Dans sa documentation, New School explique que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : [...] chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte ».

Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l'entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d'une sécurité d'un autre âge...

Pour la création d'un nouveau profil, c'est l'administrateur qui choisit lui-même le mot de passe pour chaque utilisateur. Pour qu'un utilisateur récupère son mot de passe, celui-ci lui est alors envoyé en clair par email. Si le mot de passe peut lui être envoyé de la sorte, c'est manifestement qu'il est conservé en clair sur le serveur... contrairement aux recommandations élémentaires de la CNIL5.

Faire reposer l'identification de données de localisation d'enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C'est pourtant ce qu'explique faire New School.

De fausses affirmations

Dans un communiqué réagissant à la polémique naissante, l'établissement Rocroy explique, tentant d'être rassurant, que « le bluetooth ne s’active que lorsque l’enseignant fait l’appel. Le reste du temps, les porte-clés s’éteignent automatiquement ».

Cette affirmation rend absurde la durée de vie de 13 mois du porte-clef annoncée par New School dans la documentation. Au regard de l'état de l'art des puces Bluetooth (tel qu'il en ressort des caractéristiques de la puce EMBC01), une puce qui serait activée une poignée de minutes seulement par jour (le temps de faire l'appel) aurait une durée de vie de plusieurs années et n'aurait pas besoin d'être renouvelée tous les 13 mois.

Ce renouvellement de la puce aurait pu être justifié par le passage d'une année à l'autre par chaque enfant, mais le délai de renouvellement aurait alors été de 12 mois et non de 13. Le renouvellement de la puce n'est donc justifiable que par une seule raison : la puce est activée de façon constante, 24h/24, même en dehors des 8 heures de classe quotidiennes (sans quoi la durée de vie annoncée serait triple, de l'ordre de 39 mois).

Par ailleurs, l'idée que la puce n'émette qu'au moment de l'appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n'importe quand, il n'y a pas d'appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au du CDI.

L'affirmation de l'établissement Rocroy semble donc fausse. Les conséquences seraient lourdes. Certes, l'identifiant unique émis par le porte-clef n'indique pas directement le nom d'un élève. Mais qu'importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l'identifiant étant unique), au simple moyen d'un smartphone (EM Microelectronics fournit même une application à cette fin), n'importe où, même en dehors de l'école, pour peu qu'on se trouve dans un rayon de 75 mètres de l'enfant.

Si l'établissement ne fournit pas d'informations nouvelles permettant de contredire cette hypothèse, nous viendrons la vérifier en pratique à la rentrée devant son lycée, qui n'est pas très loin de nos locaux.

Par ailleurs, dans son communiqué de presse, l'établissement prétend que le porte-clef « n’utilise pas la géolocalisation, et ne permet donc pas de connaitre la position ou les déplacements des élèves ».

Ce n'est pas ce que révèle la fiche de l'application New School qui sera utilisée sur smartphone par le personnel de l'établissement afin de détecter les porte-clefs à proximité. Au moment de son installation, l'application demande de pouvoir transmettre à New School la géolocalisation précise du smartphone, notamment par GPS. Or, la géolocalisation du smartphone permettra aussi de géolocaliser les portes-clefs détectés qui, par définition, seront situés dans une proximité directe. L'affirmation de l'établissement est donc fausse : le porte-clef permettra d'indiquer à New School la position des enfants dès lors qu'ils se trouveront à proximité d'un smartphone utilisant l'application New School.

Enfin, dans son communiqué, l'établissement a cru bon de prétendre que « les données personnelles (nom de l’élève, emploi du temps) sont protégées et cryptées, en accord avec la CNIL ». Or, comme on l'a vu, le système Charlemagne/EcoleDirecte sur lequel repose New School ne satisfait aucune des recommandations de la CNIL élémentaires en matière de sécurité. Ainsi, contactée par Le Point sur cette affaire, la CNIL a déclaré mardi dernier « ne pas avoir eu d'échange avec le lycée Rocroy sur le dispositif ».

Un système illégal

Le port obligatoire du porte-clef New School par chaque enfant semble illicite du simple fait que l'information fournie par l'établissement sur l'interruption automatique du porte-clef serait fausse, alors que le règlement général sur la protection des données (RGPD) exige une information loyale.

De plus, quand bien même cette information serait juste (si le porte-clef n'émettait pas constamment), le système serait illicite pour d'autres raisons.

D'abord, le RGPD exige que tout traitement de données personnelles soit fondé sur une base légale : le consentement, la nécessité de fournir un service public ou la nécessité de poursuivre un « intérêt légitime ».

Ici, les enfants ne peuvent donner aucun consentement valide au traçage : ils n'ont pas le choix de l'accepter pour aller en cours et ne peuvent l'accepter qu'en même temps qu'ils acceptent l'ensemble du règlement intérieur. Leur consentement, qui ne serait ni libre ni spécifique, ne serait jamais reconnu comme valide par la CNIL (au sujet du caractère libre du consentement, voir l'analyse détaillée développée dans nos plaintes collectives contre les GAFAM).

S'agissant de la nécessité de fournir un service public ou de poursuivre un intérêt légitime (tel que faire l'appel des élèves), il faut d'abord démontrer que le système est « nécessaire ». En droit, ceci implique notamment qu'il n'existe aucun autre système alternatif qui, atteignant les mêmes objectifs, cause des risques moins élevés en matière d'atteinte aux libertés fondamentales. Ici, l'appel des enfants à l'oral remplit les mêmes objectifs sans poser de risque pour la vie privée. Le fait que le traçage par localisation automatique des enfants simplifie l'appel des élèves ne saurait le rendre « nécessaire », surtout au regard des risques importants qu'il cause quant à la traçabilité constante de la position de chaque enfant.

Toutefois, ce débat sur la « nécessité » a déjà été tranché par le groupe de l'article 29 (G29, l'institution qui réunissait les CNIL des 28 États membres de l'Union européenne et qui est devenu le Comité européen de la protection des données depuis le 25 mai 2018).

Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment.

Dans notre cas, à l'inverse, l'établissement Rocroy sanctionne les enfants qui s'opposerait au pistage en refusant de porter le porte-clef. L'obligation de le porter est donc illicite de ce seul fait.

Par ailleurs, peu importe la base légale du traitement de données personnelles, le RGPD exige que celui-ci soit accompagné d'un certain nombre d'informations. Le responsable de traitement doit indiquer :

  1. son identité et ses coordonnées ;
  2. les finalités poursuivies ;
  3. l’étendue des droits de la personne concernée ;
  4. si les données sont transmises à des tiers, l'identité de ces destinataires ou la catégorie de ces destinataires ;
  5. la condition de licéité remplie par le traitement – en précisant, selon le cas, l'intérêt légitime défendu ou la possibilité de retirer le consentement donné ;
  6. la durée de conservation des données ;
  7. l'existence d'un transfert de données en dehors de l’Union, en précisant les garanties encadrant ce transfert ;
  8. l’existence d'une prise de décision automatisé.

Dans notre cas, l'établissement n'a fourni aucune de ces informations, si ce n'est, éventuellement, certaines des finalités envisagées (s'agissant des élèves, « s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité »), sans qu'on ne sache toutefois si ces finalités sont exhaustives.

Les autres informations sont simplement absentes, rendant le système illicite de ce seul fait.

Enfin, comme vu plus haut, les obligations de sécurité imposées par le RGPD ne sont pas respectées puisque le système New School repose sur le système complètement obsolète de Charlemagne/EcoleDirecte.

Et maintenant ?

Nous invitons les élèves et parents d'élèves de l'établissement Rocroy à se saisir des éléments développés ici pour saisir la justice en référé afin de faire changer le règlement intérieur avant la rentrée.

De façon plus générale, nous appelons la CNIL à enquêter sur la start-up New School avant que celle-ci ne démarche d'autres établissements. La situation est des plus inquiétante puisque, dès 2016, d'après Le Figaro Madame, « le cabinet de Valérie Pécresse lui fait savoir qu'ils aimeraient utiliser l'application pour toute la région Île-de-France ».

Politiquement, le cas de New School révèle un mouvement plus profond et plus grave : les puces choisies par New School ont initialement été pensées et sont normalement utilisées pour localiser des objets fixes (des murs) ou mobiles (des marchandises) afin qu'un humain muni d'un smartphone puisse se repérer parmi ces objets. Cette situation s'inverse ici : la puce n'est plus attachée à des objets mais à des enfants ; le smartphone ne sert plus à se repérer dans l'espace mais, immobile au poste du surveillant, à définir l'espace dans lequel les humains peuvent évoluer. L'humain ne se déplace plus parmi les choses : il est une chose comprise par d'autres.

  • 1. En janvier dernier, La Tribune explique, au sujet de la créatrice de New School, après que celle-ci a remporté un prix pour jeune startupeux :
    Quelques mois plus tard, Apple entre en contact avec elle et lui demande de pitcher deux jours plus tard dans ses bureaux londoniens. « J'étais déjà sur place, à croire qu'ils m'avaient tracée... » Dans le développement de NewSchool, la marque à la pomme a joué un rôle important, notamment dans la conception de l'application mais aussi dans la commercialisation : « Le marché de l'éducation en France est assez impénétrable, nous avons échangé beaucoup d'informations ».
    [...]
    Le coaching by Apple est toujours d'actualité. La jeune entrepreneure participe à de nombreux événements et voit régulièrement des développeurs, français et anglais, pour avancer sur l'application. Elle a même eu le privilège de rencontrer Tim Cook, en février dernier. Au tout début, il était question de faire de NewSchool une application préintégrée sur les appareils vendus aux établissements scolaires, mais « à l'époque nous n'étions pas assez développés, ni commercialement ni au niveau des fonctionnalités. Il nous faut encore grandir pour espérer un jour avoir une application commune », explique-t-elle. Et le travail en famille est toujours valable. « Ma mère est directrice commerciale, elle travaille beaucoup. Nous avons fait le salon de l'éducation la semaine dernière, c'est elle qui a tout géré », s'enthousiasme la jeune femme.
  • 2. Qwant semble avoir dé-publié son article en soutien à New School, mais nous en avions fait une copie. En réaction au présent article, Qwant a précisé que « Nous avons été invité à remettre un prix étudiant à la fondatrice pour son projet entrepreneurial (elle était la plus jeune entrepreneuse de France) mais notre lien avec l'entreprise n'a pas été au-delà de ce concours. »
  • 3. Notre traduction de « Ubudu is a next-generation RTLS solution, which tracks, analyses and detects assets and people in industrial or service sites: airports, factories, hospitals, retail, sport & leisure venues, etc. Ubudu simply works with small tags or smartphones exchanging radio-signals with fixed sensors, and a location server that computes and processes the position. »
  • 4. Notre traduction de « Use BLE Tags if you have many assets to track and do not need accuracy below 1-2m. (...) Examples of realizations include McDonald’s table service solution and New School student tokens (include pictures). You can also go with standard iBeacon devices, for which we recommend those of high quality, such as EM Microelectronics ».
  • 5. De bon sens, la CNIL exige que « le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique » et que « le mot de passe ne doit jamais être stocké en clair ».
]]>
30 juillet 2018 - Il y a dix jours, une lycéenne de l'établissement scolaire privé Rocroy Saint-Vincent de Paul, à Paris, a révélé un changement du règlement intérieur de l'établissement. À compter de la rentrée, chaque collégien et lycéen devra porter sur lui un porte-clef fourni à l'établissement par la start-up française New School et qui permettra de localiser l'élève via une puce Bluetooth intégrée. Voici le résultat de notre analyse juridique et technique de ce système, concluant à son illégalité.

Fonctionnement du porte-clef

L'établissement scolaire a expliqué que le porte-clef obligatoire lui sera fourni par New School, une start-up française soutenue notamment par Apple1 et mise en avant en 2016 par Qwant2.

Le porte-clef intègre une puce Bluetooth, gérée par un logiciel fourni par une autre start-up française, Ubudu, qui a annoncé sa collaboration avec New School depuis 2016.

Sur son site, Ubudu se décrit ainsi : « Ubudu est la solution RTLS de prochaine génération, qui piste, analyse et détecte biens et personnes sur des lieux industriels ou de services : aéroports, usines, hôpitaux, magasins, centres sportifs ou de loisir, etc. Ubudu fonctionne uniquement avec des petits tags ou smartphones échangeant des signaux radio avec des capteurs fixes, et un serveur de localisation qui calcule et traite la position »3.

Dans sa documentation technique, Ubudu décrit un de ces tags, le tag BLE (Bluetooth Low Energy) : « utilisez des tags BLE si vous avez de nombreux biens à pister et n'avez pas besoin d'une précision en deçà de 1-2m. [...] Des exemples de mise en œuvre comprennent la solution de service en salle de McDonalds ou le badge étudiant New School (voir photo). Vous pouvez aussi utiliser des équipements iBeacon standards, dont nous recommandons ceux de haute qualité, tels que ceux de EM Microelectronics »4.

Parmi les puces EM Microelectronics auxquelles renvoient Ubudu se trouve la puce EMBC01. La fiche technique de cette puce indique qu'elle peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu'elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois.

Nous pensons que cette puce (recommandée par Ubudu, partenaire de New School), ou une puce similaire, est celle intégrée dans le porte-clef New School. En effet, la documentation commerciale de New School indique que « la durée de vie de nos porte-clés connectés est d’environ 13 mois », ce qui correspond à la durée de 12,5 mois de la puce EMBC01. De même, après prise de contact avec New School, NextInpact explique que, « à en croire ses développeurs, cette clef [...] dispose d’une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l’extérieur » - la même portée que la puce EMBC01.

Enfin, la puce qui apparait sur plusieurs photo du porte-clef New School (ici, en bas, une photo de 2016 tirée de l'article de Qwant en soutien à la start-up) est identique à l'image de la puce EMBC01 diffusée par EM Microelectronics dans sa documentation (ici, en haut).

Le porte-clef New School émet donc constamment, une fois par seconde et pendant 13 mois, un identifiant unique, propre à chaque porte-clef et, ainsi, à chaque enfant. Cet identifiant peut être capté par les smartphones situés dans un rayon de plusieurs dizaines de mètres.

Dans son règlement intérieur, l'établissement Rocroy explique que le port constant du porte-clef par les enfants permettra « de s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité ». Comme le détaille New School dans sa documentation, les professeurs et encadrants, munis de smartphone, pourront recevoir l'identifiant unique émis par chaque porte-clef et, ainsi, contrôler la présence des porte-clefs environnants (et, par là, en théorie, de chaque enfant dont le nom et la photo sont associés à chaque identifiant Bluetooth dans la base de données New School).

Charlemagne/EcoleDirecte

Dans sa documentation, New School explique que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : [...] chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte ».

Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l'entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d'une sécurité d'un autre âge...

Pour la création d'un nouveau profil, c'est l'administrateur qui choisit lui-même le mot de passe pour chaque utilisateur. Pour qu'un utilisateur récupère son mot de passe, celui-ci lui est alors envoyé en clair par email. Si le mot de passe peut lui être envoyé de la sorte, c'est manifestement qu'il est conservé en clair sur le serveur... contrairement aux recommandations élémentaires de la CNIL5.

Faire reposer l'identification de données de localisation d'enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C'est pourtant ce qu'explique faire New School.

De fausses affirmations

Dans un communiqué réagissant à la polémique naissante, l'établissement Rocroy explique, tentant d'être rassurant, que « le bluetooth ne s’active que lorsque l’enseignant fait l’appel. Le reste du temps, les porte-clés s’éteignent automatiquement ».

Cette affirmation rend absurde la durée de vie de 13 mois du porte-clef annoncée par New School dans la documentation. Au regard de l'état de l'art des puces Bluetooth (tel qu'il en ressort des caractéristiques de la puce EMBC01), une puce qui serait activée une poignée de minutes seulement par jour (le temps de faire l'appel) aurait une durée de vie de plusieurs années et n'aurait pas besoin d'être renouvelée tous les 13 mois.

Ce renouvellement de la puce aurait pu être justifié par le passage d'une année à l'autre par chaque enfant, mais le délai de renouvellement aurait alors été de 12 mois et non de 13. Le renouvellement de la puce n'est donc justifiable que par une seule raison : la puce est activée de façon constante, 24h/24, même en dehors des 8 heures de classe quotidiennes (sans quoi la durée de vie annoncée serait triple, de l'ordre de 39 mois).

Par ailleurs, l'idée que la puce n'émette qu'au moment de l'appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n'importe quand, il n'y a pas d'appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au du CDI.

L'affirmation de l'établissement Rocroy semble donc fausse. Les conséquences seraient lourdes. Certes, l'identifiant unique émis par le porte-clef n'indique pas directement le nom d'un élève. Mais qu'importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l'identifiant étant unique), au simple moyen d'un smartphone (EM Microelectronics fournit même une application à cette fin), n'importe où, même en dehors de l'école, pour peu qu'on se trouve dans un rayon de 75 mètres de l'enfant.

Si l'établissement ne fournit pas d'informations nouvelles permettant de contredire cette hypothèse, nous viendrons la vérifier en pratique à la rentrée devant son lycée, qui n'est pas très loin de nos locaux.

Par ailleurs, dans son communiqué de presse, l'établissement prétend que le porte-clef « n’utilise pas la géolocalisation, et ne permet donc pas de connaitre la position ou les déplacements des élèves ».

Ce n'est pas ce que révèle la fiche de l'application New School qui sera utilisée sur smartphone par le personnel de l'établissement afin de détecter les porte-clefs à proximité. Au moment de son installation, l'application demande de pouvoir transmettre à New School la géolocalisation précise du smartphone, notamment par GPS. Or, la géolocalisation du smartphone permettra aussi de géolocaliser les portes-clefs détectés qui, par définition, seront situés dans une proximité directe. L'affirmation de l'établissement est donc fausse : le porte-clef permettra d'indiquer à New School la position des enfants dès lors qu'ils se trouveront à proximité d'un smartphone utilisant l'application New School.

Enfin, dans son communiqué, l'établissement a cru bon de prétendre que « les données personnelles (nom de l’élève, emploi du temps) sont protégées et cryptées, en accord avec la CNIL ». Or, comme on l'a vu, le système Charlemagne/EcoleDirecte sur lequel repose New School ne satisfait aucune des recommandations de la CNIL élémentaires en matière de sécurité. Ainsi, contactée par Le Point sur cette affaire, la CNIL a déclaré mardi dernier « ne pas avoir eu d'échange avec le lycée Rocroy sur le dispositif ».

Un système illégal

Le port obligatoire du porte-clef New School par chaque enfant semble illicite du simple fait que l'information fournie par l'établissement sur l'interruption automatique du porte-clef serait fausse, alors que le règlement général sur la protection des données (RGPD) exige une information loyale.

De plus, quand bien même cette information serait juste (si le porte-clef n'émettait pas constamment), le système serait illicite pour d'autres raisons.

D'abord, le RGPD exige que tout traitement de données personnelles soit fondé sur une base légale : le consentement, la nécessité de fournir un service public ou la nécessité de poursuivre un « intérêt légitime ».

Ici, les enfants ne peuvent donner aucun consentement valide au traçage : ils n'ont pas le choix de l'accepter pour aller en cours et ne peuvent l'accepter qu'en même temps qu'ils acceptent l'ensemble du règlement intérieur. Leur consentement, qui ne serait ni libre ni spécifique, ne serait jamais reconnu comme valide par la CNIL (au sujet du caractère libre du consentement, voir l'analyse détaillée développée dans nos plaintes collectives contre les GAFAM).

S'agissant de la nécessité de fournir un service public ou de poursuivre un intérêt légitime (tel que faire l'appel des élèves), il faut d'abord démontrer que le système est « nécessaire ». En droit, ceci implique notamment qu'il n'existe aucun autre système alternatif qui, atteignant les mêmes objectifs, cause des risques moins élevés en matière d'atteinte aux libertés fondamentales. Ici, l'appel des enfants à l'oral remplit les mêmes objectifs sans poser de risque pour la vie privée. Le fait que le traçage par localisation automatique des enfants simplifie l'appel des élèves ne saurait le rendre « nécessaire », surtout au regard des risques importants qu'il cause quant à la traçabilité constante de la position de chaque enfant.

Toutefois, ce débat sur la « nécessité » a déjà été tranché par le groupe de l'article 29 (G29, l'institution qui réunissait les CNIL des 28 États membres de l'Union européenne et qui est devenu le Comité européen de la protection des données depuis le 25 mai 2018).

Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment.

Dans notre cas, à l'inverse, l'établissement Rocroy sanctionne les enfants qui s'opposerait au pistage en refusant de porter le porte-clef. L'obligation de le porter est donc illicite de ce seul fait.

Par ailleurs, peu importe la base légale du traitement de données personnelles, le RGPD exige que celui-ci soit accompagné d'un certain nombre d'informations. Le responsable de traitement doit indiquer :

  1. son identité et ses coordonnées ;
  2. les finalités poursuivies ;
  3. l’étendue des droits de la personne concernée ;
  4. si les données sont transmises à des tiers, l'identité de ces destinataires ou la catégorie de ces destinataires ;
  5. la condition de licéité remplie par le traitement – en précisant, selon le cas, l'intérêt légitime défendu ou la possibilité de retirer le consentement donné ;
  6. la durée de conservation des données ;
  7. l'existence d'un transfert de données en dehors de l’Union, en précisant les garanties encadrant ce transfert ;
  8. l’existence d'une prise de décision automatisé.

Dans notre cas, l'établissement n'a fourni aucune de ces informations, si ce n'est, éventuellement, certaines des finalités envisagées (s'agissant des élèves, « s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité »), sans qu'on ne sache toutefois si ces finalités sont exhaustives.

Les autres informations sont simplement absentes, rendant le système illicite de ce seul fait.

Enfin, comme vu plus haut, les obligations de sécurité imposées par le RGPD ne sont pas respectées puisque le système New School repose sur le système complètement obsolète de Charlemagne/EcoleDirecte.

Et maintenant ?

Nous invitons les élèves et parents d'élèves de l'établissement Rocroy à se saisir des éléments développés ici pour saisir la justice en référé afin de faire changer le règlement intérieur avant la rentrée.

De façon plus générale, nous appelons la CNIL à enquêter sur la start-up New School avant que celle-ci ne démarche d'autres établissements. La situation est des plus inquiétante puisque, dès 2016, d'après Le Figaro Madame, « le cabinet de Valérie Pécresse lui fait savoir qu'ils aimeraient utiliser l'application pour toute la région Île-de-France ».

Politiquement, le cas de New School révèle un mouvement plus profond et plus grave : les puces choisies par New School ont initialement été pensées et sont normalement utilisées pour localiser des objets fixes (des murs) ou mobiles (des marchandises) afin qu'un humain muni d'un smartphone puisse se repérer parmi ces objets. Cette situation s'inverse ici : la puce n'est plus attachée à des objets mais à des enfants ; le smartphone ne sert plus à se repérer dans l'espace mais, immobile au poste du surveillant, à définir l'espace dans lequel les humains peuvent évoluer. L'humain ne se déplace plus parmi les choses : il est une chose comprise par d'autres.

  • 1. En janvier dernier, La Tribune explique, au sujet de la créatrice de New School, après que celle-ci a remporté un prix pour jeune startupeux :
    Quelques mois plus tard, Apple entre en contact avec elle et lui demande de pitcher deux jours plus tard dans ses bureaux londoniens. « J'étais déjà sur place, à croire qu'ils m'avaient tracée... » Dans le développement de NewSchool, la marque à la pomme a joué un rôle important, notamment dans la conception de l'application mais aussi dans la commercialisation : « Le marché de l'éducation en France est assez impénétrable, nous avons échangé beaucoup d'informations ».
    [...]
    Le coaching by Apple est toujours d'actualité. La jeune entrepreneure participe à de nombreux événements et voit régulièrement des développeurs, français et anglais, pour avancer sur l'application. Elle a même eu le privilège de rencontrer Tim Cook, en février dernier. Au tout début, il était question de faire de NewSchool une application préintégrée sur les appareils vendus aux établissements scolaires, mais « à l'époque nous n'étions pas assez développés, ni commercialement ni au niveau des fonctionnalités. Il nous faut encore grandir pour espérer un jour avoir une application commune », explique-t-elle. Et le travail en famille est toujours valable. « Ma mère est directrice commerciale, elle travaille beaucoup. Nous avons fait le salon de l'éducation la semaine dernière, c'est elle qui a tout géré », s'enthousiasme la jeune femme.
  • 2. Qwant semble avoir dé-publié son article en soutien à New School, mais nous en avions fait une copie. En réaction au présent article, Qwant a précisé que « Nous avons été invité à remettre un prix étudiant à la fondatrice pour son projet entrepreneurial (elle était la plus jeune entrepreneuse de France) mais notre lien avec l'entreprise n'a pas été au-delà de ce concours. »
  • 3. Notre traduction de « Ubudu is a next-generation RTLS solution, which tracks, analyses and detects assets and people in industrial or service sites: airports, factories, hospitals, retail, sport & leisure venues, etc. Ubudu simply works with small tags or smartphones exchanging radio-signals with fixed sensors, and a location server that computes and processes the position. »
  • 4. Notre traduction de « Use BLE Tags if you have many assets to track and do not need accuracy below 1-2m. (...) Examples of realizations include McDonald’s table service solution and New School student tokens (include pictures). You can also go with standard iBeacon devices, for which we recommend those of high quality, such as EM Microelectronics ».
  • 5. De bon sens, la CNIL exige que « le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique » et que « le mot de passe ne doit jamais être stocké en clair ».
]]>
Conservation généralisée de données : débat transmis au niveau européen !10604 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180726_144245_Conservation_generalisee_de_donnees___debat_transmis_au_niveau_europeen__Thu, 26 Jul 2018 12:42:45 +000026 juillet 2018 - Après trois ans de procédure, le Conseil d'État vient (enfin !) d'accepter de saisir la Cour de Justice de l'Union européenne, tel que nous le demandions. Le régime français de conservation généralisée des données de connexion imposé aux opérateurs téléphoniques et Internet ainsi qu'aux hébergeurs est-il conforme au droit de l'Union européenne ?

La décision d'aujourd'hui est une avancée importante dans le combat juridictionnel porté par La Quadrature du Net, la Fédération FDN et FDN contre la surveillance de masse.

Il faut toutefois dénoncer le délai démesuré pris par le Conseil d'État pour franchir cette étape. Le Conseil d'État est resté muet durant plusieurs années, retenant sa justice malgré plusieurs relances de notre part. Il ne s'est prononcé qu'au moment où le Gouvernement français, embourbé dans des débats politiques autour du règlement ePrivacy, a trouvé opportun de s'aligner sur nos propres demandes - saisir la Cour de justice de l'Union.

Revoir notre récit des procédures ayant conduit à la décision d'aujourd'hui.

Cet alignement du calendrier de la Justice sur le calendrier stratégique du gouvernement remettrait en cause l'idéal d'indépendance qui doit animer la Justice.

Heureusement, le débat se poursuit aujourd'hui devant une juridiction européenne qui, à plusieurs reprises ces dernières années, a su garder ses distances avec les volontés autoritaires des gouvernements occidentaux.

La CJUE s'est opposée à la directive de 2006 qui prévoyait une conservation généralisée des données de connexion, dans son arrêt Digital Rights Ireland. Elle a aussi invalidé le Safe Harbor au regard du régime de surveillance des États Unis, dans son arrêt Schrems. Dernièrement, elle s'est opposée aux régimes de conservation généralisée suédois et britannique, dans son arrêt Tele2.

Le gouvernement français espère pouvoir faire changer d'avis la Cour de justice de l'Union européenne. Ne prenons pas l'ambition du gouvernement à la légère : le combat qui s'ouvre déterminera le cadre de la surveillance européenne. Le gouvernement ne chômera pas pour défendre l'idéal d'un monde dans lequel chacun serait suspect. Nous ne chômerons pas nous plus pour défendre notre autre monde.

Les questions

La première question transmise par le Conseil d'État est la suivante : « L'obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l'article 15, paragraphe 1, de la directive du 12 juillet 2002, ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls Etats-membres en vertu de l'article 4 du traité sur l'Union européenne ? »

Par là, le Conseil demande si, alors que le Cour de justice a déjà reconnu la conservation généralisée injustifiée pour lutter contre les infractions (dans sa décision Tele2), cette conservation peut être justifiée pour protéger la sécurité nationale.

Pour rappel : en droit européen, la lutte contre le terrorisme n'est pas de l'ordre de la protection de la sécurité nationale - qui, selon la CNCIS, ne fondait en 2015 que 12% des interceptions réalisées par les services de renseignement. Le Conseil d'État demande donc si, pour 12% des besoins des services de renseignement (en matière militaire et de contre-espionnage, on imagine), il peut être porté atteinte à la vie privée de toute la population, considérée comme suspecte par défaut.

Une telle question nous semble disproportionnée par elle-même, mais elle ouvre un débat plus large dont il faudra se saisir devant la Cour de justice.

Par ailleurs, le Conseil d'État a transmis une ou plusieurs autres questions, dont nous n'avons pas encore connaissance : nous mettrons cet article à jour au fur et à mesure.

]]>
26 juillet 2018 - Après trois ans de procédure, le Conseil d'État vient (enfin !) d'accepter de saisir la Cour de Justice de l'Union européenne, tel que nous le demandions. Le régime français de conservation généralisée des données de connexion imposé aux opérateurs téléphoniques et Internet ainsi qu'aux hébergeurs est-il conforme au droit de l'Union européenne ?

La décision d'aujourd'hui est une avancée importante dans le combat juridictionnel porté par La Quadrature du Net, la Fédération FDN et FDN contre la surveillance de masse.

Il faut toutefois dénoncer le délai démesuré pris par le Conseil d'État pour franchir cette étape. Le Conseil d'État est resté muet durant plusieurs années, retenant sa justice malgré plusieurs relances de notre part. Il ne s'est prononcé qu'au moment où le Gouvernement français, embourbé dans des débats politiques autour du règlement ePrivacy, a trouvé opportun de s'aligner sur nos propres demandes - saisir la Cour de justice de l'Union.

Revoir notre récit des procédures ayant conduit à la décision d'aujourd'hui.

Cet alignement du calendrier de la Justice sur le calendrier stratégique du gouvernement remettrait en cause l'idéal d'indépendance qui doit animer la Justice.

Heureusement, le débat se poursuit aujourd'hui devant une juridiction européenne qui, à plusieurs reprises ces dernières années, a su garder ses distances avec les volontés autoritaires des gouvernements occidentaux.

La CJUE s'est opposée à la directive de 2006 qui prévoyait une conservation généralisée des données de connexion, dans son arrêt Digital Rights Ireland. Elle a aussi invalidé le Safe Harbor au regard du régime de surveillance des États Unis, dans son arrêt Schrems. Dernièrement, elle s'est opposée aux régimes de conservation généralisée suédois et britannique, dans son arrêt Tele2.

Le gouvernement français espère pouvoir faire changer d'avis la Cour de justice de l'Union européenne. Ne prenons pas l'ambition du gouvernement à la légère : le combat qui s'ouvre déterminera le cadre de la surveillance européenne. Le gouvernement ne chômera pas pour défendre l'idéal d'un monde dans lequel chacun serait suspect. Nous ne chômerons pas nous plus pour défendre notre autre monde.

Les questions

La première question transmise par le Conseil d'État est la suivante : « L'obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l'article 15, paragraphe 1, de la directive du 12 juillet 2002, ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls Etats-membres en vertu de l'article 4 du traité sur l'Union européenne ? »

Par là, le Conseil demande si, alors que le Cour de justice a déjà reconnu la conservation généralisée injustifiée pour lutter contre les infractions (dans sa décision Tele2), cette conservation peut être justifiée pour protéger la sécurité nationale.

Pour rappel : en droit européen, la lutte contre le terrorisme n'est pas de l'ordre de la protection de la sécurité nationale - qui, selon la CNCIS, ne fondait en 2015 que 12% des interceptions réalisées par les services de renseignement. Le Conseil d'État demande donc si, pour 12% des besoins des services de renseignement (en matière militaire et de contre-espionnage, on imagine), il peut être porté atteinte à la vie privée de toute la population, considérée comme suspecte par défaut.

Une telle question nous semble disproportionnée par elle-même, mais elle ouvre un débat plus large dont il faudra se saisir devant la Cour de justice.

Par ailleurs, le Conseil d'État a transmis une ou plusieurs autres questions, dont nous n'avons pas encore connaissance : nous mettrons cet article à jour au fur et à mesure.

]]>
La Fédération FDN soutient l'amendement Chaize qui encourage les offres activées sur les réseaux fibre optique10599 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180723_104944_La_Federation_FDN_soutient_l_amendement_Chaize_qui_encourage_les_offres_activees_sur_les_reseaux_fibre_optiqueMon, 23 Jul 2018 08:49:44 +000023 juillet 2018 - Nous republions ici le communiqué publié ce matin par la Fédération FDN, qui promeut l'accès aux offres activées sur les réseaux fibre optique.

L'accès « activé » à un réseau fibré consiste, pour un opérateur télécoms, à louer des fibres optiques déjà « activées » par un autre opérateur, qui gère et entretient les équipements de distribution du réseau.

Pour un petit opérateur, ce type d'accès activé est le seul moyen de fournir à ses abonnés un accès fibré à Internet dans les zones géographiques où il ne peut pas déployer d'équipements. En effet, un opérateur de petite taille a généralement des abonnés dispersés sur tout le territoire : il n'est pas économiquement viable de déployer ses propres équipements dans chaque zone géographique pour seulement quelques abonnés localement.

Ce communiqué intervient dans le cadre du projet de loi portant « évolution du logement, de l'aménagement et du numérique » (loi ELAN), actuellement en débat au Sénat, jusqu'à demain :

La Fédération FDN soutient l'amendement Chaize qui encourage les offres activées sur les réseaux fibre optique

La Fédération FDN soutient l'amendement à la loi Elan porté par M. Patrick Chaize, président de l'AVICCA et vice-président de la commission Aménagement du Territoire et Developpement Durable du Sénat. Cet amendement ouvre, sur tout le territoire national, le droit d'accéder à une offre activée raisonnable et non discriminatoire, et constitue à ce titre une belle opportunité de progression vers un marché des télécoms plus ouvert et plus innovant.

En effet, ces offres activées garantissent une concurrence saine sur le marché des télécoms en permettant à de petits acteurs, tels que les FAI de la Fédération FDN, d'y exister de manière durable en accédant à la boucle locale fibre optique.

Les petits opérateurs sont nécessaires à l'équilibre du marché des télécoms : ils peuvent faire émerger des offres de services différenciées, répondant aux besoins spécifiques des utilisateurs finals1. Ils entretiennent ainsi la vitalité du marché, qui menace toujours de se refermer sur quelques gros acteurs.

Les membres de la Fédération FDN, capables de s'adapter aux particularités de chaque territoire et aux demandes de leurs adhérents, sont également des acteurs indispensables d'un accès au numérique inclusif, où les zones les moins rentables et les besoins les plus spécifiques ne sont pas oubliés. « L'émergence d'une offre activée pertinente sur tout le territoire est la garantie de la pérénnité de notre travail », ajoute Oriane Piquer-Louis, présidente de la Fédération FDN.

Il ne s'agit pas de remettre en cause l'équilibre du marché, ni de pénaliser les acteurs qui ont pris le risque financier d'investir. L'intérêt des offres activées est de garantir les conditions d'un marché capable de répondre aux demandes de chacun, et ouvert vers l'innovation.

Nous appelons donc au maintien de l'article 64ter porté par M. Patrick Chaize dans la loi Elan, et au rejet de l'amendement de suppression porté par le gouvernement.

À propos de la Fédération FDN

La fédération FDN regroupe des Fournisseurs d'Accès à Internet associatifs se reconnaissant dans des valeurs communes : bénévolat, solidarité, fonctionnement démocratique et à but non lucratif; défense et promotion de la neutralité du Net.

A ce titre, la fédération FDN se donne comme mission de porter la voix de ses membres dans les débats concernant la liberté d'expression et la neutralité du Net.

Elle fournit à ses membres les outils pour se développer et répondre aux problèmes rencontrés dans le cadre de l'activité de fournisseur d'accès à Internet.

Edit du 26 juillet : Le Sénat a rejeté hier l'amendement de suppression porté par le gouvernement contre l'article 64ter. Cet "amendement Chaize" est donc maintenu dans la loi Elan.

  • 1. L'emploi du pluriel régulier « finals » au lieu du pluriel habituel « finaux » est l'usage courant en matière de télécoms.
]]>
23 juillet 2018 - Nous republions ici le communiqué publié ce matin par la Fédération FDN, qui promeut l'accès aux offres activées sur les réseaux fibre optique.

L'accès « activé » à un réseau fibré consiste, pour un opérateur télécoms, à louer des fibres optiques déjà « activées » par un autre opérateur, qui gère et entretient les équipements de distribution du réseau.

Pour un petit opérateur, ce type d'accès activé est le seul moyen de fournir à ses abonnés un accès fibré à Internet dans les zones géographiques où il ne peut pas déployer d'équipements. En effet, un opérateur de petite taille a généralement des abonnés dispersés sur tout le territoire : il n'est pas économiquement viable de déployer ses propres équipements dans chaque zone géographique pour seulement quelques abonnés localement.

Ce communiqué intervient dans le cadre du projet de loi portant « évolution du logement, de l'aménagement et du numérique » (loi ELAN), actuellement en débat au Sénat, jusqu'à demain :

La Fédération FDN soutient l'amendement Chaize qui encourage les offres activées sur les réseaux fibre optique

La Fédération FDN soutient l'amendement à la loi Elan porté par M. Patrick Chaize, président de l'AVICCA et vice-président de la commission Aménagement du Territoire et Developpement Durable du Sénat. Cet amendement ouvre, sur tout le territoire national, le droit d'accéder à une offre activée raisonnable et non discriminatoire, et constitue à ce titre une belle opportunité de progression vers un marché des télécoms plus ouvert et plus innovant.

En effet, ces offres activées garantissent une concurrence saine sur le marché des télécoms en permettant à de petits acteurs, tels que les FAI de la Fédération FDN, d'y exister de manière durable en accédant à la boucle locale fibre optique.

Les petits opérateurs sont nécessaires à l'équilibre du marché des télécoms : ils peuvent faire émerger des offres de services différenciées, répondant aux besoins spécifiques des utilisateurs finals1. Ils entretiennent ainsi la vitalité du marché, qui menace toujours de se refermer sur quelques gros acteurs.

Les membres de la Fédération FDN, capables de s'adapter aux particularités de chaque territoire et aux demandes de leurs adhérents, sont également des acteurs indispensables d'un accès au numérique inclusif, où les zones les moins rentables et les besoins les plus spécifiques ne sont pas oubliés. « L'émergence d'une offre activée pertinente sur tout le territoire est la garantie de la pérénnité de notre travail », ajoute Oriane Piquer-Louis, présidente de la Fédération FDN.

Il ne s'agit pas de remettre en cause l'équilibre du marché, ni de pénaliser les acteurs qui ont pris le risque financier d'investir. L'intérêt des offres activées est de garantir les conditions d'un marché capable de répondre aux demandes de chacun, et ouvert vers l'innovation.

Nous appelons donc au maintien de l'article 64ter porté par M. Patrick Chaize dans la loi Elan, et au rejet de l'amendement de suppression porté par le gouvernement.

À propos de la Fédération FDN

La fédération FDN regroupe des Fournisseurs d'Accès à Internet associatifs se reconnaissant dans des valeurs communes : bénévolat, solidarité, fonctionnement démocratique et à but non lucratif; défense et promotion de la neutralité du Net.

A ce titre, la fédération FDN se donne comme mission de porter la voix de ses membres dans les débats concernant la liberté d'expression et la neutralité du Net.

Elle fournit à ses membres les outils pour se développer et répondre aux problèmes rencontrés dans le cadre de l'activité de fournisseur d'accès à Internet.

Edit du 26 juillet : Le Sénat a rejeté hier l'amendement de suppression porté par le gouvernement contre l'article 64ter. Cet "amendement Chaize" est donc maintenu dans la loi Elan.

  • 1. L'emploi du pluriel régulier « finals » au lieu du pluriel habituel « finaux » est l'usage courant en matière de télécoms.
]]>
Teemo, Fidzup : la CNIL interdit la géolocalisation sauvage - l'UE pense à la légaliser10598 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180720_170056_Teemo__Fidzup___la_CNIL_interdit_la_geolocalisation_sauvage_-_l_UE_pense_a_la_legaliserFri, 20 Jul 2018 15:00:56 +000020 juillet 2018 - Hier, la CNIL a déclaré illicites les activités de deux start-ups françaises, Teemo et Fidzup, qui géolocalisent des millions de personnes à des fins publicitaires et sans leur consentement. Elles ont trois mois pour cesser ces activités. Hélas, sur le long terme, leur modèle pourrait devenir licite : c'est en tout cas ce sur quoi l'Union européenne débat via un futur règlement ePrivacy.

Teemo

Teemo est l'emblème des start-ups qui n'existent pas pour durer, mais pour amasser un maximum de profits par une activité qui, depuis le début, est illicite. En mode « take the money and run ». Employant 35 salariés pour un chiffre d'affaires de 2,6 millions (en 2016), Teemo ne pourra pas survivre à la décision rendue hier par la CNIL.

Teemo analyse les données de géolocalisation de 14 millions de téléphones, obtenues via les applications mobiles de ses partenaires commerciaux, afin de faire de la publicité ciblée localement. Évidemment, les personnes surveillées ne sont pas informées de ce pistage et n'ont pas leur mot à dire. La CNIL exige aujourd'hui le consentement de ces personnes - ce que la loi « informatique et libertés » impose sans ambiguïté.

Teemo peut donc fermer boutique, puisque son chiffre d'affaires repose désormais sur l'espoir absurde que des utilisateurs renoncent à leur vie privée, sans contrepartie, mais simplement pour enrichir la start-up.

Bien. Mais que dire de ses nombreux partenaires qui ont financé et bénéficié de ce système de surveillance généralisée ? Sur le site de Teemo, on peut lire les témoignages de LeaderPrice, ToysRus, InterSport ou Volkswagen se réjouissant qu'une telle violation massive de nos libertés ait pu faciliter leurs activités publicitaires. Plus loin, parmi les entreprises qui ont « fait confiance » à Teemo (sans avoir consulté aucun juriste, on imagine), on retrouve encore Carrefour, Macdo, Decathlon ou la Fnac.

Par ailleurs, il y a un an, Numérama publiait une enquête sur Teemo qui, probablement, a conduit la CNIL à se saisir de l'affaire. L'enquête expliquait que Teemo s'était notamment infiltrée sur les applications mobiles du Figaro, du Parisien, de l'Équipe ou de Closer, avec l'accord de ceux-ci.

Depuis, Exodus Privacy a décrit précisément le fonctionnement de Teemo et les applications l'intégrant.

Aujourd'hui, l'ensemble de ces entreprises nous doivent de sérieuses explications : comment ont-elles pu se permettre de financer et d'autoriser une violation aussi manifeste de la loi au détriment des libertés fondamentales de leurs clients ? Leur responsabilité juridique et politique est en jeu.

Fidzup

Le cas de Fidzup est plus complexe.

La start-up, plus petite (24 salariés, 500 000€ de chiffre d'affaires), opère en deux étapes. Dans une première étape, elle installe des bouts de code sur les applications mobiles de ses partenaires commerciaux. La CNIL décompte neuf applications différentes, qui lui auraient permis d'infiltrer 6 millions de téléphones. Ces bouts de code permettent à Fidzup de collecter certaines données techniques sur les téléphones espionnés. Dans une seconde étape, Fidzup fournit à une centaine de magasins des boîtiers qui identifient les téléphones qui passent à proximité, à partir des données techniques collectées dans la première étape. Les magasins peuvent donc tracer leurs clients, tant en ligne que hors-ligne.

Cette seconde étape est particulièrement pernicieuse. Techniquement, nos téléphones émettent régulièrement des données techniques afin de se connecter aux bornes WiFi environnantes. Les boîtiers fournis par Fidzup interceptent ces données techniques pour identifier les téléphones, alors même qu'ils ne sont pas du tout des bornes WiFi.

Exodus Privacy décrit en détail le fonctionnement et les applications mobiles collaborant avec Fidzup.

Heureusement, en droit, cette technique d'interception est explicitement interdite. La directive 2002/58 de l'Union européenne, dite « ePrivacy », prévoit depuis 2002 à son article 5 qu'il est interdit « à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés ». Les données captées par Fidzup sont ici des « données relatives au trafic », car destinées à réaliser une connexion avec une borne WiFi.

Reprenant assez facilement cette logique, la CNIL a exigé que Fidzup demande le consentement préalable des personnes avant de collecter ces données - ce qui n'était pas le cas.

On pourrait ici donner la même conclusion que pour Teemo : aucun utilisateur n'acceptera de céder sa vie privée, sans contrepartie, pour enrichir Fidzup. L'avenir de la start-up semblerait donc aussi compromis.

Hélas, la situation est plus inquiétante.

ePrivacy

La directive ePrivacy, qui interdit aujourd'hui l'activité de Fidzup, est en cours de révision par l'Union européenne.

Il y a un an, le Parlement européen arrêtait sa position sur le texte (relire notre bilan sur ce débat). À l'article 8, §2, du nouveau texte, le Parlement a autorisé la collecte sans consentement des « informations émises par les terminaux des utilisateurs » - abandonnant ainsi une protection fondamentale qui nous est aujourd'hui offerte.

Le Parlement autorise cette surveillance en imposant une poignée de conditions aussi vagues que creuses : l'analyse doit être limitée à des fins de « comptage statistique » (c'est déjà le service que fournit Fidzup), les données doivent être anonymisées dès que la finalité est remplie (dès que Fidzup a fini de nous compter), les utilisateurs disposent d'un droit d'opposition (qui leur est indiqué par une affiche plus ou moins visible dans le magasin surveillé - ce que fait déjà Fidzup).

Aujourd'hui, la réforme de la directive ePrivacy est débattue entre les États membres de l'Union. Peu d'États membres semblent vouloir contrer les dérives du Parlement en matière de géolocalisation.

D'une main, l'Union européenne prétend nous offrir une protection importante avec le règlement général sur la protection des données (RGPD). D'une autre main, elle réduit la protection de nos libertés afin de sauver quelques start-ups illicites et néfastes (inutiles).

Si les débats sur le règlement ePrivacy se confirmaient comme allant dans ce sens, il faudra s'opposer à toute idée de réformer le droit actuel - qui, couplé au RGPD, nous protège encore aujourd'hui des volontés de surveillance de sociétés telles que Teemo ou Fidzup et de leurs partenaires.

]]>
20 juillet 2018 - Hier, la CNIL a déclaré illicites les activités de deux start-ups françaises, Teemo et Fidzup, qui géolocalisent des millions de personnes à des fins publicitaires et sans leur consentement. Elles ont trois mois pour cesser ces activités. Hélas, sur le long terme, leur modèle pourrait devenir licite : c'est en tout cas ce sur quoi l'Union européenne débat via un futur règlement ePrivacy.

Teemo

Teemo est l'emblème des start-ups qui n'existent pas pour durer, mais pour amasser un maximum de profits par une activité qui, depuis le début, est illicite. En mode « take the money and run ». Employant 35 salariés pour un chiffre d'affaires de 2,6 millions (en 2016), Teemo ne pourra pas survivre à la décision rendue hier par la CNIL.

Teemo analyse les données de géolocalisation de 14 millions de téléphones, obtenues via les applications mobiles de ses partenaires commerciaux, afin de faire de la publicité ciblée localement. Évidemment, les personnes surveillées ne sont pas informées de ce pistage et n'ont pas leur mot à dire. La CNIL exige aujourd'hui le consentement de ces personnes - ce que la loi « informatique et libertés » impose sans ambiguïté.

Teemo peut donc fermer boutique, puisque son chiffre d'affaires repose désormais sur l'espoir absurde que des utilisateurs renoncent à leur vie privée, sans contrepartie, mais simplement pour enrichir la start-up.

Bien. Mais que dire de ses nombreux partenaires qui ont financé et bénéficié de ce système de surveillance généralisée ? Sur le site de Teemo, on peut lire les témoignages de LeaderPrice, ToysRus, InterSport ou Volkswagen se réjouissant qu'une telle violation massive de nos libertés ait pu faciliter leurs activités publicitaires. Plus loin, parmi les entreprises qui ont « fait confiance » à Teemo (sans avoir consulté aucun juriste, on imagine), on retrouve encore Carrefour, Macdo, Decathlon ou la Fnac.

Par ailleurs, il y a un an, Numérama publiait une enquête sur Teemo qui, probablement, a conduit la CNIL à se saisir de l'affaire. L'enquête expliquait que Teemo s'était notamment infiltrée sur les applications mobiles du Figaro, du Parisien, de l'Équipe ou de Closer, avec l'accord de ceux-ci.

Depuis, Exodus Privacy a décrit précisément le fonctionnement de Teemo et les applications l'intégrant.

Aujourd'hui, l'ensemble de ces entreprises nous doivent de sérieuses explications : comment ont-elles pu se permettre de financer et d'autoriser une violation aussi manifeste de la loi au détriment des libertés fondamentales de leurs clients ? Leur responsabilité juridique et politique est en jeu.

Fidzup

Le cas de Fidzup est plus complexe.

La start-up, plus petite (24 salariés, 500 000€ de chiffre d'affaires), opère en deux étapes. Dans une première étape, elle installe des bouts de code sur les applications mobiles de ses partenaires commerciaux. La CNIL décompte neuf applications différentes, qui lui auraient permis d'infiltrer 6 millions de téléphones. Ces bouts de code permettent à Fidzup de collecter certaines données techniques sur les téléphones espionnés. Dans une seconde étape, Fidzup fournit à une centaine de magasins des boîtiers qui identifient les téléphones qui passent à proximité, à partir des données techniques collectées dans la première étape. Les magasins peuvent donc tracer leurs clients, tant en ligne que hors-ligne.

Cette seconde étape est particulièrement pernicieuse. Techniquement, nos téléphones émettent régulièrement des données techniques afin de se connecter aux bornes WiFi environnantes. Les boîtiers fournis par Fidzup interceptent ces données techniques pour identifier les téléphones, alors même qu'ils ne sont pas du tout des bornes WiFi.

Exodus Privacy décrit en détail le fonctionnement et les applications mobiles collaborant avec Fidzup.

Heureusement, en droit, cette technique d'interception est explicitement interdite. La directive 2002/58 de l'Union européenne, dite « ePrivacy », prévoit depuis 2002 à son article 5 qu'il est interdit « à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés ». Les données captées par Fidzup sont ici des « données relatives au trafic », car destinées à réaliser une connexion avec une borne WiFi.

Reprenant assez facilement cette logique, la CNIL a exigé que Fidzup demande le consentement préalable des personnes avant de collecter ces données - ce qui n'était pas le cas.

On pourrait ici donner la même conclusion que pour Teemo : aucun utilisateur n'acceptera de céder sa vie privée, sans contrepartie, pour enrichir Fidzup. L'avenir de la start-up semblerait donc aussi compromis.

Hélas, la situation est plus inquiétante.

ePrivacy

La directive ePrivacy, qui interdit aujourd'hui l'activité de Fidzup, est en cours de révision par l'Union européenne.

Il y a un an, le Parlement européen arrêtait sa position sur le texte (relire notre bilan sur ce débat). À l'article 8, §2, du nouveau texte, le Parlement a autorisé la collecte sans consentement des « informations émises par les terminaux des utilisateurs » - abandonnant ainsi une protection fondamentale qui nous est aujourd'hui offerte.

Le Parlement autorise cette surveillance en imposant une poignée de conditions aussi vagues que creuses : l'analyse doit être limitée à des fins de « comptage statistique » (c'est déjà le service que fournit Fidzup), les données doivent être anonymisées dès que la finalité est remplie (dès que Fidzup a fini de nous compter), les utilisateurs disposent d'un droit d'opposition (qui leur est indiqué par une affiche plus ou moins visible dans le magasin surveillé - ce que fait déjà Fidzup).

Aujourd'hui, la réforme de la directive ePrivacy est débattue entre les États membres de l'Union. Peu d'États membres semblent vouloir contrer les dérives du Parlement en matière de géolocalisation.

D'une main, l'Union européenne prétend nous offrir une protection importante avec le règlement général sur la protection des données (RGPD). D'une autre main, elle réduit la protection de nos libertés afin de sauver quelques start-ups illicites et néfastes (inutiles).

Si les débats sur le règlement ePrivacy se confirmaient comme allant dans ce sens, il faudra s'opposer à toute idée de réformer le droit actuel - qui, couplé au RGPD, nous protège encore aujourd'hui des volontés de surveillance de sociétés telles que Teemo ou Fidzup et de leurs partenaires.

]]>
Tor est pour tout le monde10596 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180718_130825_Tor_est_pour_tout_le_mondeWed, 18 Jul 2018 11:08:25 +0000Tribune de Lunar, membre de La Quadrature du Net

Il y a quelques mois, Nos oignons, une association qui participe au réseau Tor, a une nouvelle fois été contactée par un·e journaliste qui souhaitait « expliquer aux lecteurs comment on va dans le web profond (via Tor) et quel intérêt il y aurait à y aller, en oubliant tous les sites “dark” de type ventes d’armes ». Mais après quelques échanges, le sujet semble finalement difficile à vendre à la direction : « À ce stade nous manquons franchement d’arguments, au point que je me demande si l’article va finalement sortir. » À notre connaissance l’article n’est finalement jamais sorti.

Ce manque d’« arguments » nous semble provenir d’une erreur fondamentale de compréhension : l’usage de Tor (ou des sites .onion) n’est pas différent de l’usage du web et d’Internet en général. Si Internet est pour tout le monde, Tor l’est tout autant.

Sur Internet, on lit la presse. Pourtant, l’expérience est différente de celle de lire de la presse sur papier. Une personne qui attrape la dernière édition d’un quotidien sur le comptoir d’un café n’informe pas l’équipe du journal qu’elle vient de gagner en audience. Elle ne les prévient pas non plus être dans un café, ni du nom du café, ni de quelles pages elle a lu, ni de combien de temps elle a pu passer sur chacun des articles…

Or, si cette même personne se rend sur le site web du journal, alors il pourra au moins connaître la connexion utilisée, quelles pages ont été lues et pendant combien de temps. Mais ces informations ne sont pas uniquement accessibles au journal : la régie publicitaire en apprendra autant, tout comme Google qui fournit les polices de caractères, Facebook avec son bouton «  Like », Twitter pour son bouton « Tweet », pour ne citer que les plus courants.

Alors soyons clair : qu’il soit en papier ou en ligne, quand on lit un journal, on ne s’attend pas à ce qu’il nous lise en retour…

Lorsqu’on remplace Firefox ou Chrome par le navigateur Tor, on rend beaucoup plus difficile cette collecte d’information contre notre gré. On retrouve un Internet conforme à nos attentes.

Voir Tor principalement comme un outil pour l’anonymat ou le contournement de la censure, c’est penser son usage comme nécessairement marginal. Alors qu’au contraire, Tor constitue un pas vers un Internet davantage conforme aux intuitions les plus courantes sur son fonctionnement.

Le temps où Internet était réservé aux personnes ayant un bagage en science informatique est terminé. La plupart des internautes ne peuvent pas faire un choix informé sur les données et les traces enregistrées et partagées par les ordinateurs impliqués dans leur communications. Même les personnes qui développent des applications ont parfois bien du mal à mesurer l’étendue des données que fuitent les outils qu’elles conçoivent ! Utiliser le navigateur Tor permet justement de limiter les informations que nous communiquons à des tiers sans en avoir explicitement l’intention.

Maîtriser les informations que nous partageons lors de nos communications ne devrait pas être réservé à une élite. Voilà pourquoi Tor se destine au plus grand nombre.

Nos oignons contribue modestement au fonctionnement du réseau Tor en faisant fonctionner des relais en France. L’association démarre aujourd’hui une nouvelle campagne de financement afin de récolter les 12 000 € nécessaires pour fonctionner une année supplémentaire. La Quadrature du Net, qui veille à ce que l'usage de tels outils reste autorisé en France et en Europe, relaye donc cet appel. Soutenons Nos Oignons, ainsi que le projet Tor qui développe les logiciels.

]]>
Tribune de Lunar, membre de La Quadrature du Net

Il y a quelques mois, Nos oignons, une association qui participe au réseau Tor, a une nouvelle fois été contactée par un·e journaliste qui souhaitait « expliquer aux lecteurs comment on va dans le web profond (via Tor) et quel intérêt il y aurait à y aller, en oubliant tous les sites “dark” de type ventes d’armes ». Mais après quelques échanges, le sujet semble finalement difficile à vendre à la direction : « À ce stade nous manquons franchement d’arguments, au point que je me demande si l’article va finalement sortir. » À notre connaissance l’article n’est finalement jamais sorti.

Ce manque d’« arguments » nous semble provenir d’une erreur fondamentale de compréhension : l’usage de Tor (ou des sites .onion) n’est pas différent de l’usage du web et d’Internet en général. Si Internet est pour tout le monde, Tor l’est tout autant.

Sur Internet, on lit la presse. Pourtant, l’expérience est différente de celle de lire de la presse sur papier. Une personne qui attrape la dernière édition d’un quotidien sur le comptoir d’un café n’informe pas l’équipe du journal qu’elle vient de gagner en audience. Elle ne les prévient pas non plus être dans un café, ni du nom du café, ni de quelles pages elle a lu, ni de combien de temps elle a pu passer sur chacun des articles…

Or, si cette même personne se rend sur le site web du journal, alors il pourra au moins connaître la connexion utilisée, quelles pages ont été lues et pendant combien de temps. Mais ces informations ne sont pas uniquement accessibles au journal : la régie publicitaire en apprendra autant, tout comme Google qui fournit les polices de caractères, Facebook avec son bouton «  Like », Twitter pour son bouton « Tweet », pour ne citer que les plus courants.

Alors soyons clair : qu’il soit en papier ou en ligne, quand on lit un journal, on ne s’attend pas à ce qu’il nous lise en retour…

Lorsqu’on remplace Firefox ou Chrome par le navigateur Tor, on rend beaucoup plus difficile cette collecte d’information contre notre gré. On retrouve un Internet conforme à nos attentes.

Voir Tor principalement comme un outil pour l’anonymat ou le contournement de la censure, c’est penser son usage comme nécessairement marginal. Alors qu’au contraire, Tor constitue un pas vers un Internet davantage conforme aux intuitions les plus courantes sur son fonctionnement.

Le temps où Internet était réservé aux personnes ayant un bagage en science informatique est terminé. La plupart des internautes ne peuvent pas faire un choix informé sur les données et les traces enregistrées et partagées par les ordinateurs impliqués dans leur communications. Même les personnes qui développent des applications ont parfois bien du mal à mesurer l’étendue des données que fuitent les outils qu’elles conçoivent ! Utiliser le navigateur Tor permet justement de limiter les informations que nous communiquons à des tiers sans en avoir explicitement l’intention.

Maîtriser les informations que nous partageons lors de nos communications ne devrait pas être réservé à une élite. Voilà pourquoi Tor se destine au plus grand nombre.

Nos oignons contribue modestement au fonctionnement du réseau Tor en faisant fonctionner des relais en France. L’association démarre aujourd’hui une nouvelle campagne de financement afin de récolter les 12 000 € nécessaires pour fonctionner une année supplémentaire. La Quadrature du Net, qui veille à ce que l'usage de tels outils reste autorisé en France et en Europe, relaye donc cet appel. Soutenons Nos Oignons, ainsi que le projet Tor qui développe les logiciels.

]]>
Demain, la surveillance française devant le Conseil d'État !10591 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180710_165517_Demain__la_surveillance_fran__aise_devant_le_Conseil_d_Etat__Tue, 10 Jul 2018 14:55:17 +000010 juillet 2018 - Demain à 14h se tiendront au Conseil d'État deux audiences décisives sur la loi renseignement et sur le régime de conservation généralisée des données de connexion. Ces deux contentieux ont été engagés il y a bientôt trois ans par La Quadrature du net, FDN et FFDN avec le soutien des Exégètes amateurs. Ces affaires pourraient bien connaître la conclusion espérée.

Venez avec nous assister à l'audience !

Avant de voir l'enjeu précis de l'audience de demain, revenons sur ces trois riches années de procédure, déjà cousues de quelques belles victoires et des centaines de pages écrites par les Exégètes amateurs contre une dizaine de textes différents.

À l'attaque de la loi renseignement

Il y a trois ans, le 24 juillet 2015, la loi renseignement était publiée. Elle venait d'être examinée une première fois par le Conseil constitutionnel, devant qui nous avions produit de nombreux arguments - en partie suivis par le Conseil pour, déjà, censurer certaines parties de la loi.

Voir l'amicus curiae que nous produisions contre la loi devant le Conseil constitutionnel

Deux mois après, une série de décrets étaient adoptés pour appliquer cette loi : ces décrets nous offraient l'opportunité, en les attaquant devant le Conseil d'État, de contester la loi dans son ensemble.

C'est donc deux mois plus tard que, le 30 novembre 2015, La Quadrature du Net, FDN et FFDN déposaient leur « requête introductive », qui conduira à l'audience de demain.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Quatre mois après, le 6 mai 2016, nous soulevions une question prioritaire de constitutionnalité (QPC) : nous invitions le Conseil d'État à demander au Conseil constitutionnel si la loi renseignement violait la Constitution lorsqu'elle prévoyait un régime de surveillance généralisée des communications « empruntant la voie hertzienne » (ce qui veut à peu près tout dire).

Six mois plus tard, le 21 octobre 2016, nous gagnions cette manche : cette partie de la loi était censurée !

Voir la décision du Conseil constitutionnel censurant la surveillance hertzienne

Toutefois, nous avions formulé bien d'autres arguments contre la loi renseignement. Le Conseil d'État, devant qui le reste de l'affaire était revenue, devait encore les examiner.

Pendant un an et huit mois, nous sommes restés sans nouvelles du Conseil d'État et pensions qu'il avait oublié l'affaire...

Il y a douze jours, après quasiment deux années de silence, le Premier ministre et le ministère de l'intérieur ont subitement envoyé des arguments pour défendre la loi.

Cinq jours plus tard, sans crier gare, le Conseil d'État a fixé une date d'audience (demain), qui marquera la fin des débats. Il ne nous laissait ainsi qu'une poignée de jours pour contre-attaquer.

Voir notre dernier mémoire en réplique déposé ce matin par Patrice Spinosi, l'avocat qui nous représente devant le Conseil d'État dans cette affaire

Un problème de conservation généralisée

La loi renseignement n'est pas ici le seul problème. Elle s'ajoute à un régime distinct qui, en France et depuis sept ans, impose aux opérateurs téléphonique et Internet, ainsi qu'aux hébergeurs de contenus en ligne, de conserver pendant un an des « données de connexion » sur l'ensemble des utilisateurs (qui parle à qui, d'où, avec quelle adresse IP, etc.). Les services de renseignement peuvent ainsi accéder, pendant un an, aux données concernant toute la population.

Il nous fallait aussi, en parallèle, attaquer cette conservation généralisée.

Il y a quatre ans, en avril 2014, la Cour de justice de l'Union européenne rendait une décision capitale dans l'affaire « Digital Right Ireland ». Elle annulait une directive européenne qui, depuis 2006, imposait un même régime de conservation généralisée dans toute l'Union. Pour la Cour, la Charte des droits fondamentaux de l'Union européenne s'opposait à une telle surveillance qui, par définition, considère comme suspecte l'ensemble de la population.

Voir la décision du 4 avril 2014 de la Cour de justice

Il y a trois ans, le 1er septembre 2015, La Quadrature du Net, FDN et FFDN saisissaient cette occasion pour contester le régime de conservation généralisée en droit français devant le Conseil d'État, dans une affaire en parallèle à celle contre la loi renseignement.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Dix mois plus tard, en juin 2016, le ministère de la justice envoyait ses arguments pour défendre la conservation généralisée. Ici encore, le gouvernement restera ensuite muet pendant deux ans....

Toutefois, entre-temps, il y a dix-huit mois, le 21 décembre 2016, la Cour de justice rendait une autre décision déterminante dans l'affaire « Tele2 Sverige ». Interrogée par des juges suédois et anglais, elle avait reconnu que les lois de ces deux pays, qui prévoyaient une conservation généralisée des données de connexion, violaient elles-aussi la Charte de l'Union.

Voir l'article des Exégètes amateurs analysant l'arrêt Tele2

C'est exactement la solution que nous recherchions depuis le début : nous demandons au Conseil d'État, à l'instar des juges suédois et anglais, d'interroger la Cour de justice de l'Union européenne sur la validité de notre régime.

En effet, depuis dix-huit mois, le droit français viole le droit de l'Union en refusant d'abroger son régime de conservation généralisée, ce que la Cour de justice impose pourtant de façon évidente.

Lire la tribune des Exégètes amateurs publiée sur Libération

Il y a vingt jours, le Premier ministre sortait enfin de son silence de deux ans pour défendre la loi française. Comme pour l'affaire sur la loi renseignement, le Conseil d'État a fixé l'audience pour demain.

Voir notre dernier mémoire en réplique déposé aujourd'hui

Demain, c'est donc la voie pour mettre fin à l'incohérence du droit français qui, enfin, semble s'ouvrir.

Le débat passe au niveau européen

Il y a quinze jours, nous lancions une campagne européenne pour pousser la Commission européenne à agir contre les dix-sept États membres de l'Union européenne qui, comme la France, violent le droit de l'Union en maintenant un régime de conservation généralisée des données de connexion.

Dans le même temps, depuis un an, les gouvernements européens - dont le gouvernement français - tentent difficilement de modifier le droit européen pour contourner la jurisprudence de la Cour de justice. C'est notamment ce à quoi La Quadrature du Net s'oppose dans les débat sur le règlement ePrivacy.

Face à ces nombreuses et vives difficultés, il semble que le gouvernement français, dos au mur, renonce enfin à fuir le débat.

Après deux années de silence, dans ses toutes dernières écritures, le Premier ministre a admis que, dans les deux procédures que nous avons engagées devant le Conseil d'État, il serait utile d'interroger la Cour de justice sur la validité de la conservation généralisée française. Sans doute espère-t-il convaincre la Cour de revenir sur ses décisions passées, pour les contredire : nous acceptons ce débat car, de notre côté, nous espérons convaincre la Cour d'éloigner encore plus fermement la surveillance de masse !

Ce matin, le rapporteur public du Conseil d'État (chargé d'assister ce dernier dans la prise de ses décisions) a indiqué que, lors de l'audience de demain, il comptait conclure en faveur de la transmission d'un tel débat à la Cour de justice.

Ainsi, tout porte à croire que, demain soir, nous aurons une autre victoire à fêter ! Si le Premier ministre et le rapporteur public épousent notre volonté de porter la question au niveau européen, il semble très peu vraisemblable que le Conseil d'État le refuse lorsqu'il rendra sa décision dans quelques semaines.

Nous devrons ensuite nous préparer pour la bataille finale devant la Cour de justice qui, si nous l'emportons, changera radicalement et durablement le cadre de la surveillance française, mettant un coup d'arrêt aux ambitions de surveillance de masse de François Hollande puis d'Emmanuel Macron.

D'ici là, vous êtes toutes et tous invités à venir assister avec nous à l'audience de demain qui clôturera ces trois années de débat français. Elle aura lieu à 14h (mais venez à l'avance !) au Conseil d'État, 1 place du Palais-Royal à Paris (comment s'y rendre).

À demain !

]]>
10 juillet 2018 - Demain à 14h se tiendront au Conseil d'État deux audiences décisives sur la loi renseignement et sur le régime de conservation généralisée des données de connexion. Ces deux contentieux ont été engagés il y a bientôt trois ans par La Quadrature du net, FDN et FFDN avec le soutien des Exégètes amateurs. Ces affaires pourraient bien connaître la conclusion espérée.

Venez avec nous assister à l'audience !

Avant de voir l'enjeu précis de l'audience de demain, revenons sur ces trois riches années de procédure, déjà cousues de quelques belles victoires et des centaines de pages écrites par les Exégètes amateurs contre une dizaine de textes différents.

À l'attaque de la loi renseignement

Il y a trois ans, le 24 juillet 2015, la loi renseignement était publiée. Elle venait d'être examinée une première fois par le Conseil constitutionnel, devant qui nous avions produit de nombreux arguments - en partie suivis par le Conseil pour, déjà, censurer certaines parties de la loi.

Voir l'amicus curiae que nous produisions contre la loi devant le Conseil constitutionnel

Deux mois après, une série de décrets étaient adoptés pour appliquer cette loi : ces décrets nous offraient l'opportunité, en les attaquant devant le Conseil d'État, de contester la loi dans son ensemble.

C'est donc deux mois plus tard que, le 30 novembre 2015, La Quadrature du Net, FDN et FFDN déposaient leur « requête introductive », qui conduira à l'audience de demain.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Quatre mois après, le 6 mai 2016, nous soulevions une question prioritaire de constitutionnalité (QPC) : nous invitions le Conseil d'État à demander au Conseil constitutionnel si la loi renseignement violait la Constitution lorsqu'elle prévoyait un régime de surveillance généralisée des communications « empruntant la voie hertzienne » (ce qui veut à peu près tout dire).

Six mois plus tard, le 21 octobre 2016, nous gagnions cette manche : cette partie de la loi était censurée !

Voir la décision du Conseil constitutionnel censurant la surveillance hertzienne

Toutefois, nous avions formulé bien d'autres arguments contre la loi renseignement. Le Conseil d'État, devant qui le reste de l'affaire était revenue, devait encore les examiner.

Pendant un an et huit mois, nous sommes restés sans nouvelles du Conseil d'État et pensions qu'il avait oublié l'affaire...

Il y a douze jours, après quasiment deux années de silence, le Premier ministre et le ministère de l'intérieur ont subitement envoyé des arguments pour défendre la loi.

Cinq jours plus tard, sans crier gare, le Conseil d'État a fixé une date d'audience (demain), qui marquera la fin des débats. Il ne nous laissait ainsi qu'une poignée de jours pour contre-attaquer.

Voir notre dernier mémoire en réplique déposé ce matin par Patrice Spinosi, l'avocat qui nous représente devant le Conseil d'État dans cette affaire

Un problème de conservation généralisée

La loi renseignement n'est pas ici le seul problème. Elle s'ajoute à un régime distinct qui, en France et depuis sept ans, impose aux opérateurs téléphonique et Internet, ainsi qu'aux hébergeurs de contenus en ligne, de conserver pendant un an des « données de connexion » sur l'ensemble des utilisateurs (qui parle à qui, d'où, avec quelle adresse IP, etc.). Les services de renseignement peuvent ainsi accéder, pendant un an, aux données concernant toute la population.

Il nous fallait aussi, en parallèle, attaquer cette conservation généralisée.

Il y a quatre ans, en avril 2014, la Cour de justice de l'Union européenne rendait une décision capitale dans l'affaire « Digital Right Ireland ». Elle annulait une directive européenne qui, depuis 2006, imposait un même régime de conservation généralisée dans toute l'Union. Pour la Cour, la Charte des droits fondamentaux de l'Union européenne s'opposait à une telle surveillance qui, par définition, considère comme suspecte l'ensemble de la population.

Voir la décision du 4 avril 2014 de la Cour de justice

Il y a trois ans, le 1er septembre 2015, La Quadrature du Net, FDN et FFDN saisissaient cette occasion pour contester le régime de conservation généralisée en droit français devant le Conseil d'État, dans une affaire en parallèle à celle contre la loi renseignement.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Dix mois plus tard, en juin 2016, le ministère de la justice envoyait ses arguments pour défendre la conservation généralisée. Ici encore, le gouvernement restera ensuite muet pendant deux ans....

Toutefois, entre-temps, il y a dix-huit mois, le 21 décembre 2016, la Cour de justice rendait une autre décision déterminante dans l'affaire « Tele2 Sverige ». Interrogée par des juges suédois et anglais, elle avait reconnu que les lois de ces deux pays, qui prévoyaient une conservation généralisée des données de connexion, violaient elles-aussi la Charte de l'Union.

Voir l'article des Exégètes amateurs analysant l'arrêt Tele2

C'est exactement la solution que nous recherchions depuis le début : nous demandons au Conseil d'État, à l'instar des juges suédois et anglais, d'interroger la Cour de justice de l'Union européenne sur la validité de notre régime.

En effet, depuis dix-huit mois, le droit français viole le droit de l'Union en refusant d'abroger son régime de conservation généralisée, ce que la Cour de justice impose pourtant de façon évidente.

Lire la tribune des Exégètes amateurs publiée sur Libération

Il y a vingt jours, le Premier ministre sortait enfin de son silence de deux ans pour défendre la loi française. Comme pour l'affaire sur la loi renseignement, le Conseil d'État a fixé l'audience pour demain.

Voir notre dernier mémoire en réplique déposé aujourd'hui

Demain, c'est donc la voie pour mettre fin à l'incohérence du droit français qui, enfin, semble s'ouvrir.

Le débat passe au niveau européen

Il y a quinze jours, nous lancions une campagne européenne pour pousser la Commission européenne à agir contre les dix-sept États membres de l'Union européenne qui, comme la France, violent le droit de l'Union en maintenant un régime de conservation généralisée des données de connexion.

Dans le même temps, depuis un an, les gouvernements européens - dont le gouvernement français - tentent difficilement de modifier le droit européen pour contourner la jurisprudence de la Cour de justice. C'est notamment ce à quoi La Quadrature du Net s'oppose dans les débat sur le règlement ePrivacy.

Face à ces nombreuses et vives difficultés, il semble que le gouvernement français, dos au mur, renonce enfin à fuir le débat.

Après deux années de silence, dans ses toutes dernières écritures, le Premier ministre a admis que, dans les deux procédures que nous avons engagées devant le Conseil d'État, il serait utile d'interroger la Cour de justice sur la validité de la conservation généralisée française. Sans doute espère-t-il convaincre la Cour de revenir sur ses décisions passées, pour les contredire : nous acceptons ce débat car, de notre côté, nous espérons convaincre la Cour d'éloigner encore plus fermement la surveillance de masse !

Ce matin, le rapporteur public du Conseil d'État (chargé d'assister ce dernier dans la prise de ses décisions) a indiqué que, lors de l'audience de demain, il comptait conclure en faveur de la transmission d'un tel débat à la Cour de justice.

Ainsi, tout porte à croire que, demain soir, nous aurons une autre victoire à fêter ! Si le Premier ministre et le rapporteur public épousent notre volonté de porter la question au niveau européen, il semble très peu vraisemblable que le Conseil d'État le refuse lorsqu'il rendra sa décision dans quelques semaines.

Nous devrons ensuite nous préparer pour la bataille finale devant la Cour de justice qui, si nous l'emportons, changera radicalement et durablement le cadre de la surveillance française, mettant un coup d'arrêt aux ambitions de surveillance de masse de François Hollande puis d'Emmanuel Macron.

D'ici là, vous êtes toutes et tous invités à venir assister avec nous à l'audience de demain qui clôturera ces trois années de débat français. Elle aura lieu à 14h (mais venez à l'avance !) au Conseil d'État, 1 place du Palais-Royal à Paris (comment s'y rendre).

À demain !

]]>
La Smart City policière se répand comme traînée de poudre10581 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180706_104142_La_Smart_City_policiere_se_repand_comme_trainee_de_poudreFri, 06 Jul 2018 08:41:42 +0000En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. Comme le rappelle le premier syndicat de la police municipale en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City » (pdf), en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

À Nice, dans le cadre de ce nouveau « Projet d'expérimentation Safe City » (pdf) voté par la Ville en juin (et que La Quadrature s'est procuré), , Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Ces projets sont bien des expérimentations, avec des « cas d'usage » en apparence délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Car tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle aussi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier (pdf) fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ces textes s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser le tout7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

  • 1. Source : La Croix
  • 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
  • 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
  • 4. Voir par exemple les cas de Google ou d'Amazon
  • 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
  • 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
  • 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.
]]>
En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. Comme le rappelle le premier syndicat de la police municipale en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City » (pdf), en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

À Nice, dans le cadre de ce nouveau « Projet d'expérimentation Safe City » (pdf) voté par la Ville en juin (et que La Quadrature s'est procuré), , Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Ces projets sont bien des expérimentations, avec des « cas d'usage » en apparence délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Car tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle aussi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier (pdf) fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ces textes s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser le tout7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

  • 1. Source : La Croix
  • 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
  • 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
  • 4. Voir par exemple les cas de Google ou d'Amazon
  • 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
  • 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
  • 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.
]]>
Zwiebelfreunde, la police allemande s'en prend à nos oignons10582 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180705_165034_Zwiebelfreunde__la_police_allemande_s_en_prend_a_nos_oignonsThu, 05 Jul 2018 14:50:34 +0000Tribune de Taziden, membre de La Quadrature du Net

Le 20 juin, des perquisitions ont été menées1 chez plusieurs dirigeants de l'association allemande « Zwiebelfreunde ». Tous leurs ordinateurs et supports de stockage (disques durs, clés usb) ont été saisis par la police allemande.

Le motif invoqué ? Ces trois personnes seraient des « témoins » dans le cadre d'une enquête en cours sur un blog appelant à des manifestations anti-fascistes à Augsbourg, toujours en Allemagne. La police considère que ce blog appelle à des actions violentes.

Le lien entre ce blog et Zwiebelfreunde ? Il faut s'accrocher. L'adresse e-mail associée au blog est hébergée par l'organisation américaine Riseup. Et Zwiebelfreunde recueille des dons pour le compte de Riseup. On imagine difficilement une saisie du même acabit chez Google si les personnes à l'origine du blog avaient choisi Gmail.
Un peu comme si le local de La Quadrature du Net ainsi que les domiciles de ses dirigeants avaient été perquisitionnés à cause d'un compte créé sur mamot.fr, l'instance Mastodon de l'association.
Ça n'a aucun sens.

Il s'agit donc d'une attaque claire contre Zwiebelfreunde qui, depuis des années, promeut et facilite l'utilisation d'outils de protection de la vie privée, comme ceux du projet Tor. Elle œuvre à collecter des fonds pour ces projets, Riseup dans le cas présent.
L'argent recueilli par Zwiebelfreunde sert notamment à développer les outils et services fournis par Riseup, à rembourser des frais de déplacement et à maintenir l'infrastructure Tor de Riseup.

Des perquisitions ont également eu lieu au siège de l'association, se trouvant être le bureau d'un avocat, ainsi qu'au domicile d'un ancien dirigeant.
On peine à comprendre un tel déploiement policier et une telle intrusion dans la vie privée de personnes considérées comme « témoins ».

Ne se contentant pas de ces descentes, la police a d'elle-même choisi d'étendre ses recherches au hackerspace d'Augsbourg, OpenLab2. Interprétant le contenu d'un tableau blanc comme décrivant l'élaboration d'une bombe (sic), trois personnes présentes au hackerspace ont été arrêtées et une fouille du local s'en est suivie.
La police a saisi du matériel et forcé les cadenas des armoires du lieu contenant des informations personnelles sur les membres du hackerspace. Il ne fait aucun doute que ces données ont été copiées par la police.
L'accusation de « préparation d'un attentat à l'aide d'explosifs » semble tout aussi ridicule que le motif de « témoin » invoqué dans le cas des dirigeants de Zwiebelfreunde.

Tout comme ces derniers mois avec Bure3, la police allemande semble faire peu de cas des libertés individuelles au profit d'une répression féroce contre les mouvements sociaux et toutes les personnes et organisations pouvant les soutenir, ou fournir une infrastructure indépendante leur permettant de s'organiser.

Cette tendance est inquiétante et elle montre qu'il est plus que jamais important de soutenir les initiatives fournissant des outils et services informatiques permettant de s'organiser en autonomie. Nous pensons notamment à Riseup, Tor, Tails, Nos Oignons mais également à Mastodon, Funkwhale, Peertube, Pixelfed et toute cette vague d'outils décentralisés et fédérés qui ne manqueront pas d'être les prochains à être inquiétés par la police, que ça soit par incompétence ou malice.




Vous avez encore quelques heures pour soutenir le développement de PeerTube, le réseau de streaming vidéo génial et non-centralisé de nos amis de chez Framasoft.

Vous pouvez aussi revoir la vidéo de Lunar, membre du projet Tor et de La Quadrature du Net, qui nous explique pourquoi utiliser Tor.

]]>
Tribune de Taziden, membre de La Quadrature du Net

Le 20 juin, des perquisitions ont été menées1 chez plusieurs dirigeants de l'association allemande « Zwiebelfreunde ». Tous leurs ordinateurs et supports de stockage (disques durs, clés usb) ont été saisis par la police allemande.

Le motif invoqué ? Ces trois personnes seraient des « témoins » dans le cadre d'une enquête en cours sur un blog appelant à des manifestations anti-fascistes à Augsbourg, toujours en Allemagne. La police considère que ce blog appelle à des actions violentes.

Le lien entre ce blog et Zwiebelfreunde ? Il faut s'accrocher. L'adresse e-mail associée au blog est hébergée par l'organisation américaine Riseup. Et Zwiebelfreunde recueille des dons pour le compte de Riseup. On imagine difficilement une saisie du même acabit chez Google si les personnes à l'origine du blog avaient choisi Gmail.
Un peu comme si le local de La Quadrature du Net ainsi que les domiciles de ses dirigeants avaient été perquisitionnés à cause d'un compte créé sur mamot.fr, l'instance Mastodon de l'association.
Ça n'a aucun sens.

Il s'agit donc d'une attaque claire contre Zwiebelfreunde qui, depuis des années, promeut et facilite l'utilisation d'outils de protection de la vie privée, comme ceux du projet Tor. Elle œuvre à collecter des fonds pour ces projets, Riseup dans le cas présent.
L'argent recueilli par Zwiebelfreunde sert notamment à développer les outils et services fournis par Riseup, à rembourser des frais de déplacement et à maintenir l'infrastructure Tor de Riseup.

Des perquisitions ont également eu lieu au siège de l'association, se trouvant être le bureau d'un avocat, ainsi qu'au domicile d'un ancien dirigeant.
On peine à comprendre un tel déploiement policier et une telle intrusion dans la vie privée de personnes considérées comme « témoins ».

Ne se contentant pas de ces descentes, la police a d'elle-même choisi d'étendre ses recherches au hackerspace d'Augsbourg, OpenLab2. Interprétant le contenu d'un tableau blanc comme décrivant l'élaboration d'une bombe (sic), trois personnes présentes au hackerspace ont été arrêtées et une fouille du local s'en est suivie.
La police a saisi du matériel et forcé les cadenas des armoires du lieu contenant des informations personnelles sur les membres du hackerspace. Il ne fait aucun doute que ces données ont été copiées par la police.
L'accusation de « préparation d'un attentat à l'aide d'explosifs » semble tout aussi ridicule que le motif de « témoin » invoqué dans le cas des dirigeants de Zwiebelfreunde.

Tout comme ces derniers mois avec Bure3, la police allemande semble faire peu de cas des libertés individuelles au profit d'une répression féroce contre les mouvements sociaux et toutes les personnes et organisations pouvant les soutenir, ou fournir une infrastructure indépendante leur permettant de s'organiser.

Cette tendance est inquiétante et elle montre qu'il est plus que jamais important de soutenir les initiatives fournissant des outils et services informatiques permettant de s'organiser en autonomie. Nous pensons notamment à Riseup, Tor, Tails, Nos Oignons mais également à Mastodon, Funkwhale, Peertube, Pixelfed et toute cette vague d'outils décentralisés et fédérés qui ne manqueront pas d'être les prochains à être inquiétés par la police, que ça soit par incompétence ou malice.




Vous avez encore quelques heures pour soutenir le développement de PeerTube, le réseau de streaming vidéo génial et non-centralisé de nos amis de chez Framasoft.

Vous pouvez aussi revoir la vidéo de Lunar, membre du projet Tor et de La Quadrature du Net, qui nous explique pourquoi utiliser Tor.

]]>
La Smart City policière se répand comme traînée de poudre10581 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180705_104142_La_Smart_City_policiere_se_repand_comme_trainee_de_poudreThu, 05 Jul 2018 08:41:42 +0000En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. C'est d'ailleurs le premier syndicat de la police municipale qui l'écrit, en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City », en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

Dans un nouveau Projet d'expérimentation Safe City », Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Dans l'immédiat, ces projets sont bien des expérimentations, avec des « cas d'usage » relativement délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle ainsi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ce texte s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces coûteuses expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser tout cela7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

  • 1. Source : La Croix
  • 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
  • 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
  • 4. Voir par exemple les cas de Google ou d'Amazon
  • 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
  • 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
  • 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.
Fichier attachéTaille
courrier_CNIL_marseille_anon.pdf143.88 Ko
Convention_expérimentation_SafeCity_Nice.pdf2.52 Mo
Deliberation14091.pdf52.93 Ko
]]>
En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. C'est d'ailleurs le premier syndicat de la police municipale qui l'écrit, en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City », en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

Dans un nouveau Projet d'expérimentation Safe City », Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Dans l'immédiat, ces projets sont bien des expérimentations, avec des « cas d'usage » relativement délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle ainsi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ce texte s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces coûteuses expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser tout cela7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

  • 1. Source : La Croix
  • 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
  • 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
  • 4. Voir par exemple les cas de Google ou d'Amazon
  • 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
  • 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
  • 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.
Fichier attachéTaille
courrier_CNIL_marseille_anon.pdf143.88 Ko
Convention_expérimentation_SafeCity_Nice.pdf2.52 Mo
Deliberation14091.pdf52.93 Ko
]]>
Demain, le Parlement européen devra s'opposer au filtrage automatisé10580 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180704_113131_Demain__le_Parlement_europeen_devra_s_opposer_au_filtrage_automatiseWed, 04 Jul 2018 09:31:31 +00004 juillet 2018 - Demain, l'ensemble du Parlement européen votera sur la nouvelle directive Copyright. Il y a deux semaines, la commission « Affaires juridiques » du Parlement a adopté un premier texte, obligeant les plateformes commerciales à activement bloquer les contenus qui, envoyés par leurs utilisateurs, sont soumis à droit d'auteur. Demain, le Parlement doit rejeter ce texte.

Le 20 juillet, la commission « Affaires juridiques », qui réunit 25 eurodéputés, a arrêté une première position sur la directive Copyright. La majorité de ses membres a adopté un article 13 imposant des techniques de filtrage automatisé sur les plateformes commerciales qui publient et « optimisent » la présentation des contenus envoyés par leurs utilisateurs. YouTube ou Facebook ont déjà mis en place de telles techniques de filtrage depuis longtemps : cet article 13 les rendrait légitimes.

Nos communications publiques ne doivent jamais être régulées au moyen de mesures automatisées, que ce soit pour « protéger des droits d'auteur » ou pour lutter contre les discours de haine ou les « fakenews ». Les comportements humains ne doivent pouvoir être encadrés que par des humains, et ce d'autant plus lorsque des libertés fondamentales sont en jeu.

Demain, à midi, l'ensemble des 750 eurodéputés pourront et devront rejeter un tel solutionnisme technologique, qui ne ferait que renforcer des géants de l'Internet déjà surpuissants. Une fois rejeté, l'actuel texte sera renégocié par le Parlement.

Appelez aujourd'hui les eurodéputés : demandez-leur de renégocier la directive Copyright !

La Quadrature du Net se réjouit à l'idée que des plateformes commerciales non-neutres puissent être soumises à des règles différentes de celles encadrant les services neutres ou non lucratifs. Mais cette distinction ne doit en aucun cas légitimer la censure actuellement imposée par une poignée d'entreprises sur de larges pans du Web. Les futures négociations sur la directive Copyright devront interdire toute mesure de filtrage automatisé plutôt que d'en imposer.

]]>
4 juillet 2018 - Demain, l'ensemble du Parlement européen votera sur la nouvelle directive Copyright. Il y a deux semaines, la commission « Affaires juridiques » du Parlement a adopté un premier texte, obligeant les plateformes commerciales à activement bloquer les contenus qui, envoyés par leurs utilisateurs, sont soumis à droit d'auteur. Demain, le Parlement doit rejeter ce texte.

Le 20 juillet, la commission « Affaires juridiques », qui réunit 25 eurodéputés, a arrêté une première position sur la directive Copyright. La majorité de ses membres a adopté un article 13 imposant des techniques de filtrage automatisé sur les plateformes commerciales qui publient et « optimisent » la présentation des contenus envoyés par leurs utilisateurs. YouTube ou Facebook ont déjà mis en place de telles techniques de filtrage depuis longtemps : cet article 13 les rendrait légitimes.

Nos communications publiques ne doivent jamais être régulées au moyen de mesures automatisées, que ce soit pour « protéger des droits d'auteur » ou pour lutter contre les discours de haine ou les « fakenews ». Les comportements humains ne doivent pouvoir être encadrés que par des humains, et ce d'autant plus lorsque des libertés fondamentales sont en jeu.

Demain, à midi, l'ensemble des 750 eurodéputés pourront et devront rejeter un tel solutionnisme technologique, qui ne ferait que renforcer des géants de l'Internet déjà surpuissants. Une fois rejeté, l'actuel texte sera renégocié par le Parlement.

Appelez aujourd'hui les eurodéputés : demandez-leur de renégocier la directive Copyright !

La Quadrature du Net se réjouit à l'idée que des plateformes commerciales non-neutres puissent être soumises à des règles différentes de celles encadrant les services neutres ou non lucratifs. Mais cette distinction ne doit en aucun cas légitimer la censure actuellement imposée par une poignée d'entreprises sur de larges pans du Web. Les futures négociations sur la directive Copyright devront interdire toute mesure de filtrage automatisé plutôt que d'en imposer.

]]>
Plaintes massives dans toute l'Europe contre la rétention illégale de nos données10563 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180625_131209_Plaintes_massives_dans_toute_l_Europe_contre_la_retention_illegale_de_nos_donneesMon, 25 Jun 2018 11:12:09 +000025 juin 2018 — 62 associations, fournisseurs d'accès Internet associatifs, universitaires et militants envoient ensemble une lettre ouverte à la Commission européenne et déposent plusieurs plaintes contre la législation de dix-sept États membres en matière de conservation généralisée des données.

Quels sont les enjeux ?

La « rétention généralisée des données » est l'obligation imposées aux opérateurs de télécommunications (téléphonie et Internet) de conserver les données de connexion (numéros appelés, adresses IP, données de localisation, d'identité) de l'ensemble de leurs utilisateurs pendant plusieurs mois ou plusieurs années (selon la loi de chaque État). Cette conservation s'applique à toute personne, même si elle n'est suspectée d'aucun crime ou délit.

Dix-sept États membres de l'Union européenne prévoient toujours une telle rétention généralisée dans leur droit national.

Pourquoi est-ce contraire au droit de l'Union européenne ?

La Cour de justice de l'Union européenne a clairement jugé qu'une telle conservation généralisée et indifférenciée des données était contraire au droit à la vie privée, à la protection des données personnelles et la liberté d'expression et d'information – protégées par la Charte des droits fondamentaux de l'Union européenne.

Pour la Cour, ces mesures de surveillance généralisées sont inacceptables.

Quel est notre but ?

En l'espèce, le droit de l'Union européenne, censé prévaloir sur les lois nationales, est plus protecteur de nos droits et libertés. Nous souhaitons le faire appliquer et que les régimes de conservation généralisée des données encore en vigueur dans dix-sept États membres soient abrogés.

Pour cela, nous avons envoyé des plaintes à la Commission européenne afin de l'inviter à enquêter sur l'affaire et saisir, à terme, la Cour de justice de l'Union européenne (CJUE) pour sanctionner directement chacun des États violant le droit européen. Pour expliquer notre démarche, nous accompagnons ces plaintes d'une lettre ouverte commune, portée par plus de 60 signataires dans 19 pays de l'Union, également envoyée à la Commission européenne.

Téléchargez notre lettre ouverte

Comment aider ?

Vous aussi, envoyez une plainte à la Commission européenne ! Il vous suffit de reprendre ce modèle, de mettre vos coordonnées et de l'envoyer à cette adresse e-mail : SG-PLAINTES@ec.europa.eu

En plus, c'est sans risque, sans frais et à la portée de chacun·e.

Telecharger le formulaire de plainte

Retrouvez toutes les informations sur http://stopdataretention.eu/

]]>
25 juin 2018 — 62 associations, fournisseurs d'accès Internet associatifs, universitaires et militants envoient ensemble une lettre ouverte à la Commission européenne et déposent plusieurs plaintes contre la législation de dix-sept États membres en matière de conservation généralisée des données.

Quels sont les enjeux ?

La « rétention généralisée des données » est l'obligation imposées aux opérateurs de télécommunications (téléphonie et Internet) de conserver les données de connexion (numéros appelés, adresses IP, données de localisation, d'identité) de l'ensemble de leurs utilisateurs pendant plusieurs mois ou plusieurs années (selon la loi de chaque État). Cette conservation s'applique à toute personne, même si elle n'est suspectée d'aucun crime ou délit.

Dix-sept États membres de l'Union européenne prévoient toujours une telle rétention généralisée dans leur droit national.

Pourquoi est-ce contraire au droit de l'Union européenne ?

La Cour de justice de l'Union européenne a clairement jugé qu'une telle conservation généralisée et indifférenciée des données était contraire au droit à la vie privée, à la protection des données personnelles et la liberté d'expression et d'information – protégées par la Charte des droits fondamentaux de l'Union européenne.

Pour la Cour, ces mesures de surveillance généralisées sont inacceptables.

Quel est notre but ?

En l'espèce, le droit de l'Union européenne, censé prévaloir sur les lois nationales, est plus protecteur de nos droits et libertés. Nous souhaitons le faire appliquer et que les régimes de conservation généralisée des données encore en vigueur dans dix-sept États membres soient abrogés.

Pour cela, nous avons envoyé des plaintes à la Commission européenne afin de l'inviter à enquêter sur l'affaire et saisir, à terme, la Cour de justice de l'Union européenne (CJUE) pour sanctionner directement chacun des États violant le droit européen. Pour expliquer notre démarche, nous accompagnons ces plaintes d'une lettre ouverte commune, portée par plus de 60 signataires dans 19 pays de l'Union, également envoyée à la Commission européenne.

Téléchargez notre lettre ouverte

Comment aider ?

Vous aussi, envoyez une plainte à la Commission européenne ! Il vous suffit de reprendre ce modèle, de mettre vos coordonnées et de l'envoyer à cette adresse e-mail : SG-PLAINTES@ec.europa.eu

En plus, c'est sans risque, sans frais et à la portée de chacun·e.

Telecharger le formulaire de plainte

Retrouvez toutes les informations sur http://stopdataretention.eu/

]]>
Directive Copyright : combattons le filtrage automatisé... et la centralisation du Web !10548 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180612_130459_Directive_Copyright___combattons_le_filtrage_automatise..._et_la_centralisation_du_Web__Tue, 12 Jun 2018 11:04:59 +000012 juin 2018 - Le 20 juin prochain, le Parlement européen arrêtera sa décision sur la directive Copyright, symbole d'une nouvelle période de régulation de l'Internet. La Quadrature du Net vous invite à appeler les eurodéputés pour exiger qu'ils agissent contre l'automatisation de la censure au nom de la protection du droit d'auteur et, plus largement, contre la centralisation du Web.

Pour comprendre la décision complexe qui se jouera le 20 juin, il faut d'abord revenir sur les base de la régulation des contenus diffusés sur Internet.

Un équilibre incertain

La directive « eCommerce » adoptée en 2000 par l'Union européenne a posé les fondements de la régulation des contenus diffusés sur Internet. Elle crée le principe suivant : si vous hébergez et diffusez du texte, des images ou des vidéos fournis par des tiers et que ces contenus sont illicites (car portant atteinte au droit d'auteur, étant sexistes ou racistes, faisant l'apologie du terrorisme, etc.), vous n'en êtes pas responsable. Cette absence de responsabilité exige toutefois deux choses : que vous n'ayez pas eu un rôle actif dans la diffusion des contenus (en les hiérarchisant pour en promouvoir certains, par exemple) et que, si on vous signale un contenu « illicite », vous le retiriez « promptement ». Si vous échouez à respecter ces conditions, vous pouvez être considéré comme ayant vous-même publié le contenu.

Cet équilibre, particulièrement incertain (l'évaluation de « illicite » et de « promptement » étant bien difficile), s'est appliqué indistinctement pendant vingt ans à tous les hébergeurs. Ceux qui nous louent les serveurs où diffuser nos sites Internet (l'entreprise française OVH en est un bon exemple) ; les forums et les wiki où nous partageons nos expériences et nos savoirs ; les réseaux non-centralisés tels que Mastodon ou PeerTube ; et, bien sûr, les géants du Web - Facebook et autres YouTube, qui semblent avoir enfermé entre leurs mains la plus grande partie de nos échanges publics.

Cet équilibre s'est rompu au fur et à mesure que ces géants ont abandonné toute idée de rester neutres : assumant aujourd'hui leur rôle actif, ils hiérarchisent tous les contenus qu'ils diffusent selon des critères économiques (mettant en avant les publicités de ceux qui les paient ainsi que les contenus qui nous feront rester chez eux le plus longtemps) ou politiques (Facebook ayant par exemple une lourde politique de censure de la nudité).

En théorie, comme on l'a vu, le filtrage généralisé du débat public, qui repose souvent sur l'application automatique de ces critères économiques et politiques, devrait les rendre responsables de tous les contenus qu'ils diffusent. En pratique, toutefois, on comprend pourquoi ce principe n'est pas vraiment appliqué : il inciterait ces géants à censurer tout discours potentiellement illicite, limitant drastiquement les capacités d'expression des millions de personnes qui les utilisent encore pour participer au débat public, bon gré mal gré. Le droit semble donc imparfait, car étant trop strict en théorie pour s'appliquer en pratique.

Filtrage automatique

En septembre 2016, pour répondre à une partie de ce problème, la Commission européenne a proposé une « directive Copyright ».

L'article 13 de ce texte entend créer de nouvelles règles pour les gros hébergeurs - qui diffusent un « grand nombre d'œuvres ». Ceux-ci devraient passer des accords avec les ayants droit des œuvres qu'ils diffusent, afin de définir les modes de répartition des revenus (publicitaires ou d'abonnement) avec ceux-ci ou de prendre des mesures pour empêcher la diffusion de contenus signalés par ces derniers.

Le texte mentionne des « techniques efficaces de reconnaissance des contenus », faisant clairement référence au Content ID déployé sur YouTube depuis dix ans - outil qui permet à Google de détecter automatiquement les œuvres publiées sur son site afin de permettre à leurs ayants droit d'empêcher ou de permettre leur diffusion (auquel cas contre rémunération).

Les propositions de la Commission doivent connaître les mêmes critiques que celles portées depuis des années contre YouTube : elles reportent tous les équilibres de la régulation sur des outils automatisés, présentés en solution miracle. Ignorant toutes les subtilités des comportements humains, ces outils censurent un peu tout et n'importe quoi au gré des bugs techniques, de critères mal calibrés et de logiques absurdes, et neutralisent au passage l'exercice légitime des exceptions au droit d'auteur (droit de citation, de parodie...).

Pour saisir l'importance de ce débat, il faut bien comprendre que ces filtrages automatisés sont déjà largement déployés et vantés par Facebook ou Google, au-delà de la question du droit d'auteur, pour prétendre lutter contre tout type de contenus illicites. Nombre de gouvernements semblent ici aussi tentés de leur emboîter le pas.

La directive Copyright ne doit pas légitimer et généraliser ce solutionnisme technologique, automatisant nos relations sociales et traitant les humains comme de quelconques machines laissées aux mains de quelques entreprises privées. Au contraire, le débat d'aujourd'hui doit être l'opportunité de limiter le recours qu'en font les géants du Web et de contester l'emprise qu'ils exercent sur notre monde.

Une nouvelle distinction

Le 25 mai dernier, les États membres de l'Union européenne ont arrêté leur position sur la directive Copyright. Cette position comporte un ajout décisif en créant clairement une nouvelle catégorie d'acteurs : toute personne qui, hébergeant et diffusant un large nombre d'œuvres, organise et promeut celles-ci à des fins lucratives - qui a un « rôle actif » dans leur présentation.

Cette nouvelle catégorie est instaurée pour échapper à la protection offerte par le directive « eCommerce » de 2000, sans toutefois être soumise à un régime de responsabilité systématique. Il s'agit donc d'une catégorie intermédiaire, entre « tout » et « rien », qui pourrait résoudre nombre des problèmes apparus ces vingts dernières années. Appelons « plateformes » cette nouvelle catégorie d'acteurs car, même si le terme est aussi générique que vague, il semble être celui que la pratique et les discours officiels commencent à consacrer.

Selon la position des États membres, ces plateformes devraient être responsables des œuvres qu'elles diffusent sans l'autorisation des ayants droit si elles n'ont pas mis en place de système qui, dans la mesure de leurs moyens, aurait pu empêcher leur mise en ligne. L'idée d'un filtrage automatique tel que le « Content ID » n'est pas écartée, mais son recours y est moins explicitement visé.

De son côté, le Parlement européen arrêtera sa position le 20 juin prochain, au sein de sa commission « Affaires juridiques » (JURI). Au terme de longs débats, le rapporteur du texte, Axel Voss (PPE, Allemagne), semble vouloir reprendre les ajouts proposés par les États membres (voir ses dernières propositions publiées), ainsi qu'ajouter une précision nouvelle : la censure opérée par les plateformes ne doit pas conduire au filtrage de contenus qui ne contreviennent pas à un droit d'auteur, ni au déploiement d'une surveillance généralisée des contenus mis en ligne. La distance mise avec le filtrage automatique généralisé se dessine un peu plus. Il est cependant crucial qu'elle figure de manière explicite dans le texte final de même qu'un seuil clair soit fixé (de contenus diffusés, d'utilisateurs inscrits, etc.) de manière à avoir la certitude que le dispositif concernera surtout le problème de la centralisation.

Enfin, les propositions d'Axel Voss précisent certaines garanties contre des censures arbitraires ou abusives : un mécanisme de contestation rapide auprès de la plateforme, ainsi que la possibilité de saisir un juge afin de faire valoir des exceptions au droit d'auteur qui rendraient le filtrage injustifié. Il faudrait néanmoins aller bien plus loin, car faire peser sur les internautes la charge de saisir le juge pour faire valoir leurs droits est encore trop lourd, vu le déséquilibre des parties en présence. Mieux vaudrait inverser les règles en cas de contestation d'une demande de retrait : les contenus censurés doivent revenir en ligne quand un utilisateur estime être dans son bon droit, et c'est aux ayants droit de saisir la justice pour obtenir le retrait définitif, sous le contrôle d'un juge.

Un compromis décevant

Ces différentes propositions, au lieu de légitimer clairement le modèle de régulation automatisée qui fonde la puissance de géants du Web, pourraient au contraire commencer à l'encadrer et à en limiter les effets. Mais ne nous réjouissons pas : la régulation automatisée, plutôt que d'être mollement encadrée à la marge comme ici, devrait être entièrement déconstruite et bannie - il n'en est rien pour l'instant. De plus, la position du Parlement européen reste à faire, et celui-ci pourrait très bien retomber dans le solutionnisme technologique qui a animé tant de décisions récentes.

Jusqu'au 20 juin, La Quadrature du Net vous invite donc à appeler les eurodéputés pour exiger :

  1. que les nouvelles obligations en matière de droit d'auteur ne concernent que des hébergeurs qui hiérarchisent les contenus à des fins lucratives et qui atteignent un certain seuil fixé de manière claire ;
  2. que ces obligations ne se transforment jamais en filtrage automatisé, qui doit être clairement interdit ;
  3. que la charge de saisir la justice pour faire valoir ses droits en cas de demande de retrait pèse sur les ayants droit et non sur les internautes.

Si le texte s'arrête sur ce compromis, le pire sera peut-être évité, mais cette directive Copyright n'en restera pas moins un échec, car le débat s'est encore une fois focalisé sur des mesures répressives et régressives, alors qu'il s'agissait à la base de réfléchir les équilibres du droit d'auteur à l'heure du numérique. Cette ambition a été abandonnée avec le rejet par le Parlement européen des propositions du Rapport Reda, qui étaient elles-mêmes déjà en retrait par rapport aux propositions de la Quadrature du Net sur la réforme du droit d'auteur.

Un nouvel équilibre

Comme on l'a dit, ce débat dépasse largement celui du droit d'auteur. Il concerne la régulation des hébergeurs dans son ensemble, en matière de lutte contre les « fake news », contre la diffusion de la haine, contre la propagande terroriste, etc., tel qu'on le voit de plus en plus vivement discuté. Il concerne la façon dont chacun et chacune peut accéder au débat public, pour s'y exprimer comme s'y informer.

Tous ces enjeux connaissent un ennemi commun : la centralisation du Web, qui a enfermé la très grande majorité des internautes dans des règles uniques et rigides, qui n'ont que faire de la qualité, de la sérénité ou de la pertinence de nos échanges, n'existant que pour la plus simple recherche du profit de quelques entreprises.

L'une des principales causes de cette centralisation est le frein que le droit a longtemps posé contre l'apparition de son remède - le développement d'hébergeurs non-centralisés qui, ne se finançant pas par la surveillance et la régulation de masse, ne peuvent pas prendre le risque de lourds procès pour avoir échoué à retirer « promptement » chaque contenu « illicite » qui leur serait signalé. Des hébergeurs qui, souvent, peuvent à peine prendre le risque d'exister.

La condition du développement de tels services est que, enfin, le droit ne leur impose plus des règles qui depuis vingt ans ne sont presque plus pensées que pour quelques géants. Prévoir une nouvelle catégorie intermédiaire dédiée à ces derniers offre l'espoir de libérer l'Internet non-centralisé du cadre absurde dans lequel juges et législateurs l'ont peu à peu enfermé.

]]>
12 juin 2018 - Le 20 juin prochain, le Parlement européen arrêtera sa décision sur la directive Copyright, symbole d'une nouvelle période de régulation de l'Internet. La Quadrature du Net vous invite à appeler les eurodéputés pour exiger qu'ils agissent contre l'automatisation de la censure au nom de la protection du droit d'auteur et, plus largement, contre la centralisation du Web.

Pour comprendre la décision complexe qui se jouera le 20 juin, il faut d'abord revenir sur les base de la régulation des contenus diffusés sur Internet.

Un équilibre incertain

La directive « eCommerce » adoptée en 2000 par l'Union européenne a posé les fondements de la régulation des contenus diffusés sur Internet. Elle crée le principe suivant : si vous hébergez et diffusez du texte, des images ou des vidéos fournis par des tiers et que ces contenus sont illicites (car portant atteinte au droit d'auteur, étant sexistes ou racistes, faisant l'apologie du terrorisme, etc.), vous n'en êtes pas responsable. Cette absence de responsabilité exige toutefois deux choses : que vous n'ayez pas eu un rôle actif dans la diffusion des contenus (en les hiérarchisant pour en promouvoir certains, par exemple) et que, si on vous signale un contenu « illicite », vous le retiriez « promptement ». Si vous échouez à respecter ces conditions, vous pouvez être considéré comme ayant vous-même publié le contenu.

Cet équilibre, particulièrement incertain (l'évaluation de « illicite » et de « promptement » étant bien difficile), s'est appliqué indistinctement pendant vingt ans à tous les hébergeurs. Ceux qui nous louent les serveurs où diffuser nos sites Internet (l'entreprise française OVH en est un bon exemple) ; les forums et les wiki où nous partageons nos expériences et nos savoirs ; les réseaux non-centralisés tels que Mastodon ou PeerTube ; et, bien sûr, les géants du Web - Facebook et autres YouTube, qui semblent avoir enfermé entre leurs mains la plus grande partie de nos échanges publics.

Cet équilibre s'est rompu au fur et à mesure que ces géants ont abandonné toute idée de rester neutres : assumant aujourd'hui leur rôle actif, ils hiérarchisent tous les contenus qu'ils diffusent selon des critères économiques (mettant en avant les publicités de ceux qui les paient ainsi que les contenus qui nous feront rester chez eux le plus longtemps) ou politiques (Facebook ayant par exemple une lourde politique de censure de la nudité).

En théorie, comme on l'a vu, le filtrage généralisé du débat public, qui repose souvent sur l'application automatique de ces critères économiques et politiques, devrait les rendre responsables de tous les contenus qu'ils diffusent. En pratique, toutefois, on comprend pourquoi ce principe n'est pas vraiment appliqué : il inciterait ces géants à censurer tout discours potentiellement illicite, limitant drastiquement les capacités d'expression des millions de personnes qui les utilisent encore pour participer au débat public, bon gré mal gré. Le droit semble donc imparfait, car étant trop strict en théorie pour s'appliquer en pratique.

Filtrage automatique

En septembre 2016, pour répondre à une partie de ce problème, la Commission européenne a proposé une « directive Copyright ».

L'article 13 de ce texte entend créer de nouvelles règles pour les gros hébergeurs - qui diffusent un « grand nombre d'œuvres ». Ceux-ci devraient passer des accords avec les ayants droit des œuvres qu'ils diffusent, afin de définir les modes de répartition des revenus (publicitaires ou d'abonnement) avec ceux-ci ou de prendre des mesures pour empêcher la diffusion de contenus signalés par ces derniers.

Le texte mentionne des « techniques efficaces de reconnaissance des contenus », faisant clairement référence au Content ID déployé sur YouTube depuis dix ans - outil qui permet à Google de détecter automatiquement les œuvres publiées sur son site afin de permettre à leurs ayants droit d'empêcher ou de permettre leur diffusion (auquel cas contre rémunération).

Les propositions de la Commission doivent connaître les mêmes critiques que celles portées depuis des années contre YouTube : elles reportent tous les équilibres de la régulation sur des outils automatisés, présentés en solution miracle. Ignorant toutes les subtilités des comportements humains, ces outils censurent un peu tout et n'importe quoi au gré des bugs techniques, de critères mal calibrés et de logiques absurdes, et neutralisent au passage l'exercice légitime des exceptions au droit d'auteur (droit de citation, de parodie...).

Pour saisir l'importance de ce débat, il faut bien comprendre que ces filtrages automatisés sont déjà largement déployés et vantés par Facebook ou Google, au-delà de la question du droit d'auteur, pour prétendre lutter contre tout type de contenus illicites. Nombre de gouvernements semblent ici aussi tentés de leur emboîter le pas.

La directive Copyright ne doit pas légitimer et généraliser ce solutionnisme technologique, automatisant nos relations sociales et traitant les humains comme de quelconques machines laissées aux mains de quelques entreprises privées. Au contraire, le débat d'aujourd'hui doit être l'opportunité de limiter le recours qu'en font les géants du Web et de contester l'emprise qu'ils exercent sur notre monde.

Une nouvelle distinction

Le 25 mai dernier, les États membres de l'Union européenne ont arrêté leur position sur la directive Copyright. Cette position comporte un ajout décisif en créant clairement une nouvelle catégorie d'acteurs : toute personne qui, hébergeant et diffusant un large nombre d'œuvres, organise et promeut celles-ci à des fins lucratives - qui a un « rôle actif » dans leur présentation.

Cette nouvelle catégorie est instaurée pour échapper à la protection offerte par le directive « eCommerce » de 2000, sans toutefois être soumise à un régime de responsabilité systématique. Il s'agit donc d'une catégorie intermédiaire, entre « tout » et « rien », qui pourrait résoudre nombre des problèmes apparus ces vingts dernières années. Appelons « plateformes » cette nouvelle catégorie d'acteurs car, même si le terme est aussi générique que vague, il semble être celui que la pratique et les discours officiels commencent à consacrer.

Selon la position des États membres, ces plateformes devraient être responsables des œuvres qu'elles diffusent sans l'autorisation des ayants droit si elles n'ont pas mis en place de système qui, dans la mesure de leurs moyens, aurait pu empêcher leur mise en ligne. L'idée d'un filtrage automatique tel que le « Content ID » n'est pas écartée, mais son recours y est moins explicitement visé.

De son côté, le Parlement européen arrêtera sa position le 20 juin prochain, au sein de sa commission « Affaires juridiques » (JURI). Au terme de longs débats, le rapporteur du texte, Axel Voss (PPE, Allemagne), semble vouloir reprendre les ajouts proposés par les États membres (voir ses dernières propositions publiées), ainsi qu'ajouter une précision nouvelle : la censure opérée par les plateformes ne doit pas conduire au filtrage de contenus qui ne contreviennent pas à un droit d'auteur, ni au déploiement d'une surveillance généralisée des contenus mis en ligne. La distance mise avec le filtrage automatique généralisé se dessine un peu plus. Il est cependant crucial qu'elle figure de manière explicite dans le texte final de même qu'un seuil clair soit fixé (de contenus diffusés, d'utilisateurs inscrits, etc.) de manière à avoir la certitude que le dispositif concernera surtout le problème de la centralisation.

Enfin, les propositions d'Axel Voss précisent certaines garanties contre des censures arbitraires ou abusives : un mécanisme de contestation rapide auprès de la plateforme, ainsi que la possibilité de saisir un juge afin de faire valoir des exceptions au droit d'auteur qui rendraient le filtrage injustifié. Il faudrait néanmoins aller bien plus loin, car faire peser sur les internautes la charge de saisir le juge pour faire valoir leurs droits est encore trop lourd, vu le déséquilibre des parties en présence. Mieux vaudrait inverser les règles en cas de contestation d'une demande de retrait : les contenus censurés doivent revenir en ligne quand un utilisateur estime être dans son bon droit, et c'est aux ayants droit de saisir la justice pour obtenir le retrait définitif, sous le contrôle d'un juge.

Un compromis décevant

Ces différentes propositions, au lieu de légitimer clairement le modèle de régulation automatisée qui fonde la puissance de géants du Web, pourraient au contraire commencer à l'encadrer et à en limiter les effets. Mais ne nous réjouissons pas : la régulation automatisée, plutôt que d'être mollement encadrée à la marge comme ici, devrait être entièrement déconstruite et bannie - il n'en est rien pour l'instant. De plus, la position du Parlement européen reste à faire, et celui-ci pourrait très bien retomber dans le solutionnisme technologique qui a animé tant de décisions récentes.

Jusqu'au 20 juin, La Quadrature du Net vous invite donc à appeler les eurodéputés pour exiger :

  1. que les nouvelles obligations en matière de droit d'auteur ne concernent que des hébergeurs qui hiérarchisent les contenus à des fins lucratives et qui atteignent un certain seuil fixé de manière claire ;
  2. que ces obligations ne se transforment jamais en filtrage automatisé, qui doit être clairement interdit ;
  3. que la charge de saisir la justice pour faire valoir ses droits en cas de demande de retrait pèse sur les ayants droit et non sur les internautes.

Si le texte s'arrête sur ce compromis, le pire sera peut-être évité, mais cette directive Copyright n'en restera pas moins un échec, car le débat s'est encore une fois focalisé sur des mesures répressives et régressives, alors qu'il s'agissait à la base de réfléchir les équilibres du droit d'auteur à l'heure du numérique. Cette ambition a été abandonnée avec le rejet par le Parlement européen des propositions du Rapport Reda, qui étaient elles-mêmes déjà en retrait par rapport aux propositions de la Quadrature du Net sur la réforme du droit d'auteur.

Un nouvel équilibre

Comme on l'a dit, ce débat dépasse largement celui du droit d'auteur. Il concerne la régulation des hébergeurs dans son ensemble, en matière de lutte contre les « fake news », contre la diffusion de la haine, contre la propagande terroriste, etc., tel qu'on le voit de plus en plus vivement discuté. Il concerne la façon dont chacun et chacune peut accéder au débat public, pour s'y exprimer comme s'y informer.

Tous ces enjeux connaissent un ennemi commun : la centralisation du Web, qui a enfermé la très grande majorité des internautes dans des règles uniques et rigides, qui n'ont que faire de la qualité, de la sérénité ou de la pertinence de nos échanges, n'existant que pour la plus simple recherche du profit de quelques entreprises.

L'une des principales causes de cette centralisation est le frein que le droit a longtemps posé contre l'apparition de son remède - le développement d'hébergeurs non-centralisés qui, ne se finançant pas par la surveillance et la régulation de masse, ne peuvent pas prendre le risque de lourds procès pour avoir échoué à retirer « promptement » chaque contenu « illicite » qui leur serait signalé. Des hébergeurs qui, souvent, peuvent à peine prendre le risque d'exister.

La condition du développement de tels services est que, enfin, le droit ne leur impose plus des règles qui depuis vingt ans ne sont presque plus pensées que pour quelques géants. Prévoir une nouvelle catégorie intermédiaire dédiée à ces derniers offre l'espoir de libérer l'Internet non-centralisé du cadre absurde dans lequel juges et législateurs l'ont peu à peu enfermé.

]]>
Digital labour et travail domestique : quand l’exploitation capitaliste s’étend aux hommes blancs10539 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180608_172109_Digital_labour_et_travail_domestique___quand_l___exploitation_capitaliste_s___etend_aux_hommes_blancsFri, 08 Jun 2018 15:21:09 +0000Tribune de Ag3m, membre de La Quadrature du Net

08 juin 2018 - Force est de constater bien des ponts entre les discours des défenseurs des libertés numériques et les analyses féministes intersectionnelles. Les descriptions de l’exploitation de nos données et de notre travail par les GAFAM et autres géants du Net font écho à celles de l’exploitation des femmes et des personnes racisées et minorisées. Faire le pont entre ces analyses pourrait-il nous permettre d’appuyer notre militantisme sur les réflexions et les outils créés contre la domination patriarcale et raciste, pour les adapter aux situations d’exploitation économique capitaliste plus larges ?

Utilisation des données personnelles et échange des femmes

On connait bien, parmi les militants de la défense des libertés numériques, la formule « Si c’est gratuit, c’est toi le produit ! », un adage qui cherche à visibiliser la ressource économique que constitue l’exploitation des données personnelles des utilisateurs par les sites internet, et en particulier les GAFAM.

Alors les GAFAM utiliseraient les données personnelles pour vendre des profils utilisateurs. C’est marrant, ça me rappelle d’autres situations.

Au XVIIème et XVIIIème siècle se développent les agences matrimoniales.1 Elles sont alimentées par les familles ou les employés de maison qui leur vendent des informations sur les jeunes filles à marier dans le foyer. Les agences matrimoniales récupèrent, trient, reformulent et enfin revendent ces informations sous forme de service de mise en relation pour les jeunes gens qui cherchent une épouse.

L’analyse du mariage comme mise en vente des femmes n’est pas une idée neuve. En 1947, Claude Lévi-Strauss développe la théorie générale de l’échange,2 c’est-à-dire l’idée que notre société est basée sur le principe fondamental de l’échange des femmes entre les familles. Celles-ci tissent des liens, développent leur capital économique et leur pouvoir politique en mariant les jeunes filles. Elles s’échangent ainsi les femmes, leur force de travail lorsqu’elles aident leurs maris, leur travail de tenue de la maison, de procréation, d’intimité, … Dans Caliban et la sorcière : Femmes, corps et accumulation primitive3, Sylvia Federici montre que cette exploitation des femmes se développe en même temps que le système capitaliste, comme base même de ce système où les individus sont répartis entre classes sociales où certains dépendent d’autres. Les travailleurs dépendent des propriétaires des moyens de production, les femmes dépendent des hommes, les esclaves racisés des colonies dépendent des maîtres blancs.

Revenons à l’exemple des agences matrimoniales. C’est donc tout un marché qui s’organise. Les femmes sont mises en valeur à travers la publication de leur dot, puis par les petites annonces et les agences.

Un peu plus tard, au XIXème siècle, la culture épistolaire se développe : les gens commencent à écrire et à échanger des lettres ou à tenir des journaux intimes dans lesquelles ils se racontent. Les petites annonces sont désormais écrites par les gens eux-mêmes qui se mettent en valeur, présentent leur meilleur profil, et cherchent à rencontrer la bonne personne. Facebook much ?

Les technologies numériques que nous utilisons aujourd’hui, Facebook, Instagram, Twitter, LinkedIn, ne sont donc que la continuité de cette dynamique de nous mettre en avant sous notre plus beau jour pour trouver la bonne personne. Mais cette fois, il ne s’agit plus de vendre uniquement des femmes ou des personnes racisées, mais bien n’importe quel profil utilisateur, y compris ceux des hommes blancs, cisgenres et hétérosexuels de classe bourgeoise, si habitués à pouvoir choisir plutôt qu’à être choisis.

Espace numérique et espace intime

L’espace numérique est devenu notre nouvel espace intime : celui dans lequel nous vivons quotidiennement, où nous nous racontons à nous-mêmes, à nos amis, à nos proches, et parfois à un public plus large.

De la même manière que les femmes, bien que reléguées au foyer, sont observées, surveillées dans toutes leurs actions, les utilisateurs sont étudiés, analysés, contraints à suivre les règles de la plateforme et de la communauté dans laquelle ils évoluent.

La frontière entre « privé » et « public » est ténue. Ainsi, les questions dites « privées » de la contraception, de l’avortement, du viol conjugal ont été débattues dans l’espace public. Ainsi, encore aujourd’hui, des manifestations et des débats publics continuent de discuter de ce que chacun fait chez lui, du droit à certaines sexualités ou à certaines familles d’être reconnues.

De la même manière, on juge aujourd’hui sur SnapChat de l’apparence des jeunes filles, Facebook sait qui nous avons invité chez nous et nos commentaires apparaissent sur Youporn.

On entend parfois que l’espace numérique brouille la frontière entre privé et public, et pourtant on pourrait plutôt dire qu’il rend évidente la sentence politique des féministes de la seconde vague : « le privé est politique4 ». L’espace intime, et celui des femmes en particulier, est depuis longtemps l’affaire de tous, et il est, en particulier, l’affaire d’experts masculins (politiques, médecins, …) qui savent mieux qu’elles-mêmes ce dont elles ont besoin, et ne se privent pas de les examiner constamment, parfois sans leur consentement5.

La vie privée de chacun est désormais l’affaire des algorithmes et des publicitaires. Les assistants personnels et autres mouchards s’introduisent chez nous, écoutent en permanence tout ce que nous disons (sinon comment entendre « ok Google » lorsqu’il est prononcé ?), analysent nos comportements et nous proposent des solutions avant même que nous y pensions6.

De la même manière que la mise sous tutelle des femmes s’est faite pour le bien de la société, pour les protéger et les préserver, ces nouvelles technologies sont présentées sous l’angle des services qu’elles nous rendent et de la productivité qu’elles nous apportent.

Pourtant, en pratique, entre les défenseurs de la liberté qui luttent contre l’hégémonie des GAFAM et les féministes qui veulent accéder à l’autonomie et l’empowerment, les liens ne sont pas évidents.

Digital labour et travail domestique

De la même manière le digital labour7 s’inscrit dans cette continuité de l’exploitation surveillée.

Le travail des femmes, permanent et invisible, fait tourner la société en assurant la stabilité du foyer et celle, émotionnelle, du travailleur, et donc toutes les coulisses de la société capitaliste8.

Ce travail est volontaire, non par charité, mais par dépendance. En travaillant pour leur mari, les femmes bénéficient de son statut et de ressources auxquelles elles ne peuvent pas accéder par elles-mêmes. De la même manière que les utilisateurs de Google Maps fournissent leurs données à un système dont ils dépendent entièrement et auquel ils ne peuvent pas construire d’alternatives.

Il est bien sûr possible de chercher, autant que faire se peut, des alternatives à cette situation de dépendance. En utilisant Mastodon plutôt que Twitter, Diaspora plutôt que Facebook, un fournisseur d’email associatif plutôt que Gmail… Ce faisant, les utilisateurs gagnent en indépendance, mais se privent d’un certain nombre de fonctionnalités auxquelles ont accès la majeure partie de la société. Ce faisant, ils créent un réseau, parallèle et minoritaire, et dépensent plus d’énergie et de ressources pour accéder aux fonctionnalités dont ils ont besoin, y compris en termes d’accès au réseau social ou aux informations.

Les femmes de la renaissance, pouvaient, si elles le souhaitaient, ne pas se marier. Elles devenaient alors le plus souvent vagabondes, étaient privées de ressources financières, puisque moins payées que leurs collègues masculins, voire privées d’un accès à un travail, les reléguant à des métiers en périphérie de la société : prostituées, vendeuses itinérantes, … Privées de la sécurité (relative) garantie par le système familial, elles s’exposaient également à de nombreux risques, allant jusqu’à l’accusation de sorcellerie (et donc à la condamnation à mort). Elles intégraient alors des réseaux souterrains d’entraide et d’échanges de services, qui compensaient maigrement les discriminations sociales et économiques liées à leur statut.

Les femmes mariées, elles, contribuaient (et continuent à contribuer) à la force de travail de la société. Comme les micro-travailleurs du clic aident les intelligences artificielles ou décodent du texte sur des Captcha, les femmes aidaient leurs maris à accomplir leur travail, suppléant à toutes les tâches qu’ils ne pouvaient réaliser seuls. Elles animaient la vie du foyer, le tenant propre et rangé, prenant soin qu’il soit accueillant, qu’il y ait à manger, … Tout comme les utilisateurs sont amenés à prendre soin de leurs réseaux, en participant bénévolement à la modération des forums et discussions auxquels ils participent (coucou Webedia), en alimentant de leurs contenus les différentes plateformes à leur disposition, …

Conclusion

Tant que le travail du care et de la création de contenu exploitable (tu le vois le lien avec la procréation ?) ne pourra être effectué par les robots, il restera l’apanage des femmes et, de plus en plus, il s’agira de mettre tout le monde au travail, grâce à la subdivision en micro-tâches, de l’éducation des IA à l’animation de la communauté. On pourrait penser à une démocratisation de ce travail invisible et sous-valué.

Pourtant, on reste encore dans une configuration où le travail technique reste un milieu ultra masculin, où sont reconnus et parfois rémunérés les développeurs et administrateurs systèmes, tandis que le travail invisible et quotidien, traditionnellement féminin, se répartit sur tous les « prolétaires du clic », dont le travail n’est pas ou peu rémunéré, sauf à être dans les bons cercles, à avoir le bon réseau social, bref la bonne classe sociale qui permet d’avoir de la street cred et de monnayer la reconnaissance sociale.

Entre rapports de genre et rapports de classe, les relations de pouvoir dans le monde numérique ne semble pas pouvoir se passer des outils du féminisme intersectionnel et, plus largement, d’une analyse matérialiste des rapports de pouvoirs entre tous les acteurs du Net.

Retrouver la publication originale de cette tribune sur ce blog.

]]>
Tribune de Ag3m, membre de La Quadrature du Net

08 juin 2018 - Force est de constater bien des ponts entre les discours des défenseurs des libertés numériques et les analyses féministes intersectionnelles. Les descriptions de l’exploitation de nos données et de notre travail par les GAFAM et autres géants du Net font écho à celles de l’exploitation des femmes et des personnes racisées et minorisées. Faire le pont entre ces analyses pourrait-il nous permettre d’appuyer notre militantisme sur les réflexions et les outils créés contre la domination patriarcale et raciste, pour les adapter aux situations d’exploitation économique capitaliste plus larges ?

Utilisation des données personnelles et échange des femmes

On connait bien, parmi les militants de la défense des libertés numériques, la formule « Si c’est gratuit, c’est toi le produit ! », un adage qui cherche à visibiliser la ressource économique que constitue l’exploitation des données personnelles des utilisateurs par les sites internet, et en particulier les GAFAM.

Alors les GAFAM utiliseraient les données personnelles pour vendre des profils utilisateurs. C’est marrant, ça me rappelle d’autres situations.

Au XVIIème et XVIIIème siècle se développent les agences matrimoniales.1 Elles sont alimentées par les familles ou les employés de maison qui leur vendent des informations sur les jeunes filles à marier dans le foyer. Les agences matrimoniales récupèrent, trient, reformulent et enfin revendent ces informations sous forme de service de mise en relation pour les jeunes gens qui cherchent une épouse.

L’analyse du mariage comme mise en vente des femmes n’est pas une idée neuve. En 1947, Claude Lévi-Strauss développe la théorie générale de l’échange,2 c’est-à-dire l’idée que notre société est basée sur le principe fondamental de l’échange des femmes entre les familles. Celles-ci tissent des liens, développent leur capital économique et leur pouvoir politique en mariant les jeunes filles. Elles s’échangent ainsi les femmes, leur force de travail lorsqu’elles aident leurs maris, leur travail de tenue de la maison, de procréation, d’intimité, … Dans Caliban et la sorcière : Femmes, corps et accumulation primitive3, Sylvia Federici montre que cette exploitation des femmes se développe en même temps que le système capitaliste, comme base même de ce système où les individus sont répartis entre classes sociales où certains dépendent d’autres. Les travailleurs dépendent des propriétaires des moyens de production, les femmes dépendent des hommes, les esclaves racisés des colonies dépendent des maîtres blancs.

Revenons à l’exemple des agences matrimoniales. C’est donc tout un marché qui s’organise. Les femmes sont mises en valeur à travers la publication de leur dot, puis par les petites annonces et les agences.

Un peu plus tard, au XIXème siècle, la culture épistolaire se développe : les gens commencent à écrire et à échanger des lettres ou à tenir des journaux intimes dans lesquelles ils se racontent. Les petites annonces sont désormais écrites par les gens eux-mêmes qui se mettent en valeur, présentent leur meilleur profil, et cherchent à rencontrer la bonne personne. Facebook much ?

Les technologies numériques que nous utilisons aujourd’hui, Facebook, Instagram, Twitter, LinkedIn, ne sont donc que la continuité de cette dynamique de nous mettre en avant sous notre plus beau jour pour trouver la bonne personne. Mais cette fois, il ne s’agit plus de vendre uniquement des femmes ou des personnes racisées, mais bien n’importe quel profil utilisateur, y compris ceux des hommes blancs, cisgenres et hétérosexuels de classe bourgeoise, si habitués à pouvoir choisir plutôt qu’à être choisis.

Espace numérique et espace intime

L’espace numérique est devenu notre nouvel espace intime : celui dans lequel nous vivons quotidiennement, où nous nous racontons à nous-mêmes, à nos amis, à nos proches, et parfois à un public plus large.

De la même manière que les femmes, bien que reléguées au foyer, sont observées, surveillées dans toutes leurs actions, les utilisateurs sont étudiés, analysés, contraints à suivre les règles de la plateforme et de la communauté dans laquelle ils évoluent.

La frontière entre « privé » et « public » est ténue. Ainsi, les questions dites « privées » de la contraception, de l’avortement, du viol conjugal ont été débattues dans l’espace public. Ainsi, encore aujourd’hui, des manifestations et des débats publics continuent de discuter de ce que chacun fait chez lui, du droit à certaines sexualités ou à certaines familles d’être reconnues.

De la même manière, on juge aujourd’hui sur SnapChat de l’apparence des jeunes filles, Facebook sait qui nous avons invité chez nous et nos commentaires apparaissent sur Youporn.

On entend parfois que l’espace numérique brouille la frontière entre privé et public, et pourtant on pourrait plutôt dire qu’il rend évidente la sentence politique des féministes de la seconde vague : « le privé est politique4 ». L’espace intime, et celui des femmes en particulier, est depuis longtemps l’affaire de tous, et il est, en particulier, l’affaire d’experts masculins (politiques, médecins, …) qui savent mieux qu’elles-mêmes ce dont elles ont besoin, et ne se privent pas de les examiner constamment, parfois sans leur consentement5.

La vie privée de chacun est désormais l’affaire des algorithmes et des publicitaires. Les assistants personnels et autres mouchards s’introduisent chez nous, écoutent en permanence tout ce que nous disons (sinon comment entendre « ok Google » lorsqu’il est prononcé ?), analysent nos comportements et nous proposent des solutions avant même que nous y pensions6.

De la même manière que la mise sous tutelle des femmes s’est faite pour le bien de la société, pour les protéger et les préserver, ces nouvelles technologies sont présentées sous l’angle des services qu’elles nous rendent et de la productivité qu’elles nous apportent.

Pourtant, en pratique, entre les défenseurs de la liberté qui luttent contre l’hégémonie des GAFAM et les féministes qui veulent accéder à l’autonomie et l’empowerment, les liens ne sont pas évidents.

Digital labour et travail domestique

De la même manière le digital labour7 s’inscrit dans cette continuité de l’exploitation surveillée.

Le travail des femmes, permanent et invisible, fait tourner la société en assurant la stabilité du foyer et celle, émotionnelle, du travailleur, et donc toutes les coulisses de la société capitaliste8.

Ce travail est volontaire, non par charité, mais par dépendance. En travaillant pour leur mari, les femmes bénéficient de son statut et de ressources auxquelles elles ne peuvent pas accéder par elles-mêmes. De la même manière que les utilisateurs de Google Maps fournissent leurs données à un système dont ils dépendent entièrement et auquel ils ne peuvent pas construire d’alternatives.

Il est bien sûr possible de chercher, autant que faire se peut, des alternatives à cette situation de dépendance. En utilisant Mastodon plutôt que Twitter, Diaspora plutôt que Facebook, un fournisseur d’email associatif plutôt que Gmail… Ce faisant, les utilisateurs gagnent en indépendance, mais se privent d’un certain nombre de fonctionnalités auxquelles ont accès la majeure partie de la société. Ce faisant, ils créent un réseau, parallèle et minoritaire, et dépensent plus d’énergie et de ressources pour accéder aux fonctionnalités dont ils ont besoin, y compris en termes d’accès au réseau social ou aux informations.

Les femmes de la renaissance, pouvaient, si elles le souhaitaient, ne pas se marier. Elles devenaient alors le plus souvent vagabondes, étaient privées de ressources financières, puisque moins payées que leurs collègues masculins, voire privées d’un accès à un travail, les reléguant à des métiers en périphérie de la société : prostituées, vendeuses itinérantes, … Privées de la sécurité (relative) garantie par le système familial, elles s’exposaient également à de nombreux risques, allant jusqu’à l’accusation de sorcellerie (et donc à la condamnation à mort). Elles intégraient alors des réseaux souterrains d’entraide et d’échanges de services, qui compensaient maigrement les discriminations sociales et économiques liées à leur statut.

Les femmes mariées, elles, contribuaient (et continuent à contribuer) à la force de travail de la société. Comme les micro-travailleurs du clic aident les intelligences artificielles ou décodent du texte sur des Captcha, les femmes aidaient leurs maris à accomplir leur travail, suppléant à toutes les tâches qu’ils ne pouvaient réaliser seuls. Elles animaient la vie du foyer, le tenant propre et rangé, prenant soin qu’il soit accueillant, qu’il y ait à manger, … Tout comme les utilisateurs sont amenés à prendre soin de leurs réseaux, en participant bénévolement à la modération des forums et discussions auxquels ils participent (coucou Webedia), en alimentant de leurs contenus les différentes plateformes à leur disposition, …

Conclusion

Tant que le travail du care et de la création de contenu exploitable (tu le vois le lien avec la procréation ?) ne pourra être effectué par les robots, il restera l’apanage des femmes et, de plus en plus, il s’agira de mettre tout le monde au travail, grâce à la subdivision en micro-tâches, de l’éducation des IA à l’animation de la communauté. On pourrait penser à une démocratisation de ce travail invisible et sous-valué.

Pourtant, on reste encore dans une configuration où le travail technique reste un milieu ultra masculin, où sont reconnus et parfois rémunérés les développeurs et administrateurs systèmes, tandis que le travail invisible et quotidien, traditionnellement féminin, se répartit sur tous les « prolétaires du clic », dont le travail n’est pas ou peu rémunéré, sauf à être dans les bons cercles, à avoir le bon réseau social, bref la bonne classe sociale qui permet d’avoir de la street cred et de monnayer la reconnaissance sociale.

Entre rapports de genre et rapports de classe, les relations de pouvoir dans le monde numérique ne semble pas pouvoir se passer des outils du féminisme intersectionnel et, plus largement, d’une analyse matérialiste des rapports de pouvoirs entre tous les acteurs du Net.

Retrouver la publication originale de cette tribune sur ce blog.

]]>
Surveillance : Macron lâche la bride des services de renseignement10538 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180605_170905_Surveillance___Macron_lache_la_bride_des_services_de_renseignementTue, 05 Jun 2018 15:09:05 +00005 juin 2018 — Alors que La Quadrature du Net dénonçait il y a quelques semaines l'instauration de nouvelles mesures de surveillance au nom de la lutte contre la cybercriminalité dans la loi de programmation militaire en cours d'examen au Parlement, le gouvernement d'Emmanuel Macron persiste et signe.

Cette fois, il s'agit de toucher à la loi renseignement, en ouvrant aux services de renseignement intérieurs (notamment la DGSI) les montagnes de données accumulées par la DGSE dans le cadre de son dispositif de surveillance massive des communications Internet dites « internationales ». Et parce qu'il est toujours préférable de contourner le débat public lorsqu'on touche à la surveillance d'État, c'est en catimini, par voie d'amendement, que le gouvernement a choisi de procéder, non sans compter le soutien de quelques parlementaires complices.

Déni de réalité, déni démocratique

Le 22 mai dernier au Sénat, la ministre des Armées Florence Parly présente dans l'hémicycle un amendement au projet de loi de programmation militaire, déjà adopté en première lecture à l'Assemblée. À première vue, c'est sensible, puisqu'il s'agit de toucher au livre VIII du code de la sécurité intérieure, celui qui encadre les activités des services de renseignement. Mais la ministre se veut rassurante :

« Le Gouvernement ne souhaite évidemment pas, par le biais d’un amendement au détour du projet de loi relatif à la programmation militaire, remettre sur le métier la loi relative au renseignement. C’est un chantier qui nous occupera plutôt en 2020 et auquel il paraît indispensable d’associer étroitement la délégation parlementaire au renseignement, la DPR.

Je vous propose donc, mesdames, messieurs les sénateurs, de permettre simplement une utilisation plus rationnelle des données légalement recueillies dans le cadre de la surveillance des communications internationale. Nous ne donnons pas aux services de nouveaux moyens de collecte ni ne modifions en profondeur les équilibres retenus en 2015 ».

Il s'agit donc d'être « rationnel » sans toucher aux « équilibres retenus en 2015 » – équilibres déjà bien précaires et dûment attaqués devant les juridictions françaises et européennes1. Un petit patch bureaucratique pour faire en sorte de fluidifier le travail des services et qui, comme nous l'apprend la ministre, a été validé par la Commission nationale de contrôle des techniques de renseignement (la CNCTR) et par le Conseil d'État dans leurs avis respectifs sur l'amendement proposé.

Sauf que ces propos tiennent plus du déni de réalité, voire d'une volonté manifeste de tromper son monde. Car loin d'être anecdotique, l'amendement transforme radicalement les fameux « équilibres » de la loi renseignement.



OOOoops
Serveurs du Groupement Interministériel de Contrôle, basé aux Invalides (Bruno Coutier - L'Obs)


Surveillance intérieure / surveillance extérieure

Pour le comprendre, quelques rappels sont de rigueur.

Traditionnellement, les activités de surveillance d'un État envers les personnes résidant sur son territoire sont plus étroitement encadrées que les activités de surveillance dite « internationale », c'est-à-dire celle touchant des personnes situées hors du territoire national. C'est donc dans le cadre des activités de surveillance internationale que les programmes de surveillance les plus « massifs » se sont d'abord développés (par exemple le programme UPSTREAM de la NSA, le programme TEMPORA du GCHQ britannique, ou le programme similaire lancé à partir de 2008 par la DGSE française pour collecter à grande échelle le trafic Internet au niveau des câbles sous-marins, et l'exploiter à l'envie par la suite2).

Dans les hautes sphères de l'État, ce principe continue d'être défendu. Ainsi, dans son rapport annuel de 2014 sur les libertés à l'ère numérique, le Conseil d'État notait :

« Le fait que les garanties entourant l’interception des communications soient moindres lorsqu’elles se situent à l’étranger plutôt que sur le territoire se justifie (...). (...) Dès lors que les personnes situées à l’étranger échappent à la juridiction de l’État, l’interception de leurs communications n’est pas susceptible de porter atteinte à leurs droits dans la même mesure que si elles se situaient sur le territoire ; elles ne peuvent en particulier faire l’objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés »3.

C'est en vertu de ces arguments que, en 2015, la loi renseignement a prévu un régime juridique beaucoup plus lâche pour la surveillance internationale : le Premier ministre autorise l'interception non-ciblée de vastes quantités de données associées à une région du monde, à des organisations, groupes de personne, etc. ; ces données sont conservées pendant beaucoup plus longtemps que dans le cadre de la surveillance nationale ; elles peuvent faire l'objet d'analyse « en masse » des données via des traitements « Big Data » (ce que, soit dit en passant, la DGSI a également commencé à faire depuis quelques mois grâce aux algorithmes de Palantir sur les données saisies dans le cadre de l'état d'urgence, et ce en dehors de tout cadre juridique4).

Or, comme le rappelait dès 2013 la coalition internationale « Necessary and Proportionate » en réponse aux révélations d'Edward Snowden, cette distinction national/international n'a plus lieu d'être. À l'heure où les communications Internet sont par nature transfrontières (même lorsque j'échange un mail avec ma voisine, il est probable qu'il transite via l'étranger), et où les doctrines du renseignement font de moins en moins la différence entre menace extérieure et « ennemi intérieur », les arguments qui la fonde son caducs. En outre, comme le rappelaient La Quadrature du Net, FFDN et FDN dans leur mémoire envoyé en 2015 au Conseil constitutionnel alors que celui-ci se penchait sur la loi renseignement, cette distinction revient au plan juridique à bafouer l'universalité des droits5. De notre point de vue, il s'agirait donc d'abolir tout simplement le régime dérogatoire de surveillance internationale pour faire appliquer à toutes et tous le régime le plus protecteur : celui associé à la surveillance nationale.

L'extension du régime dérogatoire de la surveillance internationale

Mais, comme on pouvait le redouter, non seulement le régime de la surveillance internationale tient bon, mais il est en fait en train de devenir le dénominateur commun pour l'ensemble du champ du renseignement.

Certes, dès 2015, la loi renseignement ouvrait la voix à de telles évolutions. Les dispositions régulant les usages du puissant système de surveillance de la DGSE prévoyaient déjà la possibilité de surveiller des communications « rattachables au territoire national » (via leurs identifiants techniques comme l'adresse IP ou le numéro de téléphone) dès lors que les communications en question traversaient les frontières. Mais à ce jour ces formes de surveillance étaient uniquement possible pour les résidents français situés hors du territoire national.

Ici, il s'agit d'aller encore plus loin. En vertu de l'amendement adopté au Sénat, et comme l'explique la ministre :

« Nous voulons d’abord permettre l’exploitation des données d’un identifiant technique rattachable au territoire national interceptées dans le cadre de la surveillance des communications internationales, alors même que son utilisateur est en France6

Il s'agit notamment d'ouvrir aux services de renseignement intérieur les vannes du vaste système de surveillance déployé par la DGSE depuis 2008, et dans lequel l'État a depuis investi près de 1,5 milliards d'euros. Cela permet en effet d'accéder à quantité de données qui, dans le cadre strictement national, étaient plus difficilement exploitables7.

Remonter le passé pour confirmer des suspicions

Mais ce n'est pas tout. Le gouvernement a également souhaité autoriser des opérations de surveillance dites de « levée de doute ». Et la ministre d'expliquer :

« La levée de doute prendra la forme d’une vérification ponctuelle sur les données de connexion légalement interceptées dans le cadre de la surveillance des communications internationales.

Il s’agit d’opérations très rapides, non répétées et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne, qui pourra alors être surveillée si elle présente une menace. Dès que la vérification fera apparaître la nécessité d’une surveillance, l’exploitation des communications ne pourra être poursuivie que via les techniques de renseignement inscrites dans la loi de 2015 ».

En gros, les services utilisent un ou plusieurs « sélecteurs » ou « identifiants » correspondant à des personnes ou groupes de personnes situés à l'étranger, avec lesquels on va sonder les bases de données pour établir le graphe social et tenter de faire émerger les données de suspects résidant en France8. On peut ensuite se livrer à une surveillance plus poussée de ces suspects dans le cadre du régime de surveillance nationale (en demandant par exemple une autorisation pour procéder à une interception de sécurité)9.

L'amendement inaugure également deux régimes dérogatoires à ce dispositif de « levée de doute », qui permettent non pas de constituer ces graphes à partir d'identifiants « étrangers », mais à partir d'identifiants directement rattachables au territoire national : l'un en cas de « menace terroriste urgente », l'autre s'agissant « d'éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation »10.

Au plan opérationnel, ces opérations de levée de doutes poursuivent la même logique « exploratoire » que les boîtes noires de l'article L. 851-3 ou la surveillance en temps réel des données de connexion du L. 851-2 (elle aussi sont des manières de repérer des signaux faibles, en préalable d'une surveillance plus poussée). Sauf qu'il s'agit cette fois de sonder les données conservées massivement dans les data-centers de la DGSE, et non de faire de la surveillance de flux en « temps réel ». Pour rappel, une fois collectées, les métadonnées des résidents français sont conservées quatre ans par les services...

La fuite en avant de la surveillance

Quand un outil technique existe, il n'y a aucune raison de ne pas l'utiliser à fond... C'est en tous cas la position des caciques du renseignement et des responsables politiques qui président à ces activités secrètes, et qui estiment nécessaire de mettre au service du renseignement intérieur les vastes dispositifs de surveillance de la DGSE. La fin justifie les moyens, et tant pis pour l'État de droit.

Ni le gouvernement, ni la CNCTR, ni le Conseil d'État n'ont donc de problème à s'asseoir sur les arguments qu'ils invoquaient il y a tout juste trois ans pour justifier l'instauration d'un régime dérogatoire pour la surveillance internationale11, à savoir que celle ci ne concernait que des personnes situées hors du territoire, et donc échappant a priori au pouvoir coercitif de l'État. Aujourd'hui, ils rendent ce régime dérogatoire toujours plus poreux à la surveillance des résidents français, en permettant au renseignement intérieur de piocher allégrement dans les bases de données de la DGSE. Avec cet amendement, il devient par exemple possible de retracer d'un seul coup l'historique des communications d'un résident français en remontant quatre ans en arrière, là où le régime de surveillance nationale permettait de récolter des métadonnées vieilles d'un an maximum auprès des opérateurs et de quantité d'hébergeurs. On change clairement de dimension.

Le plus choquant, c'est peut être que le gouvernement refuse de reconnaître l'importance de ces évolutions, en prétendant qu'il ne s'agit que de quelques aménagements techniques. Cette manière de procéder du gouvernement Macron – qui semble chercher à étouffer à tout prix le débat – devrait justifier à elle seule que les parlementaires s'opposent à cet amendement scélérat (la Commission mixte paritaire composée de députés et de sénateurs se réunit bientôt pour finaliser le texte).

Malgré quelques maigres avancées en termes de transparence dont témoigne notamment le dernier rapport de la CNCTR, cette affaire illustre bien l'immaturité démocratique persistante du renseignement français. Alors que la ministre promet une révision plus en profondeur de la loi renseignement pour 2020, on peut d'ores et déjà s'attendre au pire...

  • 1. S'agissant des recours dans lesquels La Quadrature intervient, voir : https://exegetes.eu.org/dossiers/renseignement/index.html
  • 2. JAUVERT, Vincent, 2015. Comment la France écoute (aussi) le monde. In : L’Obs [en ligne]. 1 juillet 2015. Disponible à l’adresse : http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html.
  • 3. RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux [en ligne]. Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État. Disponible à l’adresse : http://www.ladocumentationfrancaise.fr/rapports-publics/144000541/index.shtml.
  • 4. C'est apparemment cette collaboration DGSI-Palantir qui a poussé les rédacteurs du rapport Villani sur l'intelligence artificielle (IA) à envisager des « dérogations » pour promouvoir des « expérimentations » sur l'usage de l'IA dans le champ du renseignement. Il n'est pas question de les encadrer dans la loi mais de les faire sous le contrôle d'autorités comme la CNCTR, ce qui est tout simplement illégal.
  • 5. Voir la section 9.4.2, p.age 74, du mémoire Amicus Curiae. Disponible à l'adresse : https://exegetes.eu.org/recours/amicusrenseignement/2015-06-25-Amicus-Curiae-Version-Greffe-CC.pdf
  • 6. Nous soulignons. L'amendement est rédigé comme suit :
    V. – Par dérogation au troisième alinéa de l’article L. 854-1 et pour la défense ou la promotion des finalités mentionnées aux 1° , 2° , 4° , 6° et 7° de l’article L. 811-3, le Premier ministre ou l’un de ses délégués peut, dans les conditions prévues au III, délivrer une autorisation d’exploitation de communications, ou de seules données de connexion interceptées, de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national dont l’utilisateur communique depuis ce territoire.
    « Le nombre maximal des autorisations d’exploitation, en vigueur simultanément et portant sur des correspondances, est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. La décision fixant ce contingent et sa répartition entre les ministres mentionnés au premier alinéa de l’article L. 821-2 sont portées à la connaissance de la commission ».
    (...)
    « Les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir, lorsque la décision d’autorisation le prévoit, autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales, dans la limite de la portée de ces autorisations et dans le respect des garanties qui les entourent. »
  • 7. L'exposé des motifs évoque notamment le fait que, si « les données interceptées [par la DGSE] sont partielles », elles présentent un intérêt d’autant plus important qu’y figurent des données que l’on ne peut obtenir par réquisition auprès des opérateurs, notamment celles des messageries cryptées ». On peut ainsi supposer que le relevé des seules données de connexion dans le système de la DGSE permet de retracer l'ensemble d'un historique de navigation Internet (protocoles utilisés, services consultés, etc.) alors que du côté d'un opérateur fixe dans le cadre de la surveillance nationale, permettra seulement d'identifier l'internaute concerné et les adresses IP utilisées ainsi que ses « fadettes » téléphoniques.
  • 8. « IV. – L’autorisation prévue au III vaut autorisation d’effectuer au sein des données de connexion interceptées des vérifications ponctuelles aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, organisations ou personnes mentionnés au 3° du III.
  • 9. (...) « Lorsque les vérifications ponctuelles mentionnées aux alinéas précédents font apparaître la nécessité d’une surveillance, l’exploitation des communications, ou des seules données de connexion interceptées, ne peut être poursuivie que sur le fondement d’une autorisation obtenue en application des chapitres I ou II du présent titre ou du V du présent article, dans le respect des règles qui leur sont propres.
  • 10. « A la seule fin de détecter, de manière urgente, une menace terroriste, cette vérification ponctuelle peut porter sur les communications de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national. Ces numéros et identifiants sont immédiatement communiqués au Premier ministre et à la Commission nationale de contrôle des techniques de renseignement, pour les besoins du contrôle prévu à l’article L. 854-9.

    « Des vérifications ponctuelles peuvent également être mises en œuvre pour détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation mentionnés au 1° de l’article L. 811-3.

  • 11. Comble de l'hypocrisie, cet argument est d'ailleurs rappelé par le gouvernement dans l'exposé des motifs de l'amendement ! D'après le texte en effet, «  les exigences liées à l'exercice des libertés constitutionnellement garanties ne peuvent être les mêmes pour une personne résidant sur le territoire de la République et pour une personne résidant à l'étranger. Celle-ci échappant à la juridiction de l'Etat, elle ne peut en particulier faire l'objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés ».
]]>
5 juin 2018 — Alors que La Quadrature du Net dénonçait il y a quelques semaines l'instauration de nouvelles mesures de surveillance au nom de la lutte contre la cybercriminalité dans la loi de programmation militaire en cours d'examen au Parlement, le gouvernement d'Emmanuel Macron persiste et signe.

Cette fois, il s'agit de toucher à la loi renseignement, en ouvrant aux services de renseignement intérieurs (notamment la DGSI) les montagnes de données accumulées par la DGSE dans le cadre de son dispositif de surveillance massive des communications Internet dites « internationales ». Et parce qu'il est toujours préférable de contourner le débat public lorsqu'on touche à la surveillance d'État, c'est en catimini, par voie d'amendement, que le gouvernement a choisi de procéder, non sans compter le soutien de quelques parlementaires complices.

Déni de réalité, déni démocratique

Le 22 mai dernier au Sénat, la ministre des Armées Florence Parly présente dans l'hémicycle un amendement au projet de loi de programmation militaire, déjà adopté en première lecture à l'Assemblée. À première vue, c'est sensible, puisqu'il s'agit de toucher au livre VIII du code de la sécurité intérieure, celui qui encadre les activités des services de renseignement. Mais la ministre se veut rassurante :

« Le Gouvernement ne souhaite évidemment pas, par le biais d’un amendement au détour du projet de loi relatif à la programmation militaire, remettre sur le métier la loi relative au renseignement. C’est un chantier qui nous occupera plutôt en 2020 et auquel il paraît indispensable d’associer étroitement la délégation parlementaire au renseignement, la DPR.

Je vous propose donc, mesdames, messieurs les sénateurs, de permettre simplement une utilisation plus rationnelle des données légalement recueillies dans le cadre de la surveillance des communications internationale. Nous ne donnons pas aux services de nouveaux moyens de collecte ni ne modifions en profondeur les équilibres retenus en 2015 ».

Il s'agit donc d'être « rationnel » sans toucher aux « équilibres retenus en 2015 » – équilibres déjà bien précaires et dûment attaqués devant les juridictions françaises et européennes1. Un petit patch bureaucratique pour faire en sorte de fluidifier le travail des services et qui, comme nous l'apprend la ministre, a été validé par la Commission nationale de contrôle des techniques de renseignement (la CNCTR) et par le Conseil d'État dans leurs avis respectifs sur l'amendement proposé.

Sauf que ces propos tiennent plus du déni de réalité, voire d'une volonté manifeste de tromper son monde. Car loin d'être anecdotique, l'amendement transforme radicalement les fameux « équilibres » de la loi renseignement.



OOOoops
Serveurs du Groupement Interministériel de Contrôle, basé aux Invalides (Bruno Coutier - L'Obs)


Surveillance intérieure / surveillance extérieure

Pour le comprendre, quelques rappels sont de rigueur.

Traditionnellement, les activités de surveillance d'un État envers les personnes résidant sur son territoire sont plus étroitement encadrées que les activités de surveillance dite « internationale », c'est-à-dire celle touchant des personnes situées hors du territoire national. C'est donc dans le cadre des activités de surveillance internationale que les programmes de surveillance les plus « massifs » se sont d'abord développés (par exemple le programme UPSTREAM de la NSA, le programme TEMPORA du GCHQ britannique, ou le programme similaire lancé à partir de 2008 par la DGSE française pour collecter à grande échelle le trafic Internet au niveau des câbles sous-marins, et l'exploiter à l'envie par la suite2).

Dans les hautes sphères de l'État, ce principe continue d'être défendu. Ainsi, dans son rapport annuel de 2014 sur les libertés à l'ère numérique, le Conseil d'État notait :

« Le fait que les garanties entourant l’interception des communications soient moindres lorsqu’elles se situent à l’étranger plutôt que sur le territoire se justifie (...). (...) Dès lors que les personnes situées à l’étranger échappent à la juridiction de l’État, l’interception de leurs communications n’est pas susceptible de porter atteinte à leurs droits dans la même mesure que si elles se situaient sur le territoire ; elles ne peuvent en particulier faire l’objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés »3.

C'est en vertu de ces arguments que, en 2015, la loi renseignement a prévu un régime juridique beaucoup plus lâche pour la surveillance internationale : le Premier ministre autorise l'interception non-ciblée de vastes quantités de données associées à une région du monde, à des organisations, groupes de personne, etc. ; ces données sont conservées pendant beaucoup plus longtemps que dans le cadre de la surveillance nationale ; elles peuvent faire l'objet d'analyse « en masse » des données via des traitements « Big Data » (ce que, soit dit en passant, la DGSI a également commencé à faire depuis quelques mois grâce aux algorithmes de Palantir sur les données saisies dans le cadre de l'état d'urgence, et ce en dehors de tout cadre juridique4).

Or, comme le rappelait dès 2013 la coalition internationale « Necessary and Proportionate » en réponse aux révélations d'Edward Snowden, cette distinction national/international n'a plus lieu d'être. À l'heure où les communications Internet sont par nature transfrontières (même lorsque j'échange un mail avec ma voisine, il est probable qu'il transite via l'étranger), et où les doctrines du renseignement font de moins en moins la différence entre menace extérieure et « ennemi intérieur », les arguments qui la fonde son caducs. En outre, comme le rappelaient La Quadrature du Net, FFDN et FDN dans leur mémoire envoyé en 2015 au Conseil constitutionnel alors que celui-ci se penchait sur la loi renseignement, cette distinction revient au plan juridique à bafouer l'universalité des droits5. De notre point de vue, il s'agirait donc d'abolir tout simplement le régime dérogatoire de surveillance internationale pour faire appliquer à toutes et tous le régime le plus protecteur : celui associé à la surveillance nationale.

L'extension du régime dérogatoire de la surveillance internationale

Mais, comme on pouvait le redouter, non seulement le régime de la surveillance internationale tient bon, mais il est en fait en train de devenir le dénominateur commun pour l'ensemble du champ du renseignement.

Certes, dès 2015, la loi renseignement ouvrait la voix à de telles évolutions. Les dispositions régulant les usages du puissant système de surveillance de la DGSE prévoyaient déjà la possibilité de surveiller des communications « rattachables au territoire national » (via leurs identifiants techniques comme l'adresse IP ou le numéro de téléphone) dès lors que les communications en question traversaient les frontières. Mais à ce jour ces formes de surveillance étaient uniquement possible pour les résidents français situés hors du territoire national.

Ici, il s'agit d'aller encore plus loin. En vertu de l'amendement adopté au Sénat, et comme l'explique la ministre :

« Nous voulons d’abord permettre l’exploitation des données d’un identifiant technique rattachable au territoire national interceptées dans le cadre de la surveillance des communications internationales, alors même que son utilisateur est en France6

Il s'agit notamment d'ouvrir aux services de renseignement intérieur les vannes du vaste système de surveillance déployé par la DGSE depuis 2008, et dans lequel l'État a depuis investi près de 1,5 milliards d'euros. Cela permet en effet d'accéder à quantité de données qui, dans le cadre strictement national, étaient plus difficilement exploitables7.

Remonter le passé pour confirmer des suspicions

Mais ce n'est pas tout. Le gouvernement a également souhaité autoriser des opérations de surveillance dites de « levée de doute ». Et la ministre d'expliquer :

« La levée de doute prendra la forme d’une vérification ponctuelle sur les données de connexion légalement interceptées dans le cadre de la surveillance des communications internationales.

Il s’agit d’opérations très rapides, non répétées et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne, qui pourra alors être surveillée si elle présente une menace. Dès que la vérification fera apparaître la nécessité d’une surveillance, l’exploitation des communications ne pourra être poursuivie que via les techniques de renseignement inscrites dans la loi de 2015 ».

En gros, les services utilisent un ou plusieurs « sélecteurs » ou « identifiants » correspondant à des personnes ou groupes de personnes situés à l'étranger, avec lesquels on va sonder les bases de données pour établir le graphe social et tenter de faire émerger les données de suspects résidant en France8. On peut ensuite se livrer à une surveillance plus poussée de ces suspects dans le cadre du régime de surveillance nationale (en demandant par exemple une autorisation pour procéder à une interception de sécurité)9.

L'amendement inaugure également deux régimes dérogatoires à ce dispositif de « levée de doute », qui permettent non pas de constituer ces graphes à partir d'identifiants « étrangers », mais à partir d'identifiants directement rattachables au territoire national : l'un en cas de « menace terroriste urgente », l'autre s'agissant « d'éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation »10.

Au plan opérationnel, ces opérations de levée de doutes poursuivent la même logique « exploratoire » que les boîtes noires de l'article L. 851-3 ou la surveillance en temps réel des données de connexion du L. 851-2 (elle aussi sont des manières de repérer des signaux faibles, en préalable d'une surveillance plus poussée). Sauf qu'il s'agit cette fois de sonder les données conservées massivement dans les data-centers de la DGSE, et non de faire de la surveillance de flux en « temps réel ». Pour rappel, une fois collectées, les métadonnées des résidents français sont conservées quatre ans par les services...

La fuite en avant de la surveillance

Quand un outil technique existe, il n'y a aucune raison de ne pas l'utiliser à fond... C'est en tous cas la position des caciques du renseignement et des responsables politiques qui président à ces activités secrètes, et qui estiment nécessaire de mettre au service du renseignement intérieur les vastes dispositifs de surveillance de la DGSE. La fin justifie les moyens, et tant pis pour l'État de droit.

Ni le gouvernement, ni la CNCTR, ni le Conseil d'État n'ont donc de problème à s'asseoir sur les arguments qu'ils invoquaient il y a tout juste trois ans pour justifier l'instauration d'un régime dérogatoire pour la surveillance internationale11, à savoir que celle ci ne concernait que des personnes situées hors du territoire, et donc échappant a priori au pouvoir coercitif de l'État. Aujourd'hui, ils rendent ce régime dérogatoire toujours plus poreux à la surveillance des résidents français, en permettant au renseignement intérieur de piocher allégrement dans les bases de données de la DGSE. Avec cet amendement, il devient par exemple possible de retracer d'un seul coup l'historique des communications d'un résident français en remontant quatre ans en arrière, là où le régime de surveillance nationale permettait de récolter des métadonnées vieilles d'un an maximum auprès des opérateurs et de quantité d'hébergeurs. On change clairement de dimension.

Le plus choquant, c'est peut être que le gouvernement refuse de reconnaître l'importance de ces évolutions, en prétendant qu'il ne s'agit que de quelques aménagements techniques. Cette manière de procéder du gouvernement Macron – qui semble chercher à étouffer à tout prix le débat – devrait justifier à elle seule que les parlementaires s'opposent à cet amendement scélérat (la Commission mixte paritaire composée de députés et de sénateurs se réunit bientôt pour finaliser le texte).

Malgré quelques maigres avancées en termes de transparence dont témoigne notamment le dernier rapport de la CNCTR, cette affaire illustre bien l'immaturité démocratique persistante du renseignement français. Alors que la ministre promet une révision plus en profondeur de la loi renseignement pour 2020, on peut d'ores et déjà s'attendre au pire...

  • 1. S'agissant des recours dans lesquels La Quadrature intervient, voir : https://exegetes.eu.org/dossiers/renseignement/index.html
  • 2. JAUVERT, Vincent, 2015. Comment la France écoute (aussi) le monde. In : L’Obs [en ligne]. 1 juillet 2015. Disponible à l’adresse : http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html.
  • 3. RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux [en ligne]. Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État. Disponible à l’adresse : http://www.ladocumentationfrancaise.fr/rapports-publics/144000541/index.shtml.
  • 4. C'est apparemment cette collaboration DGSI-Palantir qui a poussé les rédacteurs du rapport Villani sur l'intelligence artificielle (IA) à envisager des « dérogations » pour promouvoir des « expérimentations » sur l'usage de l'IA dans le champ du renseignement. Il n'est pas question de les encadrer dans la loi mais de les faire sous le contrôle d'autorités comme la CNCTR, ce qui est tout simplement illégal.
  • 5. Voir la section 9.4.2, p.age 74, du mémoire Amicus Curiae. Disponible à l'adresse : https://exegetes.eu.org/recours/amicusrenseignement/2015-06-25-Amicus-Curiae-Version-Greffe-CC.pdf
  • 6. Nous soulignons. L'amendement est rédigé comme suit :
    V. – Par dérogation au troisième alinéa de l’article L. 854-1 et pour la défense ou la promotion des finalités mentionnées aux 1° , 2° , 4° , 6° et 7° de l’article L. 811-3, le Premier ministre ou l’un de ses délégués peut, dans les conditions prévues au III, délivrer une autorisation d’exploitation de communications, ou de seules données de connexion interceptées, de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national dont l’utilisateur communique depuis ce territoire.
    « Le nombre maximal des autorisations d’exploitation, en vigueur simultanément et portant sur des correspondances, est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. La décision fixant ce contingent et sa répartition entre les ministres mentionnés au premier alinéa de l’article L. 821-2 sont portées à la connaissance de la commission ».
    (...)
    « Les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir, lorsque la décision d’autorisation le prévoit, autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales, dans la limite de la portée de ces autorisations et dans le respect des garanties qui les entourent. »
  • 7. L'exposé des motifs évoque notamment le fait que, si « les données interceptées [par la DGSE] sont partielles », elles présentent un intérêt d’autant plus important qu’y figurent des données que l’on ne peut obtenir par réquisition auprès des opérateurs, notamment celles des messageries cryptées ». On peut ainsi supposer que le relevé des seules données de connexion dans le système de la DGSE permet de retracer l'ensemble d'un historique de navigation Internet (protocoles utilisés, services consultés, etc.) alors que du côté d'un opérateur fixe dans le cadre de la surveillance nationale, permettra seulement d'identifier l'internaute concerné et les adresses IP utilisées ainsi que ses « fadettes » téléphoniques.
  • 8. « IV. – L’autorisation prévue au III vaut autorisation d’effectuer au sein des données de connexion interceptées des vérifications ponctuelles aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, organisations ou personnes mentionnés au 3° du III.
  • 9. (...) « Lorsque les vérifications ponctuelles mentionnées aux alinéas précédents font apparaître la nécessité d’une surveillance, l’exploitation des communications, ou des seules données de connexion interceptées, ne peut être poursuivie que sur le fondement d’une autorisation obtenue en application des chapitres I ou II du présent titre ou du V du présent article, dans le respect des règles qui leur sont propres.
  • 10. « A la seule fin de détecter, de manière urgente, une menace terroriste, cette vérification ponctuelle peut porter sur les communications de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national. Ces numéros et identifiants sont immédiatement communiqués au Premier ministre et à la Commission nationale de contrôle des techniques de renseignement, pour les besoins du contrôle prévu à l’article L. 854-9.

    « Des vérifications ponctuelles peuvent également être mises en œuvre pour détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation mentionnés au 1° de l’article L. 811-3.

  • 11. Comble de l'hypocrisie, cet argument est d'ailleurs rappelé par le gouvernement dans l'exposé des motifs de l'amendement ! D'après le texte en effet, «  les exigences liées à l'exercice des libertés constitutionnellement garanties ne peuvent être les mêmes pour une personne résidant sur le territoire de la République et pour une personne résidant à l'étranger. Celle-ci échappant à la juridiction de l'Etat, elle ne peut en particulier faire l'objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés ».
]]>
Dépôt des plaintes collectives contre les GAFAM !10532 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180528_154448_Depot_des_plaintes_collectives_contre_les_GAFAM__Mon, 28 May 2018 13:44:48 +000028 mai 2018 - La Quadrature du Net vient d'envoyer à la CNIL cinq plaintes contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn.

Voilà six semaines que nous avons lancé notre campagne pour vous inviter à rejoindre nos plaintes contre les GAFAM. Et ces six semaines ont suffi à réunir plus de 12 000 d'entre vous autour de ces plaintes collectives ! Pour comparer, en une année entière, celle de 2017, la CNIL a été saisie de 8 360 plaintes individuelles.

Où allons-nous, maintenant ? D'ici un mois au mieux, la CNIL devrait rendre une première décision pour répartir les différentes plaintes entre les autorités de plusieurs États européens. C'est désormais la règle avec le règlement général sur la protection des données (RGPD) : si une entreprise collecte des données sur plusieurs pays, les CNIL de tous ces pays doivent collaborer pour trouver une décision commune (ce qui évite le forum shopping, et pourrait donc être une assez bonne nouveauté si tout se passe bien). La CNIL d'un de ces États (celui où l'entreprise a le centre de ses activités dans l'Union européenne) est ainsi désignée « autorité chef de file » et est chargée de conduire l'instruction et d'animer cette coopération.

Mis à part la plainte dirigée contre Amazon qui partira au Luxembourg, toutes les autres seront très probablement réceptionnées par l'autorité irlandaise. Celle-ci ayant déjà pas mal à faire avec les instructions en cours contre les nombreux GAFAM qu'elle surveille habituellement, il nous a semblé plus sage de ne pas immédiatement la submerger de toutes nos plaintes : mieux vaut obtenir de bonnes décisions ciblées et faire jurisprudence le plus rapidement possible.

Nous avons donc choisi d'ouvrir le feu en attaquant 7 des 12 services initialement visés, et d'attendre un peu de voir comment les choses évoluent avant de lancer la procédure contre les 5 services restants (Whatsapp, Instagram, Android, Outlook et Skype). La procédure de coopération entre les CNIL européennes prendra de bien nombreux mois : inutile de se précipiter dès le début :)

Les premières plaintes sont accessibles en ligne et, évidemment, librement réutilisables par n'importe qui voulant s'en inspirer pour attaquer des GAFAM ou tant d'autres :

  1. Facebook ;
  2. Google (Gmail, Youtube, Search) ;
  3. Apple ;
  4. Amazon ;
  5. LinkedIn.

Il faut aussi remercier les dizaines d'entre vous qui avez participé à la rédaction collective de ces plaintes bien complexes ! Merci ! Et un grand merci encore à toutes celles et ceux qui ont su faire tant parler de la campagne au cours de ces dernières semaines !

Enfin, pour voir au-delà de nos avancées à nous, saluons l'action initiée par nos amis de chez NOYB (None Of Your Business) qui, le 25 mai dernier, dès l'entrée en application du RGPD, ont déposé quatre plaintes un peu partout en Europe contre Android, Instagram, Whatsapp et Facebook, se fondant sur le même argument que celui ayant animé toute nos actions : exiger un « consentement libre » pour rejeter l'idée d'une marchandisation de nos données personnelles. Bravo à vous !

]]>
28 mai 2018 - La Quadrature du Net vient d'envoyer à la CNIL cinq plaintes contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn.

Voilà six semaines que nous avons lancé notre campagne pour vous inviter à rejoindre nos plaintes contre les GAFAM. Et ces six semaines ont suffi à réunir plus de 12 000 d'entre vous autour de ces plaintes collectives ! Pour comparer, en une année entière, celle de 2017, la CNIL a été saisie de 8 360 plaintes individuelles.

Où allons-nous, maintenant ? D'ici un mois au mieux, la CNIL devrait rendre une première décision pour répartir les différentes plaintes entre les autorités de plusieurs États européens. C'est désormais la règle avec le règlement général sur la protection des données (RGPD) : si une entreprise collecte des données sur plusieurs pays, les CNIL de tous ces pays doivent collaborer pour trouver une décision commune (ce qui évite le forum shopping, et pourrait donc être une assez bonne nouveauté si tout se passe bien). La CNIL d'un de ces États (celui où l'entreprise a le centre de ses activités dans l'Union européenne) est ainsi désignée « autorité chef de file » et est chargée de conduire l'instruction et d'animer cette coopération.

Mis à part la plainte dirigée contre Amazon qui partira au Luxembourg, toutes les autres seront très probablement réceptionnées par l'autorité irlandaise. Celle-ci ayant déjà pas mal à faire avec les instructions en cours contre les nombreux GAFAM qu'elle surveille habituellement, il nous a semblé plus sage de ne pas immédiatement la submerger de toutes nos plaintes : mieux vaut obtenir de bonnes décisions ciblées et faire jurisprudence le plus rapidement possible.

Nous avons donc choisi d'ouvrir le feu en attaquant 7 des 12 services initialement visés, et d'attendre un peu de voir comment les choses évoluent avant de lancer la procédure contre les 5 services restants (Whatsapp, Instagram, Android, Outlook et Skype). La procédure de coopération entre les CNIL européennes prendra de bien nombreux mois : inutile de se précipiter dès le début :)

Les premières plaintes sont accessibles en ligne et, évidemment, librement réutilisables par n'importe qui voulant s'en inspirer pour attaquer des GAFAM ou tant d'autres :

  1. Facebook ;
  2. Google (Gmail, Youtube, Search) ;
  3. Apple ;
  4. Amazon ;
  5. LinkedIn.

Il faut aussi remercier les dizaines d'entre vous qui avez participé à la rédaction collective de ces plaintes bien complexes ! Merci ! Et un grand merci encore à toutes celles et ceux qui ont su faire tant parler de la campagne au cours de ces dernières semaines !

Enfin, pour voir au-delà de nos avancées à nous, saluons l'action initiée par nos amis de chez NOYB (None Of Your Business) qui, le 25 mai dernier, dès l'entrée en application du RGPD, ont déposé quatre plaintes un peu partout en Europe contre Android, Instagram, Whatsapp et Facebook, se fondant sur le même argument que celui ayant animé toute nos actions : exiger un « consentement libre » pour rejeter l'idée d'une marchandisation de nos données personnelles. Bravo à vous !

]]>
Le RGPD va rebooter Internet : ouvrons le combat10521 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180525_130949_Le_RGPD_va_rebooter_Internet___ouvrons_le_combatFri, 25 May 2018 11:09:49 +0000Tribune de Marne et Arthur, instigateurs de la campagne de plaintes collectives contre les GAFAM

25 mai 2018 - Avant-hier, Emmanuel Macron recevait son homologue Mark Zuckerberg, symbole défait d'un monde dont le glas a sonné ce matin. Sous les traits forcés du dynamisme et de l'innovation, Macron, ne comprenant rien à son époque, fait la cour à des puissances dont le modèle, aussi dépassé qu'illégal, prendra bientôt fin. Les seules structures qui compteront à l'avenir seront les nôtres : celles de l'Internet libre et décentralisé, établies et régulées par le peuple lui-même. C'est la voie qu'a ouvert le RGPD : prenons-la sans détour.

Pour comprendre ce qui commence aujourd'hui avec l'entrée en application du règlement général sur la protection des données (RGPD), repartons d'abord dans le passé... il y a 5 ans, presque jour pour jour.

RGPD, fruit de la plus violente campagne de lobbying américaine

Le 27 mai 2013, La Quadrature du Net publiait son analyse principale en faveur d'un « consentement explicite » dans le RGPD, qui était alors en pleine discussion au Parlement européen. Cette revendication était alors notre combat principal et, aux côtés de nos associations alliées (voir notre campagne Naked Citizens, lancée le 25 avril 2013), nous l'avons gagné.

Ainsi, 5 ans plus tard, depuis ce matin, une entreprise ne peut plus justifier de nous surveiller au motif que nous y aurions « consenti » en oubliant de décocher une case obscure rangée en fin de formulaire ou derrière divers menus (stratégie éculée pour dérober l'accord d'une personne). C'est la victoire du « consentement explicite », c'est ce que continuent de violer Google, Apple ou Amazon, et c'est notamment ce que nous invoquons avec 11 000 autres personnes dans les plaintes collectives que nous déposerons lundi prochain devant la CNIL (et que vous pouvez encore rejoindre).

Avec le recul, ce « consentement explicite », cette arme que nous nous sommes donnés il y a 5 ans, cette victoire, semble irréelle. De l'aveu des parlementaires européens, l'Union européenne n'avait jamais connu de campagne de lobbying aussi intense et brutale que sur le RGPD : c'est toute la Silicon Valley qui descendait dans le Parlement, suivi de sa myriade de syndicats, de groupements, de Think Tanks™ et de serfs européens. Nous avions d'ailleurs recensé les milliers de pages qu'ils envoyaient au Parlement, et le site LobbyPlag les avait analysées pour révéler quels eurodéputés en déposaient et défendaient les propositions. Dans un premier temps, cet effort titanesque de lobbying a largement payé : au 19 mars 2013, chacune des 4 commissions consultatives du Parlement européen avait rendu un avis affaiblissant largement la protection de nos libertés.

Heureusement, le débat a subitement changé de ton lorsque, le 6 juin 2013, Edward Snowden a commencé à révéler les pratiques des renseignements américains. La première de ses révélations publiées, sur le programme PRISM, impliquait directement les mêmes entreprises américaines qui remportaient jusqu'ici le débat européen... Notre victoire doit probablement beaucoup à ces circonstances.

Le 21 octobre 2016, le Parlement européen arrêtait sa première position officielle : les pires de nos inquiétudes en avaient enfin disparues, et nous gagnions sur le consentement explicite. À l'époque, nous regrettions pourtant amèrement les nombreuses failles qui, existantes depuis la première réglementation européenne de 1995, avaient été maintenues dans RGPD (et y sont encore aujourd’hui). Au premier rang d'entre elle : l'« intérêt légitime » (nous y revenons ci-dessous).

Peu de nouveautés

Définitivement signé le 27 avril 2016, le RGPD aura finalement apporté peu de protections nouvelles pour nos libertés. En plus du « consentement explicite » que nous avions réussi à obtenir, les avancées, bien que considérables, sont surtout procédurales : les CNIL pourront prononcer des sanctions à hauteur de 20 millions d'euros ou 4% du chiffre d'affaire mondial de la société visée (la plus haute des deux valeurs est retenue) et, pour les pousser à agir fermement, elles pourront être saisies par des plaintes collectives réunissant des milliers de personnes (c'est ce que nous faisons !).

À côté de ça, tous les grands principes de la protection de données (conditions de licéité, données sensibles, loyautés, etc.) ainsi que la majorité de nos « droits » (d'accéder à nos données, de les rectifier, etc.) ont été repris presque à l'identique de la directive européenne initiale de 1995. Le règlement crée bien aussi un nouveau droit à la portabilité, mais son intérêt pratique reste encore à trouver.

De plus, comme on l'a vu, le RGPD ne s'est pas contenté d'hériter des forces de la directive de 1995, il a aussi hérité de sa faille principale : il autorise toute entreprise à collecter et utiliser des données personnelles si elle y trouve un « intérêt légitime » (un intérêt économique, structurel...) et que la poursuite de cet intérêt ne porte pas une « atteinte disproportionnée » aux intérêts des personnes concernées. Oui, ce « critère » est particulièrement flou et tordu, et c'est hélas bien son but : « pour l'instant, vous avez le droit de faire ce que vous voulez, et on viendra vérifier plus tard, si on a le temps, que vous n'ayez pas trop dépassé les bornes ».

Heureusement, les CNIL européennes (réunies au sein de « groupe de l'article 29 ») ont pris position, dès 2014, pour affirmer que l'analyse comportementale à des fins de ciblage publicitaire ne devraient pas pouvoir constituer un tel « intérêt légitime », et ne devrait donc être autorisée qu'avec notre consentement (voir son avis 06/2014, p. 45). C'est un des arguments que nous opposons notamment à Google dans nos plaintes collectives - car celui-ci ose bel et bien invoquer son « intérêt légitime » pour justifier la surveillance de masse dont il tire sa fortune.

Une arme puissante

Mais alors, si le RGPD apporte si peu de nouveautés, pourquoi y trouverions-nous l'espoir de changements majeurs ? Son principal effet, en vérité, n'est pas tant d'avoir modifié le droit que d'en permettre enfin l'application.

En théorie, depuis longtemps, le droit des données personnelles pourrait être une arme puissante pour nous protéger : l'analyse comportementale n'est possible qu'avec notre consentement (qui doit désormais être explicite) et, surtout, ce consentement doit être libre.

Insistons encore une fois sur la notion de consentement libre, qui est au cœur de nos plaintes collectives. C'est bien là que se trouve le germe du changement à venir : le droit des données personnelles prévoit, depuis plusieurs années (voir dernièrement la décision rendue en France par la CNIL sur Whatsapp, fin 2017) que notre consentement n'est pas valide s'il est une condition pour accéder à un service. Le consentement n'est pas « libre » s'il est donné sous la menace de subir une conséquence négative. Il n'est pas valide s'il est assimilé à la contrepartie d'un contrat, à un prix.

Ce principe est simple à comprendre : céder ses données, c'est renoncer à son droit fondamental à la protection de la vie privée, à la liberté de conscience, à l'intégrité. Or, heureusement, nos principes démocratiques s'opposent à la marchandisation de nos libertés fondamentales (sans quoi la moindre « égalité des droits » ne bénéficierait qu'à ceux pouvant se l'acheter).

Pour résumer, depuis plusieurs années, les modèles économiques de Facebook ou Google n'ont, juridiquement, aucune raison d'exister : ils se financent grâce à une analyse comportementale de masse à des fins publicitaire. Or cette analyse n'est possible qu'avec notre consentement. Nous devrions donc pouvoir accéder à leur service tout en refusant de donner ce consentement : mais si nous avions véritablement cette possibilité, la très grande majorité d'entre nous refuserait cette surveillance.

Leur modèle est illégal et juridiquement absurde depuis longtemps. Le seul problème, en vérité, c'est que personne n'avait le pouvoir, ou la volonté, de les arrêter. C'est cela, et surtout cela, qui a changé ce matin.

Alors que, en France par exemple, jusqu'en 2016, la CNIL ne pouvait prononcer des sanctions qu'à hauteur de 150 000 €, ce qui était inutile contre Google ou Facebook (qui ont d'ailleurs bien été condamnés à payer cette somme), le montant de l'amende pourra désormais atteindre 4 % de leur chiffre d'affaire mondial. Et, au cas où les CNIL manqueraient de la volonté pour ce faire, les plaintes collectives sont maintenant là pour, enfin, rendre la population actrice de ce processus : si les CNIL, saisies par des milliers de personnes sur une même plainte, n'agissent pas, elles perdront toute légitimité.

Nous pouvons enfin oublier notre sentiment de « à quoi bon lutter contre ces géants ? ». Si cette amertume était entièrement justifiée hier, elle ne l'est plus aujourd'hui. Pour eux, la fête est finie. Elle commence pour nous.

Retour à l'Internet des origines

Le RGPD laisse l'espoir de voir enfin le droit protéger nos données contre des géants qui, y trouvant leur fortune, ont entièrement remodelé Internet.

Internet, dans ses principes fondamentaux, repose sur la décentralisation : la puissance de calcul, le stockage et l'usage de bande passante sont répartis sur un nombre infini de points du réseaux (nos ordinateurs et téléphones ainsi qu'une multitude de serveurs) dont l'interconnexion et le travail collectif ne dépendent d'aucune autorité centrale. C'est ce qui lui permet d'être si résilient, de voir constamment apparaître de nouvelles structures et de nouveaux usages, dont chacune et chacun peut être l'acteur, et ainsi d'offrir une alternative libre et vivante à notre monde physique, si bordé et normé qu'il est par des organisations aussi centralisées que rigides, incapables de s'adapter et de répondre aux préoccupations de la population.

C'est cet idéal des origines qui a conduit à l'essor d'Internet, pendant que le Minitel français, hyper centralisé, connaissait le cuisant échec dont nous nous réjouissons encore. Et pourtant, sur ce même Internet, nous avons vu apparaître Facebook, Youtube, Instagram ou Twitter, qui ne sont rien d'autre que de nouveaux Minitels (pour une comparaison utile, on peut revoir la conférence « Minitel 2.0 » dans laquelle Benjamin Bayart défendait la neutralité du Net - que nous avons d'ailleurs fini par obtenir, ici encore !) .

Sur ces nouveaux Minitels, nos relations, nos créations et nos débats sont entièrement régulés par des autorités centrales, selon leurs propres critères qui, chaque fois et afin d’accroître leurs recettes publicitaires, distordent entièrement l'espace public. Symptômes chroniques des effets de cette centralisation, celle-ci conduit à la sur-diffusion de vidéo anxiogènes et polémiques (voir notre analyse sur Google), de fakenews et de débats caricaturaux, stériles (voir notre analyse sur les fakenews). À l'opposé, sur des réseaux décentralisés, de tels contenus ne sont pas mis en avant et, surtout, ne nuisent pas à l'ensemble des internautes, puisque ceux-ci choisissent librement avec qui communiquer et selon quelles règles, en fonction du nœud où ils ont choisit de s'installer sur le réseau.

Comment en est-on arrivé à cette hyper-centralisation de l'Internet ? Il suffit de regarder la source des revenus de ces nouveaux Minitels pour comprendre que l'analyse comportementale à des fins publicitaires a été décisive dans leur essor. Or, ce levier économique, la source financière de cette centralisation, on l'a dit, est aujourd'hui obsolète. À court terme, quand le droit sera enfin appliqué, on voit mal comment Facebook, typiquement, pourra continuer de fournir son service « gratuitement » (sans publicité ciblée) et comment il pourra donc survivre. C'est donc le modèle-même de cette centralisation qui est aujourd'hui remis en cause puisque, historiquement, celle-ci n'a été possible qu'au moyen de pratiques qui ne seront plus possibles.

Évidement, on soulignera que le capitalisme, comme toujours, s'adaptera, et que la centralisation trouvera des nouvelles façons de se financer. Mais force est de constater que ces rebondissements tardent ici à se faire connaître alors que nous, en face, avons déjà notre modèle. Jusqu'à nouvel ordre, c'est donc celui qui primera.

Bref, nous avons déjà gagné.

]]>
Tribune de Marne et Arthur, instigateurs de la campagne de plaintes collectives contre les GAFAM

25 mai 2018 - Avant-hier, Emmanuel Macron recevait son homologue Mark Zuckerberg, symbole défait d'un monde dont le glas a sonné ce matin. Sous les traits forcés du dynamisme et de l'innovation, Macron, ne comprenant rien à son époque, fait la cour à des puissances dont le modèle, aussi dépassé qu'illégal, prendra bientôt fin. Les seules structures qui compteront à l'avenir seront les nôtres : celles de l'Internet libre et décentralisé, établies et régulées par le peuple lui-même. C'est la voie qu'a ouvert le RGPD : prenons-la sans détour.

Pour comprendre ce qui commence aujourd'hui avec l'entrée en application du règlement général sur la protection des données (RGPD), repartons d'abord dans le passé... il y a 5 ans, presque jour pour jour.

RGPD, fruit de la plus violente campagne de lobbying américaine

Le 27 mai 2013, La Quadrature du Net publiait son analyse principale en faveur d'un « consentement explicite » dans le RGPD, qui était alors en pleine discussion au Parlement européen. Cette revendication était alors notre combat principal et, aux côtés de nos associations alliées (voir notre campagne Naked Citizens, lancée le 25 avril 2013), nous l'avons gagné.

Ainsi, 5 ans plus tard, depuis ce matin, une entreprise ne peut plus justifier de nous surveiller au motif que nous y aurions « consenti » en oubliant de décocher une case obscure rangée en fin de formulaire ou derrière divers menus (stratégie éculée pour dérober l'accord d'une personne). C'est la victoire du « consentement explicite », c'est ce que continuent de violer Google, Apple ou Amazon, et c'est notamment ce que nous invoquons avec 11 000 autres personnes dans les plaintes collectives que nous déposerons lundi prochain devant la CNIL (et que vous pouvez encore rejoindre).

Avec le recul, ce « consentement explicite », cette arme que nous nous sommes donnés il y a 5 ans, cette victoire, semble irréelle. De l'aveu des parlementaires européens, l'Union européenne n'avait jamais connu de campagne de lobbying aussi intense et brutale que sur le RGPD : c'est toute la Silicon Valley qui descendait dans le Parlement, suivi de sa myriade de syndicats, de groupements, de Think Tanks™ et de serfs européens. Nous avions d'ailleurs recensé les milliers de pages qu'ils envoyaient au Parlement, et le site LobbyPlag les avait analysées pour révéler quels eurodéputés en déposaient et défendaient les propositions. Dans un premier temps, cet effort titanesque de lobbying a largement payé : au 19 mars 2013, chacune des 4 commissions consultatives du Parlement européen avait rendu un avis affaiblissant largement la protection de nos libertés.

Heureusement, le débat a subitement changé de ton lorsque, le 6 juin 2013, Edward Snowden a commencé à révéler les pratiques des renseignements américains. La première de ses révélations publiées, sur le programme PRISM, impliquait directement les mêmes entreprises américaines qui remportaient jusqu'ici le débat européen... Notre victoire doit probablement beaucoup à ces circonstances.

Le 21 octobre 2016, le Parlement européen arrêtait sa première position officielle : les pires de nos inquiétudes en avaient enfin disparues, et nous gagnions sur le consentement explicite. À l'époque, nous regrettions pourtant amèrement les nombreuses failles qui, existantes depuis la première réglementation européenne de 1995, avaient été maintenues dans RGPD (et y sont encore aujourd’hui). Au premier rang d'entre elle : l'« intérêt légitime » (nous y revenons ci-dessous).

Peu de nouveautés

Définitivement signé le 27 avril 2016, le RGPD aura finalement apporté peu de protections nouvelles pour nos libertés. En plus du « consentement explicite » que nous avions réussi à obtenir, les avancées, bien que considérables, sont surtout procédurales : les CNIL pourront prononcer des sanctions à hauteur de 20 millions d'euros ou 4% du chiffre d'affaire mondial de la société visée (la plus haute des deux valeurs est retenue) et, pour les pousser à agir fermement, elles pourront être saisies par des plaintes collectives réunissant des milliers de personnes (c'est ce que nous faisons !).

À côté de ça, tous les grands principes de la protection de données (conditions de licéité, données sensibles, loyautés, etc.) ainsi que la majorité de nos « droits » (d'accéder à nos données, de les rectifier, etc.) ont été repris presque à l'identique de la directive européenne initiale de 1995. Le règlement crée bien aussi un nouveau droit à la portabilité, mais son intérêt pratique reste encore à trouver.

De plus, comme on l'a vu, le RGPD ne s'est pas contenté d'hériter des forces de la directive de 1995, il a aussi hérité de sa faille principale : il autorise toute entreprise à collecter et utiliser des données personnelles si elle y trouve un « intérêt légitime » (un intérêt économique, structurel...) et que la poursuite de cet intérêt ne porte pas une « atteinte disproportionnée » aux intérêts des personnes concernées. Oui, ce « critère » est particulièrement flou et tordu, et c'est hélas bien son but : « pour l'instant, vous avez le droit de faire ce que vous voulez, et on viendra vérifier plus tard, si on a le temps, que vous n'ayez pas trop dépassé les bornes ».

Heureusement, les CNIL européennes (réunies au sein de « groupe de l'article 29 ») ont pris position, dès 2014, pour affirmer que l'analyse comportementale à des fins de ciblage publicitaire ne devraient pas pouvoir constituer un tel « intérêt légitime », et ne devrait donc être autorisée qu'avec notre consentement (voir son avis 06/2014, p. 45). C'est un des arguments que nous opposons notamment à Google dans nos plaintes collectives - car celui-ci ose bel et bien invoquer son « intérêt légitime » pour justifier la surveillance de masse dont il tire sa fortune.

Une arme puissante

Mais alors, si le RGPD apporte si peu de nouveautés, pourquoi y trouverions-nous l'espoir de changements majeurs ? Son principal effet, en vérité, n'est pas tant d'avoir modifié le droit que d'en permettre enfin l'application.

En théorie, depuis longtemps, le droit des données personnelles pourrait être une arme puissante pour nous protéger : l'analyse comportementale n'est possible qu'avec notre consentement (qui doit désormais être explicite) et, surtout, ce consentement doit être libre.

Insistons encore une fois sur la notion de consentement libre, qui est au cœur de nos plaintes collectives. C'est bien là que se trouve le germe du changement à venir : le droit des données personnelles prévoit, depuis plusieurs années (voir dernièrement la décision rendue en France par la CNIL sur Whatsapp, fin 2017) que notre consentement n'est pas valide s'il est une condition pour accéder à un service. Le consentement n'est pas « libre » s'il est donné sous la menace de subir une conséquence négative. Il n'est pas valide s'il est assimilé à la contrepartie d'un contrat, à un prix.

Ce principe est simple à comprendre : céder ses données, c'est renoncer à son droit fondamental à la protection de la vie privée, à la liberté de conscience, à l'intégrité. Or, heureusement, nos principes démocratiques s'opposent à la marchandisation de nos libertés fondamentales (sans quoi la moindre « égalité des droits » ne bénéficierait qu'à ceux pouvant se l'acheter).

Pour résumer, depuis plusieurs années, les modèles économiques de Facebook ou Google n'ont, juridiquement, aucune raison d'exister : ils se financent grâce à une analyse comportementale de masse à des fins publicitaire. Or cette analyse n'est possible qu'avec notre consentement. Nous devrions donc pouvoir accéder à leur service tout en refusant de donner ce consentement : mais si nous avions véritablement cette possibilité, la très grande majorité d'entre nous refuserait cette surveillance.

Leur modèle est illégal et juridiquement absurde depuis longtemps. Le seul problème, en vérité, c'est que personne n'avait le pouvoir, ou la volonté, de les arrêter. C'est cela, et surtout cela, qui a changé ce matin.

Alors que, en France par exemple, jusqu'en 2016, la CNIL ne pouvait prononcer des sanctions qu'à hauteur de 150 000 €, ce qui était inutile contre Google ou Facebook (qui ont d'ailleurs bien été condamnés à payer cette somme), le montant de l'amende pourra désormais atteindre 4 % de leur chiffre d'affaire mondial. Et, au cas où les CNIL manqueraient de la volonté pour ce faire, les plaintes collectives sont maintenant là pour, enfin, rendre la population actrice de ce processus : si les CNIL, saisies par des milliers de personnes sur une même plainte, n'agissent pas, elles perdront toute légitimité.

Nous pouvons enfin oublier notre sentiment de « à quoi bon lutter contre ces géants ? ». Si cette amertume était entièrement justifiée hier, elle ne l'est plus aujourd'hui. Pour eux, la fête est finie. Elle commence pour nous.

Retour à l'Internet des origines

Le RGPD laisse l'espoir de voir enfin le droit protéger nos données contre des géants qui, y trouvant leur fortune, ont entièrement remodelé Internet.

Internet, dans ses principes fondamentaux, repose sur la décentralisation : la puissance de calcul, le stockage et l'usage de bande passante sont répartis sur un nombre infini de points du réseaux (nos ordinateurs et téléphones ainsi qu'une multitude de serveurs) dont l'interconnexion et le travail collectif ne dépendent d'aucune autorité centrale. C'est ce qui lui permet d'être si résilient, de voir constamment apparaître de nouvelles structures et de nouveaux usages, dont chacune et chacun peut être l'acteur, et ainsi d'offrir une alternative libre et vivante à notre monde physique, si bordé et normé qu'il est par des organisations aussi centralisées que rigides, incapables de s'adapter et de répondre aux préoccupations de la population.

C'est cet idéal des origines qui a conduit à l'essor d'Internet, pendant que le Minitel français, hyper centralisé, connaissait le cuisant échec dont nous nous réjouissons encore. Et pourtant, sur ce même Internet, nous avons vu apparaître Facebook, Youtube, Instagram ou Twitter, qui ne sont rien d'autre que de nouveaux Minitels (pour une comparaison utile, on peut revoir la conférence « Minitel 2.0 » dans laquelle Benjamin Bayart défendait la neutralité du Net - que nous avons d'ailleurs fini par obtenir, ici encore !) .

Sur ces nouveaux Minitels, nos relations, nos créations et nos débats sont entièrement régulés par des autorités centrales, selon leurs propres critères qui, chaque fois et afin d’accroître leurs recettes publicitaires, distordent entièrement l'espace public. Symptômes chroniques des effets de cette centralisation, celle-ci conduit à la sur-diffusion de vidéo anxiogènes et polémiques (voir notre analyse sur Google), de fakenews et de débats caricaturaux, stériles (voir notre analyse sur les fakenews). À l'opposé, sur des réseaux décentralisés, de tels contenus ne sont pas mis en avant et, surtout, ne nuisent pas à l'ensemble des internautes, puisque ceux-ci choisissent librement avec qui communiquer et selon quelles règles, en fonction du nœud où ils ont choisit de s'installer sur le réseau.

Comment en est-on arrivé à cette hyper-centralisation de l'Internet ? Il suffit de regarder la source des revenus de ces nouveaux Minitels pour comprendre que l'analyse comportementale à des fins publicitaires a été décisive dans leur essor. Or, ce levier économique, la source financière de cette centralisation, on l'a dit, est aujourd'hui obsolète. À court terme, quand le droit sera enfin appliqué, on voit mal comment Facebook, typiquement, pourra continuer de fournir son service « gratuitement » (sans publicité ciblée) et comment il pourra donc survivre. C'est donc le modèle-même de cette centralisation qui est aujourd'hui remis en cause puisque, historiquement, celle-ci n'a été possible qu'au moyen de pratiques qui ne seront plus possibles.

Évidement, on soulignera que le capitalisme, comme toujours, s'adaptera, et que la centralisation trouvera des nouvelles façons de se financer. Mais force est de constater que ces rebondissements tardent ici à se faire connaître alors que nous, en face, avons déjà notre modèle. Jusqu'à nouvel ordre, c'est donc celui qui primera.

Bref, nous avons déjà gagné.

]]>
Écrivons ensemble les plaintes contre les GAFAM10520 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180521_160910_Ecrivons_ensemble_les_plaintes_contre_les_GAFAMMon, 21 May 2018 14:09:10 +000021 mai 2018 — Depuis plus d'un mois, nous vous invitons à rejoindre les 12 plaintes collectives contre les services des GAFAM. Aujourd'hui, nous vous proposons de rédiger ces plaintes avec nous. Pour laisser le temps aux retardataires de nous rejoindre, nous déposerons la plainte le lundi suivant l'entrée en application du RGPD : le 28 mai.

Ecrivons tous la plainte
Les plaintes se concentrent volontairement sur une poignée d'arguments ciblés autour des notions de consentement et de surveillance économique. Le projet de plainte que nous publions aujourd'hui reflète ce cadrage : les arguments sont précis et assez courts. De quoi inciter à participer celles et ceux pour qui les rouages juridiques aussi complexes que rigolos ne sont pas un passe-temps relaxant !

Que vous passiez relire l'orthographe et la grammaire, que vous proposiez des reformulations de style ou bien carrément de nouvelles sources ou arguments juridiques, votre participation sera la bienvenue ! Votre participation sera aussi une occasion de plus de rendre ces plaintes pleinement « collectives », d'un bout à l'autre !

Venez sur notre pad de rédaction des plaintes.

Merci de faire tout ça avec nous ! <3

]]>
21 mai 2018 — Depuis plus d'un mois, nous vous invitons à rejoindre les 12 plaintes collectives contre les services des GAFAM. Aujourd'hui, nous vous proposons de rédiger ces plaintes avec nous. Pour laisser le temps aux retardataires de nous rejoindre, nous déposerons la plainte le lundi suivant l'entrée en application du RGPD : le 28 mai.

Ecrivons tous la plainte
Les plaintes se concentrent volontairement sur une poignée d'arguments ciblés autour des notions de consentement et de surveillance économique. Le projet de plainte que nous publions aujourd'hui reflète ce cadrage : les arguments sont précis et assez courts. De quoi inciter à participer celles et ceux pour qui les rouages juridiques aussi complexes que rigolos ne sont pas un passe-temps relaxant !

Que vous passiez relire l'orthographe et la grammaire, que vous proposiez des reformulations de style ou bien carrément de nouvelles sources ou arguments juridiques, votre participation sera la bienvenue ! Votre participation sera aussi une occasion de plus de rendre ces plaintes pleinement « collectives », d'un bout à l'autre !

Venez sur notre pad de rédaction des plaintes.

Merci de faire tout ça avec nous ! <3

]]>
Derrière les assistants vocaux, des humains vous entendent10510 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180518_163817_Derriere_les_assistants_vocaux__des_humains_vous_entendentFri, 18 May 2018 14:38:17 +000018 mai 2018 - Cette semaine, nous sommes allés à la rencontre de Julie, qui a travaillé pour une entreprise chargée d' « améliorer » le fonctionnement de Cortana, l’assistant vocal de Microsoft, en écoutant une à une diverses paroles captées par la machine (volontairement ou non).

Nous partageons ici son témoignage édifiant, en vidéo ainsi qu'à l'écrit (en fin d'article).

Comme nous le rappelle Antonio Casilli ci-dessous, ce récit souligne exactement les pratiques très « humaines » que l'on retrouve en masse sous les miroirs trompeurs d'une soi-disant « intelligence artificielle ».

Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

Les humains derrière Cortana, par Antonio Casilli

Antonio Casilli, membre de La Quadrature du Net, est maître de conférences en Digital Humanities à Telecom ParisTech et chercheur associé en sociologie au Centre Edgar-Morin, Ecole des Hautes Etudes en Sciences Sociales, Paris. Voir son site.

Qui écoute vos conversations quand vous utilisez un assistant vocal comme Cortana ? Qui regarde vos requêtes quand vous utilisez un moteur de recherche comme Bing ? « Personne », vous assurent les concepteurs de ces dispositifs, « ce sont des machines ». La réalité est toute autre, comme l'atteste ce témoignage : une jeune femme qui, sans contrat de travail et sans aucun accord de confidentialité, a retranscrit des milliers de conversations privées, recherches d'information, noms et coordonnées personnelles de personnes utilisant des produits Microsoft.

Son métier ? Dresseuse d'IA.

Malgré les allégations de leurs producteurs, les assistants virtuels qui équipent les enceintes connectées trônant dans nos salles à manger ou qui se nichent jusque dans nos poches, installés sur nos smartphones, ne naissent pas intelligents. Ils doivent apprendre à interpréter les requêtes et les habitudes de leurs utilisateurs.

Cet apprentissage est aidé par des êtres humains, qui vérifient la pertinence des réponses des assistants virtuels aux questions de leurs propriétaires. Mais plus souvent encore, ces êtres humains « entraînent » les dispositifs, en leurs fournissant des données déjà préparées, des requêtes avec des réponses toutes faites (ex. « Quelle est la météo aujourd'hui ? » : « Il fait 23 degrés » ou « Il pleut »), des phrases auxquelles ils fournissent des interprétations (ex. savoir dans quel contexte « la flotte » signifie « un ensemble de navires » ou « la pluie »).

Ces dresseurs d'intelligences artificielles sont parfois des télétravailleurs payés à l'heure par des entreprises spécialisées. Dans d'autres cas, ils sont des « travailleurs à la pièce » recrutés sur des services web que l'on appelle des plateformes de micro-travail.

Celle de Microsoft s'appelle UHRS et propose des rémunérations de 3, 2, voire même 1 centime de dollar par micro-tâche (retranscrire un mot, labelliser une image…). Parfois les personnes qui trient vos requêtes, regardent vos photos, écoutent vos propos sont situés dans votre pays, voire dans votre ville (peut-être vos voisins d'en bas ?). D'autres fois, ils sont des travailleurs précaires de pays francophones, comme la Tunisie, le Maroc ou Madagascar (qui s'est dernièrement imposé comme « leader français de l'intelligence artificielle »).

Les logiciels à activation vocale tels Cortana, Siri ou Alexa sont des agents conversationnels qui possèdent une forte composante de travail non-artificiel. Cette implication humaine introduit des risques sociétaux spécifiques. La confidentialité des données personnelles utilisées pour entraîner les solutions intelligentes est à risque. Ces IA présupposent le transfert de quantités importantes de données à caractère personnel et existent dans une zone grise légale et éthique.

Dans la mesure où les usagers des services numériques ignorent la présence d'êtres humains dans les coulisses de l'IA, ils sous-estiment les risques qui pèsent sur leur vie privée. Il est urgent de répertorier les atteintes à la privacy et à la confidentialité associées à cette forme de « digital labor », afin d'en estimer la portée pour informer, sensibiliser, et mieux protéger les personnes les plus exposées.

Témoignage complet de Julie

J'ai travaillé comme transcripteuse ('transcriber') pour améliorer la qualité de la version française de Cortana, "votre assistante personnelle virtuelle" proposée par Microsoft. Je travaillais en télétravail pour une entreprise chinoise qui avait Microsoft pour client. J'ai commencé en Avril 2017 et arrêté en Décembre 2017.

J'ai pu constater directement le type de données que Microsoft collecte via son petit monstre Cortana, car les données audio qu'elle collectait passaient entre nos mains (et nos oreilles !) pour analyse et correction.

Microsoft, voulant améliorer les capacités de compréhension de Cortana, collectait les données des utilisateurs 'consentants'. Donc, quand ces utilisateurs s'adressaient à Cortana, celle-ci collectait, enregistrait ce qu'ils disaient. Ensuite, Microsoft récupérait tout ça, envoyait une partie des enregistrements à la compagnie pour laquelle je travaillais, et celle-ci mettait le tout sur notre plate-forme de télétravail.

Les transcripteurs se connectaient, et écoutaient un par un les enregistrements. Les pistes étaient généralement très courtes, entre 3 et 15 secondes en moyenne (mais pouvaient parfois durer plusieurs minutes). En fonction des projets sur lesquels on travaillait, on devait réaliser entre 120 et 170 transcriptions/heure. Plusieurs milliers de pistes étaient déposées quotidiennement sur notre plate-forme.

On écoutait l'enregistrement audio, ensuite un texte s'affichait, nous montrant ce que Cortana avait compris et retranscrit. Notre travail était de vérifier si elle avait bien compris - si ce n'était pas le cas, on devait corriger le texte, la moindre faute de compréhension, de conjugaison ou d'orthographe. Une autre partie du travail consistait à ajouter des tags dans le texte signalant les événements sonores qui pourraient expliquer pourquoi Cortana avait mal compris ceci ou mieux compris cela.

Je n'ai pas le détail de la suite du processus, mais j'imagine qu'ensuite, les données que nous corrigions étaient envoyées à une équipe de techniciens, programmeurs et autres génies de l'informatique qui s'occupaient de faire comprendre à Cortana comment ne pas répéter les mêmes erreurs.

Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels

Les données qu'on écoutait allaient d'Utilisateur A qui dit simplement "Hey Cortana, quelle sera la météo demain?" à Utilisateur B qui demande en chuchotant à Cortana de lui trouver des vidéos porno de telle ou telle catégorie...

Il y avait leurs recherches internet, leurs interactions directes avec Cortana ("Hey Cortana, raconte-moi une blague", "imite la poule", "est-ce que tu m'aimes?", "est-ce que tu ressens la douleur?"…). Les utilisateurs peuvent aussi dicter du texte : messages, documents texte (résumés de cours, comptes-rendus professionnels...), adresses GPS, courriers administratifs (avec par exemple leur numéro de sécurité sociale), etc. ; nous avions accès à tout ça.

Elle peut être connectée à des consoles Xbox, on avait donc aussi des enregistrements provenant de ce service-là. Il y avait notamment des morceaux de communication en ligne (principalement d'ados et d'enfants) qui discutent sur les jeux en réseaux.

On avait également de nombreux extraits de conversations en ligne, sûrement sur Skype, provenant de personnes qui utilisaient un service de traduction instantanée (Microsoft Translator mais peut-être aussi Skype Translator, je ne suis pas certaine).

Nous n'avions jamais l'intégralité des conversations évidemment, elles étaient découpées en petites pistes ; cependant on pouvait tomber sur plusieurs morceaux d'une même conversation dans une même série de transcriptions (c'était suffisant pour dresser un profil basique de l'utilisateur ou de son humeur du moment par exemple).

On avait des conversations diverses, vraiment toutes sortes de choses, notamment souvent les séances sexcams de certains utilisateurs qui avaient besoin d'un service de traduction pour se faire comprendre, et dans ces cas-là les transcriptions étaient très explicites (parfois amusantes, parfois glauques). Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels. Cortana ne fait pas le tri...

Enfin, il y avait beaucoup d'enregistrements involontaires, où des personnes discutent entre elles (dans leur voiture, à la maison, avec leurs enfants sur le chemin de l'école...) tandis que Cortana est dans les parages (tablette, téléphone portable, ordinateur, etc.) et s'est déclenchée de manière non-sollicitée et a tout enregistré.

(D'ailleurs, on avait aussi beaucoup d'utilisateurs qui insultaient tout simplement Cortana, car elle s'était déclenchée de façon non-sollicitée, ou avait mal compris une requête... Vous n'imaginez pas le nombre de fois où j'ai entendu "Sale pute Cortana !" )

On avait ainsi accès à énormément de données personnelles, que ce soit des bribes de conversations privées en ligne ou bien hors ligne.

N'importe qui pouvait être engagé

Pour pouvoir être embauché (ils recrutaient en grand nombre), il fallait s'inscrire sur le site de l'entreprise, postuler puis suivre une formation en ligne conclue par un examen final. Si on avait un pourcentage de réussite satisfaisant, on était engagé. Auquel cas, le manager nous faisait créer un compte sur le site internet de télétravail (une plate-forme externe, utilisée par plusieurs compagnies comme celle qui m'avait engagée), et le travail commençait.

Il n'y avait pas besoin d'envoyer son CV, ni aucun entretien individuel avec un responsable ou un manager (ni par téléphone, ni par Skype, ni e-mail, rien). N'importe qui pouvait être engagé et avoir accès aux enregistrements du moment qu'ils en avaient les compétences techniques, que l'examen final avait été réussi. Pourtant, nous avions accès à des informations sensibles et personnelles.

Beaucoup de personnes ignorent ou oublient que les données collectées par Cortana (et autres outils du genre) ne sont pas uniquement traitées par des robots, mais bien aussi par des êtres-humains.

En m'inscrivant sur le site de l'entreprise, j'ai accepté ses conditions d'utilisations en cochant machinalement des petites cases, celles-ci parlaient d'une multitudes de choses, mais à ce que je me souviens il n'y avait pas d'emphase spéciale sur le respect de la vie privée des utilisateurs de nos clients. Et à aucun moment j'ai signé de ma main un contrat de confidentialité.

Ils m'ont pourtant bien demandé de signer et renvoyer un document relatif aux taxes et impôts ; ils auraient pu en faire autant pour le respect de la confidentialité.

Et sur plus d'une cinquantaine de pages d'instructions détaillées sur comment traiter les transcriptions, pas une seule ligne ne mentionnait le respect de la vie privée des utilisateurs. Pas un seul des nombreux e-mails du manager que nous recevions chaque semaine, rien n'a jamais été dédié au respect de la vie privée (en ligne et hors ligne) des utilisateurs.

Et ce dont je parle ici ne concerne pas uniquement les utilisateurs français de Cortana, il y avait des équipes de transcripteurs pour une multitudes de langues (anglais, portugais, espagnol, etc.). On avait le même manager et les mêmes instructions générales.

En théorie, les données étaient anonymes pour les transcripteurs, c'est-à-dire que nous n'avions jamais les identifiants des utilisateurs que nous écoutions, et les pistes étaient généralement distribuées de façon aléatoire et désordonnée, en plus d'être parfois découpées. Cependant, inévitablement il arrivait que les utilisateurs révèlent un numéro de téléphone, une adresse, des coordonnées, date de naissance, numéros importants, événements auxquels ils allaient se rendre, etc.

Certaines voix se reconnaissent facilement, et bien que les pistes étaient aléatoires et dans le désordre, mises bout à bout elles auraient dans quelques cas pu suffire à un transcripteur déterminé pour identifier un utilisateur. De plus, on travaillait tous depuis nos propres ordinateurs, il était donc facile de récupérer les enregistrements qu'on traitait si on le voulait.

Selon moi, ce n'était pas bien sécurisé, surtout quand on considère le fait qu'on avait aussi beaucoup d'enregistrements provenant d'enfants. Mais il faut comprendre que ce genre de traitement de données est de toute façon impossible à sécuriser entièrement (encore moins quand on sous-traite), car des données récoltées massivement ne peuvent pas être triées parfaitement, des informations sensibles passeront toujours.

Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti

Enfin, j'aimerais parler du fait qu'il me semble évident que la plupart des logiciels de reconnaissance vocale et assistants virtuels doivent se construire comme Cortana, donc il est important que les gens mesurent ce qu'utiliser de tels logiciels implique (ce que j'ai décrit n'est assurément pas juste typique à Microsoft).

Avec l'affluence des nouveaux ''assistants personnels virtuels'', le champs des possibles pour la collecte de données s'est développé de manière fulgurante.
Le modèle de Microsoft (et les autres GAFAM) n'est pas basé sur le respect de la vie privée et la non-intrusion, c'est le contraire.

Les outils comme Cortana sont hautement intrusifs et ont accès à une liste impressionnante de données personnelles, qu'ils exploitent et développent simultanément.

La collecte de données qu'ils peuvent permettre peut être utilisée à votre insu, détournée, utilisée contre votre gré, tombée entre de mauvaises mains, être exploitée à des fins auxquelles vous n'avez jamais consciemment donné votre accord…

Personnaliser les paramètres de confidentialité de services de ce genre requiert parfois des compétences en informatique qui dépassent l'utilisateur amateur, et des écrans de fumée font oublier que vous sacrifiez et marchandez votre vie privée à l'aide de formules comme "personnalisation du contenu", "optimisation des résultats", "amélioration de votre expérience et de nos services".

Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti.

Merci beaucoup à Julie pour son témoignage !

Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

]]>
18 mai 2018 - Cette semaine, nous sommes allés à la rencontre de Julie, qui a travaillé pour une entreprise chargée d' « améliorer » le fonctionnement de Cortana, l’assistant vocal de Microsoft, en écoutant une à une diverses paroles captées par la machine (volontairement ou non).

Nous partageons ici son témoignage édifiant, en vidéo ainsi qu'à l'écrit (en fin d'article).

Comme nous le rappelle Antonio Casilli ci-dessous, ce récit souligne exactement les pratiques très « humaines » que l'on retrouve en masse sous les miroirs trompeurs d'une soi-disant « intelligence artificielle ».

Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

Les humains derrière Cortana, par Antonio Casilli

Antonio Casilli, membre de La Quadrature du Net, est maître de conférences en Digital Humanities à Telecom ParisTech et chercheur associé en sociologie au Centre Edgar-Morin, Ecole des Hautes Etudes en Sciences Sociales, Paris. Voir son site.

Qui écoute vos conversations quand vous utilisez un assistant vocal comme Cortana ? Qui regarde vos requêtes quand vous utilisez un moteur de recherche comme Bing ? « Personne », vous assurent les concepteurs de ces dispositifs, « ce sont des machines ». La réalité est toute autre, comme l'atteste ce témoignage : une jeune femme qui, sans contrat de travail et sans aucun accord de confidentialité, a retranscrit des milliers de conversations privées, recherches d'information, noms et coordonnées personnelles de personnes utilisant des produits Microsoft.

Son métier ? Dresseuse d'IA.

Malgré les allégations de leurs producteurs, les assistants virtuels qui équipent les enceintes connectées trônant dans nos salles à manger ou qui se nichent jusque dans nos poches, installés sur nos smartphones, ne naissent pas intelligents. Ils doivent apprendre à interpréter les requêtes et les habitudes de leurs utilisateurs.

Cet apprentissage est aidé par des êtres humains, qui vérifient la pertinence des réponses des assistants virtuels aux questions de leurs propriétaires. Mais plus souvent encore, ces êtres humains « entraînent » les dispositifs, en leurs fournissant des données déjà préparées, des requêtes avec des réponses toutes faites (ex. « Quelle est la météo aujourd'hui ? » : « Il fait 23 degrés » ou « Il pleut »), des phrases auxquelles ils fournissent des interprétations (ex. savoir dans quel contexte « la flotte » signifie « un ensemble de navires » ou « la pluie »).

Ces dresseurs d'intelligences artificielles sont parfois des télétravailleurs payés à l'heure par des entreprises spécialisées. Dans d'autres cas, ils sont des « travailleurs à la pièce » recrutés sur des services web que l'on appelle des plateformes de micro-travail.

Celle de Microsoft s'appelle UHRS et propose des rémunérations de 3, 2, voire même 1 centime de dollar par micro-tâche (retranscrire un mot, labelliser une image…). Parfois les personnes qui trient vos requêtes, regardent vos photos, écoutent vos propos sont situés dans votre pays, voire dans votre ville (peut-être vos voisins d'en bas ?). D'autres fois, ils sont des travailleurs précaires de pays francophones, comme la Tunisie, le Maroc ou Madagascar (qui s'est dernièrement imposé comme « leader français de l'intelligence artificielle »).

Les logiciels à activation vocale tels Cortana, Siri ou Alexa sont des agents conversationnels qui possèdent une forte composante de travail non-artificiel. Cette implication humaine introduit des risques sociétaux spécifiques. La confidentialité des données personnelles utilisées pour entraîner les solutions intelligentes est à risque. Ces IA présupposent le transfert de quantités importantes de données à caractère personnel et existent dans une zone grise légale et éthique.

Dans la mesure où les usagers des services numériques ignorent la présence d'êtres humains dans les coulisses de l'IA, ils sous-estiment les risques qui pèsent sur leur vie privée. Il est urgent de répertorier les atteintes à la privacy et à la confidentialité associées à cette forme de « digital labor », afin d'en estimer la portée pour informer, sensibiliser, et mieux protéger les personnes les plus exposées.

Témoignage complet de Julie

J'ai travaillé comme transcripteuse ('transcriber') pour améliorer la qualité de la version française de Cortana, "votre assistante personnelle virtuelle" proposée par Microsoft. Je travaillais en télétravail pour une entreprise chinoise qui avait Microsoft pour client. J'ai commencé en Avril 2017 et arrêté en Décembre 2017.

J'ai pu constater directement le type de données que Microsoft collecte via son petit monstre Cortana, car les données audio qu'elle collectait passaient entre nos mains (et nos oreilles !) pour analyse et correction.

Microsoft, voulant améliorer les capacités de compréhension de Cortana, collectait les données des utilisateurs 'consentants'. Donc, quand ces utilisateurs s'adressaient à Cortana, celle-ci collectait, enregistrait ce qu'ils disaient. Ensuite, Microsoft récupérait tout ça, envoyait une partie des enregistrements à la compagnie pour laquelle je travaillais, et celle-ci mettait le tout sur notre plate-forme de télétravail.

Les transcripteurs se connectaient, et écoutaient un par un les enregistrements. Les pistes étaient généralement très courtes, entre 3 et 15 secondes en moyenne (mais pouvaient parfois durer plusieurs minutes). En fonction des projets sur lesquels on travaillait, on devait réaliser entre 120 et 170 transcriptions/heure. Plusieurs milliers de pistes étaient déposées quotidiennement sur notre plate-forme.

On écoutait l'enregistrement audio, ensuite un texte s'affichait, nous montrant ce que Cortana avait compris et retranscrit. Notre travail était de vérifier si elle avait bien compris - si ce n'était pas le cas, on devait corriger le texte, la moindre faute de compréhension, de conjugaison ou d'orthographe. Une autre partie du travail consistait à ajouter des tags dans le texte signalant les événements sonores qui pourraient expliquer pourquoi Cortana avait mal compris ceci ou mieux compris cela.

Je n'ai pas le détail de la suite du processus, mais j'imagine qu'ensuite, les données que nous corrigions étaient envoyées à une équipe de techniciens, programmeurs et autres génies de l'informatique qui s'occupaient de faire comprendre à Cortana comment ne pas répéter les mêmes erreurs.

Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels

Les données qu'on écoutait allaient d'Utilisateur A qui dit simplement "Hey Cortana, quelle sera la météo demain?" à Utilisateur B qui demande en chuchotant à Cortana de lui trouver des vidéos porno de telle ou telle catégorie...

Il y avait leurs recherches internet, leurs interactions directes avec Cortana ("Hey Cortana, raconte-moi une blague", "imite la poule", "est-ce que tu m'aimes?", "est-ce que tu ressens la douleur?"…). Les utilisateurs peuvent aussi dicter du texte : messages, documents texte (résumés de cours, comptes-rendus professionnels...), adresses GPS, courriers administratifs (avec par exemple leur numéro de sécurité sociale), etc. ; nous avions accès à tout ça.

Elle peut être connectée à des consoles Xbox, on avait donc aussi des enregistrements provenant de ce service-là. Il y avait notamment des morceaux de communication en ligne (principalement d'ados et d'enfants) qui discutent sur les jeux en réseaux.

On avait également de nombreux extraits de conversations en ligne, sûrement sur Skype, provenant de personnes qui utilisaient un service de traduction instantanée (Microsoft Translator mais peut-être aussi Skype Translator, je ne suis pas certaine).

Nous n'avions jamais l'intégralité des conversations évidemment, elles étaient découpées en petites pistes ; cependant on pouvait tomber sur plusieurs morceaux d'une même conversation dans une même série de transcriptions (c'était suffisant pour dresser un profil basique de l'utilisateur ou de son humeur du moment par exemple).

On avait des conversations diverses, vraiment toutes sortes de choses, notamment souvent les séances sexcams de certains utilisateurs qui avaient besoin d'un service de traduction pour se faire comprendre, et dans ces cas-là les transcriptions étaient très explicites (parfois amusantes, parfois glauques). Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels. Cortana ne fait pas le tri...

Enfin, il y avait beaucoup d'enregistrements involontaires, où des personnes discutent entre elles (dans leur voiture, à la maison, avec leurs enfants sur le chemin de l'école...) tandis que Cortana est dans les parages (tablette, téléphone portable, ordinateur, etc.) et s'est déclenchée de manière non-sollicitée et a tout enregistré.

(D'ailleurs, on avait aussi beaucoup d'utilisateurs qui insultaient tout simplement Cortana, car elle s'était déclenchée de façon non-sollicitée, ou avait mal compris une requête... Vous n'imaginez pas le nombre de fois où j'ai entendu "Sale pute Cortana !" )

On avait ainsi accès à énormément de données personnelles, que ce soit des bribes de conversations privées en ligne ou bien hors ligne.

N'importe qui pouvait être engagé

Pour pouvoir être embauché (ils recrutaient en grand nombre), il fallait s'inscrire sur le site de l'entreprise, postuler puis suivre une formation en ligne conclue par un examen final. Si on avait un pourcentage de réussite satisfaisant, on était engagé. Auquel cas, le manager nous faisait créer un compte sur le site internet de télétravail (une plate-forme externe, utilisée par plusieurs compagnies comme celle qui m'avait engagée), et le travail commençait.

Il n'y avait pas besoin d'envoyer son CV, ni aucun entretien individuel avec un responsable ou un manager (ni par téléphone, ni par Skype, ni e-mail, rien). N'importe qui pouvait être engagé et avoir accès aux enregistrements du moment qu'ils en avaient les compétences techniques, que l'examen final avait été réussi. Pourtant, nous avions accès à des informations sensibles et personnelles.

Beaucoup de personnes ignorent ou oublient que les données collectées par Cortana (et autres outils du genre) ne sont pas uniquement traitées par des robots, mais bien aussi par des êtres-humains.

En m'inscrivant sur le site de l'entreprise, j'ai accepté ses conditions d'utilisations en cochant machinalement des petites cases, celles-ci parlaient d'une multitudes de choses, mais à ce que je me souviens il n'y avait pas d'emphase spéciale sur le respect de la vie privée des utilisateurs de nos clients. Et à aucun moment j'ai signé de ma main un contrat de confidentialité.

Ils m'ont pourtant bien demandé de signer et renvoyer un document relatif aux taxes et impôts ; ils auraient pu en faire autant pour le respect de la confidentialité.

Et sur plus d'une cinquantaine de pages d'instructions détaillées sur comment traiter les transcriptions, pas une seule ligne ne mentionnait le respect de la vie privée des utilisateurs. Pas un seul des nombreux e-mails du manager que nous recevions chaque semaine, rien n'a jamais été dédié au respect de la vie privée (en ligne et hors ligne) des utilisateurs.

Et ce dont je parle ici ne concerne pas uniquement les utilisateurs français de Cortana, il y avait des équipes de transcripteurs pour une multitudes de langues (anglais, portugais, espagnol, etc.). On avait le même manager et les mêmes instructions générales.

En théorie, les données étaient anonymes pour les transcripteurs, c'est-à-dire que nous n'avions jamais les identifiants des utilisateurs que nous écoutions, et les pistes étaient généralement distribuées de façon aléatoire et désordonnée, en plus d'être parfois découpées. Cependant, inévitablement il arrivait que les utilisateurs révèlent un numéro de téléphone, une adresse, des coordonnées, date de naissance, numéros importants, événements auxquels ils allaient se rendre, etc.

Certaines voix se reconnaissent facilement, et bien que les pistes étaient aléatoires et dans le désordre, mises bout à bout elles auraient dans quelques cas pu suffire à un transcripteur déterminé pour identifier un utilisateur. De plus, on travaillait tous depuis nos propres ordinateurs, il était donc facile de récupérer les enregistrements qu'on traitait si on le voulait.

Selon moi, ce n'était pas bien sécurisé, surtout quand on considère le fait qu'on avait aussi beaucoup d'enregistrements provenant d'enfants. Mais il faut comprendre que ce genre de traitement de données est de toute façon impossible à sécuriser entièrement (encore moins quand on sous-traite), car des données récoltées massivement ne peuvent pas être triées parfaitement, des informations sensibles passeront toujours.

Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti

Enfin, j'aimerais parler du fait qu'il me semble évident que la plupart des logiciels de reconnaissance vocale et assistants virtuels doivent se construire comme Cortana, donc il est important que les gens mesurent ce qu'utiliser de tels logiciels implique (ce que j'ai décrit n'est assurément pas juste typique à Microsoft).

Avec l'affluence des nouveaux ''assistants personnels virtuels'', le champs des possibles pour la collecte de données s'est développé de manière fulgurante.
Le modèle de Microsoft (et les autres GAFAM) n'est pas basé sur le respect de la vie privée et la non-intrusion, c'est le contraire.

Les outils comme Cortana sont hautement intrusifs et ont accès à une liste impressionnante de données personnelles, qu'ils exploitent et développent simultanément.

La collecte de données qu'ils peuvent permettre peut être utilisée à votre insu, détournée, utilisée contre votre gré, tombée entre de mauvaises mains, être exploitée à des fins auxquelles vous n'avez jamais consciemment donné votre accord…

Personnaliser les paramètres de confidentialité de services de ce genre requiert parfois des compétences en informatique qui dépassent l'utilisateur amateur, et des écrans de fumée font oublier que vous sacrifiez et marchandez votre vie privée à l'aide de formules comme "personnalisation du contenu", "optimisation des résultats", "amélioration de votre expérience et de nos services".

Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti.

Merci beaucoup à Julie pour son témoignage !

Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

]]>
Newsletter #7810509 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180517_190755_Newsletter__78Thu, 17 May 2018 17:07:55 +0000Salut à toutes et à tous !

Voici la newsletter 78 de La Quadrature du Net !

Sommaire

L'activité de La Quadrature du Net

Newsletter, le retour

La newsletter de La Quadrature est enfin de retour !
Pourquoi un tel silence ? L'équipe des salariés de l'association a connu une recomposition importante, après le départ de Chris et d'Adrienne à la fin de l'été 2017. Il a fallu redistribuer les rôles, prendre ses marques en tâtonnant un peu. Et puis l'automne et l'hiver ont été chargés, entre la campagne de dons (un grand merci pour votre soutien renouvelé pour une année !), l'organisation du CCC (https://www.ccc.de/en/) - nouvellement installé à Leipzig - et une actualité politique animée - grâce aux diverses lois imaginées par le gouvernement Macron et à notre nouvelle campagne pour la protection des données personnelles.
Cette newsletter présente donc l'essentiel de l'actualité de ces trois derniers mois (janvier-mars 2018), pour ceux qui nous suivent de loin. Si vous cherchez des infos plus détaillées et surtout plus fréquentes sur nos actions, le bulletin QPSTAG (Que se passe-t-il au Garage ?) est diffusé chaque semaine sur la liste discussion@laquadrature.net.
Inscrivez-vous aux listes de diffusion ici : https://wiki.laquadrature.net/Listes_de_discussion

Nouveaux membres

Le 12 mars dernier, nous avons annoncé l'arrivée de nouveaux membres au sein de l'association, avec deux objectifs : acter l'engagement de bénévoles parmi les plus proches et les plus impliqués, et ouvrir l'espace de réflexion de l'association en accueillant des compétences et des sensibilités plus diverses. La première AG de ce nouveau groupe de travail a eu lieu pendant le week-end de Pâques, du samedi 31 mars au lundi 2 avril.
Une annonce à lire ici : https://www.laquadrature.net/fr/ouverture_nouveaux_membres

Campagne de dons 2017-2018

Merci beaucoup ! Grâce à vous, nous avons rassemblé assez d'argent pour faire fonctionner l'association jusqu'à la fin de 2018. Le bilan est en ligne sur notre site. Rendez-vous à la fin de l'année pour tenter de prolonger l'action une année encore !
Le bilan de campagne à lire ici :https://www.laquadrature.net/fr/bilan_campagne_dons_2017

Données personnelles sur tous les fronts

C'est le gros sujet de ce début d'année !
Entre l'entrée en application du RGPD à partir du 25 mai, la discussion autour du projet de loi sur les données personnelles, et l'affaire Cambridge Analytica qui met à jour le modèle économique de Facebook et d'innombrables autres sociétés du web, le problème de l'exploitation illégale de nos données personnelles a connu en ce début d'année un gros regain d'intérêt dans les médias. La Quadrature du Net a participé au débat à chaque fois qu'elle en a eu l'occasion.

Données personnelles : le projet de loi

Mi-mars, le projet de loi données personnelles était au Sénat. La commission en charge du dossier a refusé d'amender le texte pour encadrer les activités des services de renseignement, malgré les obligations édictées par la directive européenne. La Quadrature du Net a donc rédigé des amendements et invité les sénateurs et sénatrices de tous bords à les soutenir. Notre appel a été entendu, et nos amendements les plus importants ont été déposés et soutenus. Un seul a été accepté, concernant le chiffrement.
Début avril, après le vote du projet de loi au Sénat, est arrivée l'heure de la commission mixte paritaire, chargée de trouver un accord entre les deux textes votés à l'Assemblée nationale et au Sénat. À la veille de ce moment important, l'Observatoire des Libertés et du Numérique (OLN), dont fait partie La Quadrature du Net, a publié une lettre adressée aux parlementaires. Elle réaffirmait les points cruciaux à nos yeux, comme le droit au chiffrement et à la portabilité des données.
La commission mixte paritaire s'est finalement séparée sans arriver à un accord. Le texte repart donc pour une nouvelle navette entre les deux chambres.
Invitation à soutenir nos amendements au Sénat : https://www.laquadrature.net/fr/pjl_rgpd_senat_com
Nos amendements (PDF) : https://www.laquadrature.net/files/amendements_lqdn_pjl_rgpd_27_02_2018.pdf
Lettre ouverte de l'OLN aux membres de la CMP : https://www.laquadrature.net/fr/cmp_pjl_rgpd

Action de groupe contre les GAFAM

Le RGPD entre en application le 25 mai, mais nous avons des doutes sur le fait qu'il soit bien appliqué comme il se doit. Est-ce que des entreprises comme Facebook ont vraiment l'intention de cesser cette surveillance de masse dont elles tirent tous leurs profits ? On en doutait alors on a pris les devants. Le 16 avril, on a lancé une campagne visant à récolter un maximum de mandats pour mener UNE ACTION DE GROUPE CONTRE LES GAFAM !!! La CNIL pourra, à partir du 24 mai, sanctionner à hauteur de 4% du chiffre d'affaires mondial mais si on veut qu'elle agisse il faut qu'on soit nombreux à rejoindre l'action de groupe.
Rejoignez l'action : gafam.laquadrature.net !!!!
Sur le site vous trouverez chaque semaine une vidéo expliquant pourquoi on attaque chacun des GAFAM et un texte d'analyse lié.
Vous pouvez aussi créer et partager vos affiches ici : https://gafam.laquadrature.net/#poster
Rejoignez-nous dans notre action (pour rappel, les particuliers donnant mandat à La Quadrature dans le cadre de cette action de groupe ne prennent aucun risque personnel, que ce soit sur un plan juridique ou financier) et faites circuler l'information autour de vous !

Données personnelles : ePrivacy

Certaines dispositions du RGPD, protectrices pour les utilisateurs, gênent beaucoup les entreprises privées qui prospèrent actuellement sur l'exploitation de nos données personnelles. Certaines d'entre elles (publicitaires et groupes de presse en tête) ont donc écrit au gouvernement français (PDF) pour le supplier de réintroduire dans le règlement ePrivacy (toujours en discussion) des dispositions qui leur permettraient de continuer leur juteux business. « L’économie de la donnée est un pilier de la croissance, de la création d’emplois et du progrès » : le gouvernement de la « Start-up Nation » n'a pas dû être très difficile à convaincre avec de telles phrases. La Quadrature adresse à son tour une lettre ouverte aux ministres.
Un lettre ouverte à lire ici : https://www.laquadrature.net/fr/eprivacy_marchandisation

Surveillance : Marseille, ville laboratoire

La mairie de Marseille veut déployer un « observatoire Big Data de la tranquillité publique », confié à une entreprise privée : ce grand fourre-tout sécuritaire agrègera des informations venues des services de police, des pompiers, de la justice, de la sécurité routière, de la vidéosurveillance urbaine, des hôpitaux et même de la météo pour prédire les zones d'espace et de temps où des faits de délinquances sont susceptibles d'avoir lieu. Les habitants seront aussi invités à alimenter la base de données, à l'aide d'une application mobile, dans le genre de celle que lance de son côté la ville de Nice (Reporty).
Félix Tréguer, président de La Quadrature du Net et habitant de Marseille, a exercé le droit d'accès aux documents administratifs que détient chaque citoyen pour obtenir le Cahier des Clauses Techniques Particulières qui décrit le objectifs et les moyens du dispositif.
Il livre son analyse.
Une tribune à lire ici : https://www.laquadrature.net/fr/surveillance_big_data_marseille

Opérateurs téléphoniques : que savent-ils de nous ?

Les opérateurs téléphoniques collectent une grande quantité de données personnelles à travers nos téléphones (métadata de nos échanges, géolocalisation, etc.) : mais lesquelles précisément, et sont-ils prêts à le reconnaître ? Pour le savoir, quatre bénévoles de La Quadrature du Net ont écrit aux quatre grands opérateurs mobiles français (Orange, Free Mobile, Bouygues Telecom et SFR) pour leur demander l'accès, autorisé par la loi, aux données personnelles détenues par leurs fournisseurs téléphoniques respectifs. Trois mois plus tard, aucune réponse satisfaisante. Mais l'étape suivante était prévue : quatre plaintes ont donc été déposées auprès de la CNIL, une contre chaque opérateur. On attend désormais les réponses...
Une histoire à suivre, à lire ici : https://www.laquadrature.net/fr/conservation_operateurs

Au secours, les recours !

Quand une loi est votée, on peut encore la changer : il suffit de l'attaquer devant le Conseil constitutionnel – et de gagner. C'est ce à quoi s'emploient La Quadrature du Net, FDN et la Fédération FDN, dans le groupe informel des Exégètes amateurs. Mais cet hiver, deux recours devant le Conseil constitutionnel ont reçu un jugement défavorable.
D'abord, le « recours Chambord », jugement rendu le 2 février dernier : il s'agissait de rendre à tous le droit de photographier les monuments nationaux. Malheureusement, le Conseil constitutionnel a confirmé le « droit à l'image » consenti en 2016 aux gestionnaires de ces momuments. Une décision que Lionel Maurel, membre fondateur de La Quadrature du Net, analyse en détail dans ses conséquences.
Le 4 mars, le Conseil constitutionnel a rejeté le recours déposé pour contester l'obligation faite à une personne gardée à vue de remettre à la police ses clefs de chiffrement. Une décision assortie de conditions (l'aval d'un juge, en particulier), mais une déception expliquée dans notre analyse.
Décision Chiffrement : texte du recours https://www.laquadrature.net/fr/conseil-constitutionnel-clefs-chiffrement et décision du Conseil constitutionnel https://www.laquadrature.net/fr/le-conseil-constitutionnel-restreint-le-...
Décision Chambord : https://www.laquadrature.net/fr/apres-d%C3%A9cision-chambord-comment-sortir-d-un-domaine-public-residuel

FAKE NEWS, FAUX DÉBAT

Emmanuel Macron veut une loi pour interdire les « fake news », les fausses nouvelles et les manipulations médiatiques en ligne qui ont connu leur heure de gloire au moment de l'élection de Donald Trump aux États-Unis d'Amérique. La Commission européenne se pose elle aussi la question de savoir si elle peut aussi légiférer de son côté. La Quadrature du Net a donc répondu à sa consultation, pour dire non : la question des fake news est un faux problème, il s'agit avant tout d'un problème de logique économique desplateformes et des réseaux sociaux.
Une réponse à consultation à lire ici : https://www.laquadrature.net/fr/consultation_fake_news


Revue de Presse

Action contre les GAFAM

Loi RGPD

  • Sénat 360 : Débat protection des données personnelles — Public Sénat
  • Vidéo – Session « Protection des données : mythes ou réalités » — Inria-Alumni-Sif

Facebook & Cambridge Analytica

  • Antoinette Rouvroy: "À mon sens, Zuckerberg est dépassé" — L'Écho
  • J'ai voulu reprendre le contrôle de mes données — France Culture
  • Protection des données personnelles : faut-il brûler Facebook ? — France Inter
  • Face à Facebook, les options de l'internaute inquiet — Capital
  • Scandale Facebook : "Soyons clairs, le contrat démocratique est mort" — Marianne
  • Exploitation de nos données : quand le sage pointe le problème, l'idiot ne regarde que Facebook — Next INpact
  • Tristan Nitot : Facebook a « laissé faire » Cambridge Analytica — Le Point

Données personnelles

  • Données de connexion : la Quadrature du Net traîne quatre opérateurs devant la CNIL — Next INpact
  • À qui confier notre portefeuille de données personnelles ? — France Culture

Plateformes et « fake news »

  • La liberté d’expression prise au piège des réseaux sociaux — Mediapart
  • « Fake news » : « Les réseaux sociaux ne se soucient pas de ce que nous partageons » — Le Figaro
  • Fake news : analyse ligne par ligne de la future loi contre les fausses informations — Next INpact
  • Internet : comment le gratuit fait du client un produit — Le Parisien

Censure et surveillance

  • Les Pays-Bas rejettent une loi sur le renseignement — Le Monde
  • Reconnaissance faciale : comment nos visages sont traqués — Le Monde
  • La CNIL défavorable à l’utilisation de l’application de sécurité Reporty à Nice — Le Monde
  • Big Data de la tranquillité : le Minority Report de Marseille — Next INpact
  • À Marseille, un algorithme pour « anticiper la sécurité » — Le Monde
  • En Chine, travailler malgré la censure du Net — Le Monde
  • Blocage administratif : bras de fer entre la personnalité qualifiée de la CNIL et l’Intérieur — Next INpact
  • Technologies de prédiction du crime : Palantir a scruté les citoyens de la Nouvelle-Orléans en secret pendant 6 ans — TV5Monde
  • Cybersécurité : l’État appelle les télécoms à la rescousse — Libération
  • Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025 — Next INpact

Neutralité du net

  • Mitchell Baker : « La question est de savoir quel Internet nous voulons » — Le Monde


Participer

Il existe de nombreuses façons de participer à l'action menée par La Quadrature du Net. Vous pouvez aider La Quadrature en parlant de ses publications autour de vous, et en les diffusant sur vos blogs, Twitter,Diaspora*, vos réseaux sociaux, listes de discussion… Bref, en « buzzant ».

Vous pouvez également participer à nos listes de discussion ou échanger sur notre chat (ou directement sur notre canal IRC : #laquadrature sur irc.freenode.net).

La Quadrature du Net a aussi besoin d'aide pour un grand nombre de tâches quotidiennes, par exemple pour l'édition de sa revue de presse, des traductions, la mise à jour de son wiki, des créations graphiques ou sonores… Si vous en avez la capacité, vous pouvez contribuer à améliorer les outils comme Memopol, < ahref="http://respectmynet.eu/">Respect My Net, ou le Piphone,ContrôleTes Données, ou bien nous proposer de nouveaux projets sur notre GitLab. N'hésitez pas à nous contacter pour avoir plus d'information à ce sujet.

Enfin, si vous en avez les moyens, vous pouvez également nous souteniren effectuant un don.


Calendrier

Mai 2018 :

Juin 2018 :

  • 6 : réunion de préparation pour la campagne de dons 2018 : venez nous aider à imaginer notre campagne de dons de fin d'année ! (Au Garage, 60 rue des Orteaux, Paris, 19h)
  • 8 : Quadrapéro au Garage (60 rue des Orteaux, Paris, 19h)
  • 12 : Conférence de l'OLN sur les données personnelles, avec Lionel Maurel, Antonio Casilli, membres de La Quadrature du Net, et Arthur Messaud
  • 28-29 juin - 1er juillet : PSES - conférence "Actions de groupe contre les GAFAM" le 1er juillet à 15h (Arthur) : https://programme.passageenseine.fr/

Juillet 2018 :


English Version

The newsletter is back

Why such a long silence? The paid staff went through important changes after Chris and Adrienne left at the end of summer 2017, and the arrival of Myriam (administrator) and Marine (art and communication director). We needed time to reassign roles and find our bearings with a bit of fumbling... Autumn and winter were busy times: our support campaign (thanks again for another year of support!), the organisation of our tea-house at the CCC (now taking place at Leipzig (https://www.ccc.de/en/ ), and lively political developments - thanks to various laws conceived by the Macron government and to our new campaign to protect privacy.
This newsletter presents a summary of key points from the past three months (January-March 2018) for those following us from afar. If you're looking for more precise and frequent information about our actions, our weekly newletter in French, QPSTAG ("Que se passe-t-il au garage ?" or "What's on at the garage?") is sent out from discussion@laquadrature.net.
Subscribe to mailing-lists here: https://wiki.laquadrature.net/Listes_de_discussion/en

New members

Last 12 March, we announced the arrival of new members in the core of the association. Here are their two objectives: to engage volunteers among those closest and most involved in LQdN, and to open a space for reflection within the Association by accommodating more diverse skills and sensibilities. The first general meeting of this new taskforce took place over the Easter weekend, from Saturday, March 31 to Monday, April 2.
Read our announcement: https://www.laquadrature.net/en/node/10444

Donation Campaign 2017-2018

Thanks a lot! We have collected enough money to go forward until the end of 2018. The result is available on our site. We will meet again at the end of the year to try to keep this going for another year! \o/
Read the campaign's results here: https://www.laquadrature.net/en/Founding%20campaign%202017

Personal Data On All Fronts

Between the implementation of the RGPD from May 25, the discussion of the bill on personal data in the French Parliament, and the Facebook-Cambridge Analytica scandal that revealed Facebook's economic model to the general public: the problem of the illegal exploitation of our personal data has seen a big revival of interest in the media since the beginning of the year. La Quadrature du Net took part in the debate at every opportunity.

Personal Data: a French bill under discussion

In mid-March, the bill concerning personal data was examined in the French Senate. The commission in charge of the bill refused every amendment in the provisions regarding aiming at overseeing the activities of French intelligence services, in spite of the obligations laid down by the European directive. La Quadrature du Net wrote amendments and invited senators of both wings to defend them during the discussion. Our call was heard and our main amendments were supported. But only one of them was adopted (regarding cryptography).
In the beginning of April, after the bill was voted by the Senate, a commission was in charge of finding an agreement between the two bills voted by the Assemblée Nationale and the Senate. The day before this important meeting, the OLN (Observatoire des Libertés et du Numérique) published an open letter to members of the two chambers. It states again several points important to us, such as the right to encrypt and the portability of data.
The commission parted without coming to an agreement, and so the draft bill will go back and forth again between the two chambers.
Call for our amendments (in French): https://www.laquadrature.net/fr/pjl_rgpd_senat_com
Our amendments (PDF in French): https://www.laquadrature.net/files/amendements_lqdn_pjl_rgpd_27_02_2018.pdf
Open letter to the members of the French Parliament: https://www.laquadrature.net/fr/cmp_pjl_rgpd (in French)

Extrajudicial Class Action Against the GAFAM

The GDPR comes into effect on the 25th of May, but we doubt that it will be properly applied. Do companies such as Facebook and Google really intend to stop the mass surveillance from which they make their money? So we have decided to take pre-emptive action, and have begun collecting individual mandates in order to file a class action against the GAFAM.
French citizens are invited to join the action here: https://gafam.laquadrature.net (in French)

Personal Data : ePrivacy

Certain provisions of the GDPR which protect European citizens' private lives are a real impediment for private companies that live off the exploitation of personal data. Some of them (mainly advertising and press companies) pleaded their case with the French government and asked them to reinstate in future regulation a set of provisions allowing the safety of their profitable businesses. The government of the self-designated "Start-Up Nation" was easily convinced. La Quadrature du Net adresses its own open letter (FR) to the ministers.
Read the open letter here: https://www.laquadrature.net/fr/eprivacy_marchandisation (in French)

Marseille, A Laboratory for Surveillance

The mayor of Marseille, France's third major city, wants to build a "Big Data Observatory For Public Security" and has handed the project to a private company: this catch-all will gather information from the police, fire departments, road safety, legal bodies, CCTV, hospitals and even weather services to predict locales and times where delinquency is likely to take place. Residents of the city are also invited to feed a database through a mobile application very similar to Reporty, the app acquired by the city of Nice.
Félix Tréguer, founding member of La Quadrature du Net, managed to obtain access to the documents describing the objectives and means of the project.
Read his analysis here: https://www.laquadrature.net/fr/surveillance_big_data_marseille (in French)

Mobile Phone Operators: What Do They really Know?

Mobile phone operators collect a huge amount of personal data (metadata from our voice or text conversations, localisation, etc.). But which ones precisely? Are they ready to reveal and acknowledge the true extent of their databases? For the record, four members of La Quadrature du Net asked their own mobile operators (Orange, Free Mobile, Bouygues Telecom et SFR) access, authorised by law, to mail them the personal data held by their telephone providers. Three months later, the four operators had not given a satisfactory response. But the next step had already been planned: four cases have been filed against them with the CNIL, the French data protection authority. We're waiting now for the replies...
Read the whole story here: https://www.laquadrature.net/fr/conservation_operateurs (in French)

Litigations

When a law is voted, you can still change it: but you have to plead before the Constitutional Council–and win... This is the purpose of the Exégètes amateurs, an informal group of law experts from La Quadrature du Net, FDN and FFDN. But last winter, two of their actions were rejected by the French constitutional court.
First, on 2 February, the "Chambord" action: the point was to give back to every citizen the right to take a picture of a public monument and share it freely. Unfortunately, The Constitutional Council confirmed the "right to the image" granted in 2016 to the administrators of such monuments. Lionel Maurel, active member of SavoirsCom1 and founding member of La Quadrature du Net, analyses the consequences of this decision (FR).
On 4 March, the Council rejected a recourse intending to contest the obligation that a person placed in custody give the encryption key of their mobile phone to the police. The decision comes with a few conditions (such as the prior approval of a civil or criminal judge), but we explain why it is still a disappointment (FR).

Fake news, phony debate

Emmanuel Macron wants to forbid "fake news", and other types of online media manipulations that were popularised during the American presidential campaign won by Donald Trump. The European Commission also wonders if it can legislate on the matter: La Quadrature du Net answered the European consultation. The answer is no, "fake news" are a phony debate, the real problem is the click-bait favoring business model of platforms and social neworks.
Read the extensive answer here : https://www.laquadrature.net/en/node/10435

Press Review

Rubrique

  • As Zuckerberg Smiles to Congress, Facebook Fights State Privacy Laws — Wired
  • U.K. Assessing Evidence After Search at Cambridge Analytica — Bloomberg
  • Dutch say 'no' in referendum on spy agency tapping powers — Reuters

Pour vous inscrire à la newsletter, envoyez un email à actu-subscribe@laquadrature.net

Pour vous désinscrire, envoyez un email à actu-unsubscribe@laquadrature.net

]]>
Salut à toutes et à tous !

Voici la newsletter 78 de La Quadrature du Net !

Sommaire

L'activité de La Quadrature du Net

Newsletter, le retour

La newsletter de La Quadrature est enfin de retour !
Pourquoi un tel silence ? L'équipe des salariés de l'association a connu une recomposition importante, après le départ de Chris et d'Adrienne à la fin de l'été 2017. Il a fallu redistribuer les rôles, prendre ses marques en tâtonnant un peu. Et puis l'automne et l'hiver ont été chargés, entre la campagne de dons (un grand merci pour votre soutien renouvelé pour une année !), l'organisation du CCC (https://www.ccc.de/en/) - nouvellement installé à Leipzig - et une actualité politique animée - grâce aux diverses lois imaginées par le gouvernement Macron et à notre nouvelle campagne pour la protection des données personnelles.
Cette newsletter présente donc l'essentiel de l'actualité de ces trois derniers mois (janvier-mars 2018), pour ceux qui nous suivent de loin. Si vous cherchez des infos plus détaillées et surtout plus fréquentes sur nos actions, le bulletin QPSTAG (Que se passe-t-il au Garage ?) est diffusé chaque semaine sur la liste discussion@laquadrature.net.
Inscrivez-vous aux listes de diffusion ici : https://wiki.laquadrature.net/Listes_de_discussion

Nouveaux membres

Le 12 mars dernier, nous avons annoncé l'arrivée de nouveaux membres au sein de l'association, avec deux objectifs : acter l'engagement de bénévoles parmi les plus proches et les plus impliqués, et ouvrir l'espace de réflexion de l'association en accueillant des compétences et des sensibilités plus diverses. La première AG de ce nouveau groupe de travail a eu lieu pendant le week-end de Pâques, du samedi 31 mars au lundi 2 avril.
Une annonce à lire ici : https://www.laquadrature.net/fr/ouverture_nouveaux_membres

Campagne de dons 2017-2018

Merci beaucoup ! Grâce à vous, nous avons rassemblé assez d'argent pour faire fonctionner l'association jusqu'à la fin de 2018. Le bilan est en ligne sur notre site. Rendez-vous à la fin de l'année pour tenter de prolonger l'action une année encore !
Le bilan de campagne à lire ici :https://www.laquadrature.net/fr/bilan_campagne_dons_2017

Données personnelles sur tous les fronts

C'est le gros sujet de ce début d'année !
Entre l'entrée en application du RGPD à partir du 25 mai, la discussion autour du projet de loi sur les données personnelles, et l'affaire Cambridge Analytica qui met à jour le modèle économique de Facebook et d'innombrables autres sociétés du web, le problème de l'exploitation illégale de nos données personnelles a connu en ce début d'année un gros regain d'intérêt dans les médias. La Quadrature du Net a participé au débat à chaque fois qu'elle en a eu l'occasion.

Données personnelles : le projet de loi

Mi-mars, le projet de loi données personnelles était au Sénat. La commission en charge du dossier a refusé d'amender le texte pour encadrer les activités des services de renseignement, malgré les obligations édictées par la directive européenne. La Quadrature du Net a donc rédigé des amendements et invité les sénateurs et sénatrices de tous bords à les soutenir. Notre appel a été entendu, et nos amendements les plus importants ont été déposés et soutenus. Un seul a été accepté, concernant le chiffrement.
Début avril, après le vote du projet de loi au Sénat, est arrivée l'heure de la commission mixte paritaire, chargée de trouver un accord entre les deux textes votés à l'Assemblée nationale et au Sénat. À la veille de ce moment important, l'Observatoire des Libertés et du Numérique (OLN), dont fait partie La Quadrature du Net, a publié une lettre adressée aux parlementaires. Elle réaffirmait les points cruciaux à nos yeux, comme le droit au chiffrement et à la portabilité des données.
La commission mixte paritaire s'est finalement séparée sans arriver à un accord. Le texte repart donc pour une nouvelle navette entre les deux chambres.
Invitation à soutenir nos amendements au Sénat : https://www.laquadrature.net/fr/pjl_rgpd_senat_com
Nos amendements (PDF) : https://www.laquadrature.net/files/amendements_lqdn_pjl_rgpd_27_02_2018.pdf
Lettre ouverte de l'OLN aux membres de la CMP : https://www.laquadrature.net/fr/cmp_pjl_rgpd

Action de groupe contre les GAFAM

Le RGPD entre en application le 25 mai, mais nous avons des doutes sur le fait qu'il soit bien appliqué comme il se doit. Est-ce que des entreprises comme Facebook ont vraiment l'intention de cesser cette surveillance de masse dont elles tirent tous leurs profits ? On en doutait alors on a pris les devants. Le 16 avril, on a lancé une campagne visant à récolter un maximum de mandats pour mener UNE ACTION DE GROUPE CONTRE LES GAFAM !!! La CNIL pourra, à partir du 24 mai, sanctionner à hauteur de 4% du chiffre d'affaires mondial mais si on veut qu'elle agisse il faut qu'on soit nombreux à rejoindre l'action de groupe.
Rejoignez l'action : gafam.laquadrature.net !!!!
Sur le site vous trouverez chaque semaine une vidéo expliquant pourquoi on attaque chacun des GAFAM et un texte d'analyse lié.
Vous pouvez aussi créer et partager vos affiches ici : https://gafam.laquadrature.net/#poster
Rejoignez-nous dans notre action (pour rappel, les particuliers donnant mandat à La Quadrature dans le cadre de cette action de groupe ne prennent aucun risque personnel, que ce soit sur un plan juridique ou financier) et faites circuler l'information autour de vous !

Données personnelles : ePrivacy

Certaines dispositions du RGPD, protectrices pour les utilisateurs, gênent beaucoup les entreprises privées qui prospèrent actuellement sur l'exploitation de nos données personnelles. Certaines d'entre elles (publicitaires et groupes de presse en tête) ont donc écrit au gouvernement français (PDF) pour le supplier de réintroduire dans le règlement ePrivacy (toujours en discussion) des dispositions qui leur permettraient de continuer leur juteux business. « L’économie de la donnée est un pilier de la croissance, de la création d’emplois et du progrès » : le gouvernement de la « Start-up Nation » n'a pas dû être très difficile à convaincre avec de telles phrases. La Quadrature adresse à son tour une lettre ouverte aux ministres.
Un lettre ouverte à lire ici : https://www.laquadrature.net/fr/eprivacy_marchandisation

Surveillance : Marseille, ville laboratoire

La mairie de Marseille veut déployer un « observatoire Big Data de la tranquillité publique », confié à une entreprise privée : ce grand fourre-tout sécuritaire agrègera des informations venues des services de police, des pompiers, de la justice, de la sécurité routière, de la vidéosurveillance urbaine, des hôpitaux et même de la météo pour prédire les zones d'espace et de temps où des faits de délinquances sont susceptibles d'avoir lieu. Les habitants seront aussi invités à alimenter la base de données, à l'aide d'une application mobile, dans le genre de celle que lance de son côté la ville de Nice (Reporty).
Félix Tréguer, président de La Quadrature du Net et habitant de Marseille, a exercé le droit d'accès aux documents administratifs que détient chaque citoyen pour obtenir le Cahier des Clauses Techniques Particulières qui décrit le objectifs et les moyens du dispositif.
Il livre son analyse.
Une tribune à lire ici : https://www.laquadrature.net/fr/surveillance_big_data_marseille

Opérateurs téléphoniques : que savent-ils de nous ?

Les opérateurs téléphoniques collectent une grande quantité de données personnelles à travers nos téléphones (métadata de nos échanges, géolocalisation, etc.) : mais lesquelles précisément, et sont-ils prêts à le reconnaître ? Pour le savoir, quatre bénévoles de La Quadrature du Net ont écrit aux quatre grands opérateurs mobiles français (Orange, Free Mobile, Bouygues Telecom et SFR) pour leur demander l'accès, autorisé par la loi, aux données personnelles détenues par leurs fournisseurs téléphoniques respectifs. Trois mois plus tard, aucune réponse satisfaisante. Mais l'étape suivante était prévue : quatre plaintes ont donc été déposées auprès de la CNIL, une contre chaque opérateur. On attend désormais les réponses...
Une histoire à suivre, à lire ici : https://www.laquadrature.net/fr/conservation_operateurs

Au secours, les recours !

Quand une loi est votée, on peut encore la changer : il suffit de l'attaquer devant le Conseil constitutionnel – et de gagner. C'est ce à quoi s'emploient La Quadrature du Net, FDN et la Fédération FDN, dans le groupe informel des Exégètes amateurs. Mais cet hiver, deux recours devant le Conseil constitutionnel ont reçu un jugement défavorable.
D'abord, le « recours Chambord », jugement rendu le 2 février dernier : il s'agissait de rendre à tous le droit de photographier les monuments nationaux. Malheureusement, le Conseil constitutionnel a confirmé le « droit à l'image » consenti en 2016 aux gestionnaires de ces momuments. Une décision que Lionel Maurel, membre fondateur de La Quadrature du Net, analyse en détail dans ses conséquences.
Le 4 mars, le Conseil constitutionnel a rejeté le recours déposé pour contester l'obligation faite à une personne gardée à vue de remettre à la police ses clefs de chiffrement. Une décision assortie de conditions (l'aval d'un juge, en particulier), mais une déception expliquée dans notre analyse.
Décision Chiffrement : texte du recours https://www.laquadrature.net/fr/conseil-constitutionnel-clefs-chiffrement et décision du Conseil constitutionnel https://www.laquadrature.net/fr/le-conseil-constitutionnel-restreint-le-...
Décision Chambord : https://www.laquadrature.net/fr/apres-d%C3%A9cision-chambord-comment-sortir-d-un-domaine-public-residuel

FAKE NEWS, FAUX DÉBAT

Emmanuel Macron veut une loi pour interdire les « fake news », les fausses nouvelles et les manipulations médiatiques en ligne qui ont connu leur heure de gloire au moment de l'élection de Donald Trump aux États-Unis d'Amérique. La Commission européenne se pose elle aussi la question de savoir si elle peut aussi légiférer de son côté. La Quadrature du Net a donc répondu à sa consultation, pour dire non : la question des fake news est un faux problème, il s"agit avant tout d'un problème de logique économique desplateformes et des réseaux sociaux.
Une réponse à consultation à lire ici : https://www.laquadrature.net/fr/consultation_fake_news


Revue de Presse

Action contre les GAFAM

Loi RGPD

  • Sénat 360 : Débat protection des données personnelles — Public Sénat
  • Vidéo – Session « Protection des données : mythes ou réalités » — Inria-Alumni-Sif

Facebook & Cambridge Analytica

  • Antoinette Rouvroy: "À mon sens, Zuckerberg est dépassé" — L'Écho
  • J'ai voulu reprendre le contrôle de mes données — France Culture
  • Protection des données personnelles : faut-il brûler Facebook ? — France Inter
  • Face à Facebook, les options de l'internaute inquiet — Capital
  • Scandale Facebook : "Soyons clairs, le contrat démocratique est mort" — Marianne
  • Exploitation de nos données : quand le sage pointe le problème, l'idiot ne regarde que Facebook — Next INpact
  • Tristan Nitot : Facebook a « laissé faire » Cambridge Analytica — Le Point

Données personnelles

  • Données de connexion : la Quadrature du Net traîne quatre opérateurs devant la CNIL — Next INpact
  • À qui confier notre portefeuille de données personnelles ? — France Culture

Plateformes et « fake news »

  • La liberté d’expression prise au piège des réseaux sociaux — Mediapart
  • « Fake news » : « Les réseaux sociaux ne se soucient pas de ce que nous partageons » — Le Figaro
  • Fake news : analyse ligne par ligne de la future loi contre les fausses informations — Next INpact
  • Internet : comment le gratuit fait du client un produit — Le Parisien

Censure et surveillance

  • Les Pays-Bas rejettent une loi sur le renseignement — Le Monde
  • Reconnaissance faciale : comment nos visages sont traqués — Le Monde
  • La CNIL défavorable à l’utilisation de l’application de sécurité Reporty à Nice — Le Monde
  • Big Data de la tranquillité : le Minority Report de Marseille — Next INpact
  • À Marseille, un algorithme pour « anticiper la sécurité » — Le Monde
  • En Chine, travailler malgré la censure du Net — Le Monde
  • Blocage administratif : bras de fer entre la personnalité qualifiée de la CNIL et l’Intérieur — Next INpact
  • Technologies de prédiction du crime : Palantir a scruté les citoyens de la Nouvelle-Orléans en secret pendant 6 ans — TV5Monde
  • Cybersécurité : l’État appelle les télécoms à la rescousse — Libération
  • Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025 — Next INpact

Neutralité du net

  • Mitchell Baker : « La question est de savoir quel Internet nous voulons » — Le Monde


Participer

Il existe de nombreuses façons de participer à l'action menée par La Quadrature du Net. Vous pouvez aider La Quadrature en parlant de ses publications autour de vous, et en les diffusant sur vos blogs, Twitter,Diaspora*, vos réseaux sociaux, listes de discussion… Bref, en « buzzant ».

Vous pouvez également participer à nos listes de discussion ou échanger sur notre chat (ou directement sur notre canal IRC : #laquadrature sur irc.freenode.net).

La Quadrature du Net a aussi besoin d'aide pour un grand nombre de tâches quotidiennes, par exemple pour l'édition de sa revue de presse, des traductions, la mise à jour de son wiki, des créations graphiques ou sonores… Si vous en avez la capacité, vous pouvez contribuer à améliorer les outils comme Memopol, < ahref="http://respectmynet.eu/">Respect My Net, ou le Piphone,ContrôleTes Données, ou bien nous proposer de nouveaux projets sur notre GitLab. N'hésitez pas à nous contacter pour avoir plus d'information à ce sujet.

Enfin, si vous en avez les moyens, vous pouvez également nous souteniren effectuant un don.


Calendrier

Mai 2018 :

Juin 2018 :

  • 6 : réunion de préparation pour la campagne de dons 2018 : venez nous aider à imaginer notre campagne de dons de fin d'année ! (Au Garage, 60 rue des Orteaux, Paris, 19h)
  • 8 : Quadrapéro au Garage (60 rue des Orteaux, Paris, 19h)
  • 12 : Conférence de l'OLN sur les données personnelles, avec Lionel Maurel, Antonio Casilli, membres de La Quadrature du Net, et Arthur Messaud
  • 28-29 juin - 1er juillet : PSES - conférence "Actions de groupe contre les GAFAM" le 1er juillet à 15h (Arthur) : https://programme.passageenseine.fr/

Juillet 2018 :


English Version

The newsletter is back

Why such a long silence? The paid staff went through important changes after Chris and Adrienne left at the end of summer 2017, and the arrival of Myriam (administrator) and Marine (art and communication director). We needed time to reassign roles and find our bearings with a bit of fumbling... Autumn and winter were busy times: our support campaign (thanks again for another year of support!), the organisation of our tea-house at the CCC (now taking place at Leipzig (https://www.ccc.de/en/ ), and lively political developments - thanks to various laws conceived by the Macron government and to our new campaign to protect privacy.
This newsletter presents a summary of key points from the past three months (January-March 2018) for those following us from afar. If you're looking for more precise and frequent information about our actions, our weekly newletter in French, QPSTAG ("Que se passe-t-il au garage ?" or "What's on at the garage?") is sent out from discussion@laquadrature.net.
Subscribe to mailing-lists here: https://wiki.laquadrature.net/Listes_de_discussion/en

New members

Last 12 March, we announced the arrival of new members in the core of the association. Here are their two objectives: to engage volunteers among those closest and most involved in LQdN, and to open a space for reflection within the Association by accommodating more diverse skills and sensibilities. The first general meeting of this new taskforce took place over the Easter weekend, from Saturday, March 31 to Monday, April 2.
Read our announcement: https://www.laquadrature.net/en/node/10444

Donation Campaign 2017-2018

Thanks a lot! We have collected enough money to go forward until the end of 2018. The result is available on our site. We will meet again at the end of the year to try to keep this going for another year! \o/
Read the campaign's results here: https://www.laquadrature.net/en/Founding%20campaign%202017

Personal Data On All Fronts

Between the implementation of the RGPD from May 25, the discussion of the bill on personal data in the French Parliament, and the Facebook-Cambridge Analytica scandal that revealed Facebook's economic model to the general public: the problem of the illegal exploitation of our personal data has seen a big revival of interest in the media since the beginning of the year. La Quadrature du Net took part in the debate at every opportunity.

Personal Data: a French bill under discussion

In mid-March, the bill concerning personal data was examined in the French Senate. The commission in charge of the bill refused every amendment in the provisions regarding aiming at overseeing the activities of French intelligence services, in spite of the obligations laid down by the European directive. La Quadrature du Net wrote amendments and invited senators of both wings to defend them during the discussion. Our call was heard and our main amendments were supported. But only one of them was adopted (regarding cryptography).
In the beginning of April, after the bill was voted by the Senate, a commission was in charge of finding an agreement between the two bills voted by the Assemblée Nationale and the Senate. The day before this important meeting, the OLN (Observatoire des Libertés et du Numérique) published an open letter to members of the two chambers. It states again several points important to us, such as the right to encrypt and the portability of data.
The commission parted without coming to an agreement, and so the draft bill will go back and forth again between the two chambers.
Call for our amendments (in French): https://www.laquadrature.net/fr/pjl_rgpd_senat_com
Our amendments (PDF in French): https://www.laquadrature.net/files/amendements_lqdn_pjl_rgpd_27_02_2018.pdf
Open letter to the members of the French Parliament: https://www.laquadrature.net/fr/cmp_pjl_rgpd (in French)

Extrajudicial Class Action Against the GAFAM

The GDPR comes into effect on the 25th of May, but we doubt that it will be properly applied. Do companies such as Facebook and Google really intend to stop the mass surveillance from which they make their money? So we have decided to take pre-emptive action, and have begun collecting individual mandates in order to file a class action against the GAFAM.
French citizens are invited to join the action here: https://gafam.laquadrature.net (in French)

Personal Data : ePrivacy

Certain provisions of the GDPR which protect European citizens' private lives are a real impediment for private companies that live off the exploitation of personal data. Some of them (mainly advertising and press companies) pleaded their case with the French government and asked them to reinstate in future regulation a set of provisions allowing the safety of their profitable businesses. The government of the self-designated "Start-Up Nation" was easily convinced. La Quadrature du Net adresses its own open letter (FR) to the ministers.
Read the open letter here: https://www.laquadrature.net/fr/eprivacy_marchandisation (in French)

Marseille, A Laboratory for Surveillance

The mayor of Marseille, France's third major city, wants to build a "Big Data Observatory For Public Security" and has handed the project to a private company: this catch-all will gather information from the police, fire departments, road safety, legal bodies, CCTV, hospitals and even weather services to predict locales and times where delinquency is likely to take place. Residents of the city are also invited to feed a database through a mobile application very similar to Reporty, the app acquired by the city of Nice.
Félix Tréguer, founding member of La Quadrature du Net, managed to obtain access to the documents describing the objectives and means of the project.
Read his analysis here: https://www.laquadrature.net/fr/surveillance_big_data_marseille (in French)

Mobile Phone Operators: What Do They really Know?

Mobile phone operators collect a huge amount of personal data (metadata from our voice or text conversations, localisation, etc.). But which ones precisely? Are they ready to reveal and acknowledge the true extent of their databases? For the record, four members of La Quadrature du Net asked their own mobile operators (Orange, Free Mobile, Bouygues Telecom et SFR) access, authorised by law, to mail them the personal data held by their telephone providers. Three months later, the four operators had not given a satisfactory response. But the next step had already been planned: four cases have been filed against them with the CNIL, the French data protection authority. We're waiting now for the replies...
Read the whole story here: https://www.laquadrature.net/fr/conservation_operateurs (in French)

Litigations

When a law is voted, you can still change it: but you have to plead before the Constitutional Council–and win... This is the purpose of the Exégètes amateurs, an informal group of law experts from La Quadrature du Net, FDN and FFDN. But last winter, two of their actions were rejected by the French constitutional court.
First, on 2 February, the "Chambord" action: the point was to give back to every citizen the right to take a picture of a public monument and share it freely. Unfortunately, The Constitutional Council confirmed the "right to the image" granted in 2016 to the administrators of such monuments. Lionel Maurel, active member of SavoirsCom1 and founding member of La Quadrature du Net, analyses the consequences of this decision (FR).
On 4 March, the Council rejected a recourse intending to contest the obligation that a person placed in custody give the encryption key of their mobile phone to the police. The decision comes with a few conditions (such as the prior approval of a civil or criminal judge), but we explain why it is still a disappointment (FR).

Fake news, phony debate

Emmanuel Macron wants to forbid "fake news", and other types of online media manipulations that were popularised during the American presidential campaign won by Donald Trump. The European Commission also wonders if it can legislate on the matter: La Quadrature du Net answered the European consultation. The answer is no, "fake news" are a phony debate, the real problem is the click-bait favoring business model of platforms and social neworks.
Read the extensive answer here : https://www.laquadrature.net/en/node/10435

Press Review

Rubrique

  • As Zuckerberg Smiles to Congress, Facebook Fights State Privacy Laws — Wired
  • U.K. Assessing Evidence After Search at Cambridge Analytica — Bloomberg
  • Dutch say 'no' in referendum on spy agency tapping powers — Reuters

Pour vous inscrire à la newsletter, envoyez un email à actu-subscribe@laquadrature.net

Pour vous désinscrire, envoyez un email à actu-unsubscribe@laquadrature.net

]]>
Pourquoi attaquer Apple ?10504 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180511_165538_Pourquoi_attaquer_Apple__Fri, 11 May 2018 14:55:38 +000011 Mai 2018 - Le troisième monstre qu'on attaque, c'est Apple. Il est bien différent de ses deux frères déjà traités ici (Google et Facebook), car il ne centre pas ses profits sur l'exploitation de nos données personnelles. Ce géant-là est avant tout un géant de la communication, il sait donc bien se donner une image d'élève modèle alors qu'il n'est pas irréprochable... ni inattaquable !

Contre l'emprise des GAFAM sur nos vies, allez dès maintenant sur gafam.laquadrature.net signer les plaintes collectives que nous déposerons le 25 mai devant la CNIL.

L'entreprise Apple

Apple, c'est 200 milliards d'euros de chiffre d'affaires annuel et tout autant de réserve en trésorerie (pour comparer, le budget annuel de l'État français est d'environ 300 milliards). En bourse, l'ensemble des actions de l'entreprise vaudrait maintenant 1 000 milliards de dollars, ce qui en fait la première capitalisation boursière du monde.

Fondée en 1976, notamment par Steeve Jobs et bien avant l'avènement d'Internet, l'entreprise se centre sur la vente de ses propres ordinateurs, équipés de systèmes d'exploitation qu'elle développe elle-même.

En 1984, Apple annonce le lancement de son Macintosh au moyen d'une publicité vidéo réalisée par Ridley Scott, naïvement intitulée « 1984 » et posant l'entreprise en rempart contre une future société de surveillance (la vidéo originale est disponible sur YouTube, mais nous lui préférons le détournement qu'en ont fait nos amis de la Startuffe Nation !). Tout comme le slogan interne de Google, « Don't be evil », la posture prise en 1984 par Apple n'est finalement qu'une sinistre anti-prophétie : l'entreprise jouera bien un rôle décisif dans la transformation des outils numériques en moyens d'enfermement et de contrôle.

Par la suite, Apple ne cessera d'ailleurs pas de briller par ses stratégies de communication aussi confuses qu'insidieuses : sa fameuse injonction « Think different » ne nous disant surtout pas « de quoi » il s'agirait penser différemment, elle nous demande surtout, en vérité, de penser différemment « de nous-même » (de notre singularité) pour « penser Apple » et nous fondre dans un « cool » finalement très commun.

En 2007, il y a à peine plus de 10 ans, sort l'iPhone. Ses ventes ont placé l'entreprise dans sa situation économique actuelle, représentant désormais 70% de son chiffre d'affaire (les 30% restants étant à peu près équitablement répartis entre les ventes d'iPad, de Mac et de services). Aujourd'hui, environ un smartphone sur cinq vendu dans le monde l'est par Apple.

Le modèle Apple

Le modèle économique d'Apple, centré sur la vente au public de ses seules machines, repose sur l'enfermement de ses clients : s'assurer que ceux-ci n'achèteront que du matériel Apple. Pour cela, l'entreprise entend garder tout contrôle sur l'utilisation que ses clients peuvent faire des produits qu'ils ont achetés.

Les systèmes d'exploitation livrés avec les machines Apple - iOS et Mac OS - sont ainsi de pures boites noires : leur code source est gardé secret, empêchant qu'on puisse prendre connaissance de leur fonctionnement pour l'adapter à nos besoins, en dehors du contrôle d'Apple.

Son App Store est aussi une parfaite illustration de cette prison dorée : Apple limite les logiciels téléchargeables selon ses propres critères, s'assurant que ses utilisateurs n'aient accès qu'à des services tiers « de qualité » - conformes à son modèle économique et à sa stratégie d'enfermement (Apple prenant au passage 30% du prix de vente des applications payantes, il a d'ailleurs tout intérêt à favoriser celles-ci).

Enfin, une fois que ses utilisateurs ont payé pour utiliser divers logiciels non-libres via l'App Store, il devient bien difficile pour eux, économiquement, de se tourner vers d'autres systèmes qu'Apple, où l'accès à certains de ces logiciels ne serait plus possible - et où l'argent dépensé pour les acheter serait perdu.

L'emprisonnement est parfait.

Un enfermement (aussi) matériel

Hélas, le modèle d'enfermement d'Apple ne se limite pas aux logiciels : la connectique des iPhones n'est pas compatible avec le standard Micro-USB utilisé par tous les autres constructeurs, obligeant ainsi à acheter des câbles spécifiques. De même, les derniers iPhones n'ont pas de prise jack pour le casque audio, obligeant à acheter un adaptateur supplémentaire si on ne souhaite pas utiliser les écouteurs Bluetooth d'Apple.

La dernière caricature en date de ce modèle est la nouvelle enceinte d'Apple, HomePod, qui requiert un iPhone pour s'installer et ne peut jouer que de la musique principalement fournie par les services d'Apple (iTunes, Apple Music...).

Enfin, une fois qu'Apple peut entièrement contrôler l'utilisation de ses appareils, la route lui est grande ouverte pour en programmer l'obsolescence et pousser à l'achat d'appareils plus récents. Ainsi, l'hiver dernier, accusée par des observateurs extérieurs, l'entreprise a été contrainte de reconnaître que des mises à jour avaient volontairement ralenti les anciens modèles de ses téléphones.

Apple a expliqué que ce changement visait à protéger les téléphones les plus anciens dont la batterie était usée. Mais sa réponse, qu'elle soit sincère ou non, ne fait que souligner le véritable problème : ses iPhone sont conçus pour ne pas permettre une réparation ou un changement de batterie simple. Ralentir les vieux modèles n'était « utile » que dans la mesure où ceux-ci n'étaient pas conçus pour durer.

Vie privée : un faux ami

Apple vendant surtout du matériel, la surveillance de masse n'est a priori pas aussi utile pour lui que pour les autres GAFAM. L'entreprise en profite donc pour se présenter comme un défenseur de la vie privée.

Par exemple sur son navigateur Web, Safari, les cookies tiers, qui sont utilisés pour retracer l'activité d'une personne sur différents sites Internet, sont bloqués par défaut. L'entreprise présente cela comme une mesure de protection de la vie privée, et c'est vrai, mais c'est aussi pour elle une façon de ramener le marché de la publicité vers le secteur des applications mobiles, où non seulement le traçage n'est pas bloqué mais, au contraire, directement offert par Apple.

C'est ce que nous attaquons.

Une définition « hors-loi » des données personnelles

Dans son « engagement de confidentialité », qu'on est obligé d'accepter pour utiliser ses services, Apple s'autorise à utiliser nos données personnelles dans certains cas limités, se donnant l'image d'un entreprise respectueuse de ses utilisateurs.

Pourtant, aussitôt, Apple s'autorise à « collecter, utiliser, transférer et divulguer des données non-personnelles à quelque fin que ce soit », incluant parmi ces données :

  • « le métier, la langue, le code postal, l’indicatif régional, l’identifiant unique de l’appareil, l’URL de référence » ;
  • « la localisation et le fuseau horaire dans lesquels un produit Apple est utilisé » ;
  • l'utilisation des services Apple, « y compris les recherches que vous effectuez », ces informations n'étant pas associées à l'adresse IP de l'utilisateur, « sauf dans de très rares cas pour assurer la qualité de nos services en ligne ».

Cette liste révèle que la définition des « données personnelles » retenue par Apple est bien différente de celle retenue par le droit européen. En droit européen, une information est une donnée personnelle du moment qu'elle peut être associée à une personne unique, peu importe que l'identité de cette personne soit connue ou non. Or, l'identifiant unique de l'appareil, l'adresse IP ou, dans bien des cas aussi, les recherches effectuées ou la localisation, sont bien associables à une personne unique par elles-mêmes.

Ainsi, l'entreprise a beau jeu de préciser que « si nous associons des données non-personnelles à des données personnelles, les données ainsi combinées seront traitées comme des données à caractère personnel ». En effet, les données qu'elle dit « non-personnelles » et qu'elle associe ensembles constituent déja des données personnelles, que le droit européen interdit d'utiliser « à quelque fin que ce soit ». C'est bien pourtant ce qu'Apple nous demande d'accepter pour utiliser ses services (et sans qu'on sache dans quelle mesure il utilise ou utilisera un jour ce blanc-seing).

Le méga-cookie Apple

En dehors de l'immense incertitude quant aux pouvoirs qu'Apple s'arroge via sa définition erronée des « données non-personnelles », un danger est déjà parfaitement actuel : l'identifiant publicitaire unique qu'Apple fournit à chaque application.

Comme nous l'avions déjà vu pour Google (le fonctionnement est identique), Apple associe à chaque appareil un identifiant unique à fins publicitaires. Cet identifiant est librement accessible par chaque application installée (l'utilisateur n'est pas invité à en autoriser l'accès au cas par cas - l'accès est automatiquement donné).

Cet identifiant, encore plus efficace qu'un simple « cookie », permet d'individualiser chaque utilisateur et, ainsi, de retracer parfaitement ses activités sur l'ensemble de ses applications. Apple fournit donc à des entreprises tierces un outil décisif pour établir le profil de chaque utilisateur - pour sonder notre esprit afin de mieux nous manipuler, de nous soumettre la bonne publicité au bon moment (exactement de la même façon que nous le décrivions au sujet de Facebook).

On comprend facilement l'intérêt qu'en tire Apple : attirer sur ses plateformes le plus grand nombre d'applications, afin que celles-ci attirent le plus grand nombre d'utilisateurs, qui se retrouveront enfermés dans le système Apple.

Tel que déjà évoqué, les entreprises tierces sont d'autant plus incitées à venir sur l'App Store depuis que Apple les empêche de recourir aux juteux « cookies tiers » sur le Web - que Safari bloque par défaut. En effet, à quoi bon se battre contre Apple pour surveiller la population sur des sites internets alors que cette même entreprise offre gratuitement les moyens de le faire sur des applications ? La protection offerte par Safari apparaît dès lors sous des traits biens cyniques.

Un identifiant illégal

Contrairement au méga-cookie offert par Google sur Android, celui d'Apple est désactivable : l'utilisateur peut lui donner comme valeur « 0 ». Ce faisant, Apple prétend « laisser le choix » de se soumettre ou non à la surveillance massive qu'il permet.

Or, ce choix est largement illusoire : au moment de l'acquisition et de l'installation d'un appareil, le méga-cookie d'Apple est activé par défaut, et l'utilisateur n'est pas invité à faire le moindre choix à son sujet. Ce n'est qu'ultérieurement, s'il a connaissance de l'option appropriée et en comprend le fonctionnement et l'intérêt, que l'utilisateur peut vraiment faire ce choix. Et Apple sait pertinemment que la plupart de ses clients n'auront pas cette connaissance ou cette compréhension, et qu'aucun choix ne leur aura donc été véritablement donné.

C'est pourtant bien ce qu'exige la loi. La directive « ePrivacy » exige le consentement de l'utilisateur pour accéder aux informations contenues sur sa machine, tel que ce méga-cookie. Le règlement général sur la protection des données (RGPD) exige que ce consentement soit donné de façon explicite, par un acte positif dont le seul but est d'accepter l'accès aux données. Or, Apple ne demande jamais ce consentement, le considérant comme étant donné par défaut.

Pour respecter la loi, il devrait, au moment de l'installation de la machine, exiger que l'utilisateur choisisse s'il veut ou non que lui soit associé un identifiant publicitaire unique. Si l'utilisateur refuse, il doit pouvoir terminer l'installation et utiliser librement l'appareil. C'est ce que nous exigerons collectivement devant la CNIL.

D'ailleurs, la solution que nous exigeons est bien celle qui avait été retenue par Microsoft, l'été dernier, pour mettre Windows 10 en conformité avec la loi lorsque la CNIL lui faisait des reproches semblables à ceux que nous formulons aujourd'hui. Si Apple souhaite véritablement respecter les droits de ses utilisateurs, tel qu'il le prétend aujourd'hui hypocritement, la voie lui est donc clairement ouverte.

S'il ne prend pas cette voie, il sera le GAFAM dont la sanction, d'un montant maximum de 8 milliards d'euros, sera, pour l'Europe, la plus rentable. De quoi commencer à rééquilibrer les conséquences de son évasion fiscale, qui lui a déjà valu en 2016 une amende de 13 milliards d'euros, encore en attente de paiement (pour approfondir cet aspect, plus éloigné de notre action centrée sur les données personnelles, voir les actions conduites par ATTAC).

Contre l'emprise des GAFAM sur nos vies, allez dès maintenant sur gafam.laquadrature.net signer les plaintes collectives que nous déposerons le 25 mai devant la CNIL.

]]>
11 Mai 2018 - Le troisième monstre qu'on attaque, c'est Apple. Il est bien différent de ses deux frères déjà traités ici (Google et Facebook), car il ne centre pas ses profits sur l'exploitation de nos données personnelles. Ce géant-là est avant tout un géant de la communication, il sait donc bien se donner une image d'élève modèle alors qu'il n'est pas irréprochable... ni inattaquable !

Contre l'emprise des GAFAM sur nos vies, allez dès maintenant sur gafam.laquadrature.net signer les plaintes collectives que nous déposerons le 25 mai devant la CNIL.

L'entreprise Apple

Apple, c'est 200 milliards d'euros de chiffre d'affaires annuel et tout autant de réserve en trésorerie (pour comparer, le budget annuel de l'État français est d'environ 300 milliards). En bourse, l'ensemble des actions de l'entreprise vaudrait maintenant 1 000 milliards de dollars, ce qui en fait la première capitalisation boursière du monde.

Fondée en 1976, notamment par Steeve Jobs et bien avant l'avènement d'Internet, l'entreprise se centre sur la vente de ses propres ordinateurs, équipés de systèmes d'exploitation qu'elle développe elle-même.

En 1984, Apple annonce le lancement de son Macintosh au moyen d'une publicité vidéo réalisée par Ridley Scott, naïvement intitulée « 1984 » et posant l'entreprise en rempart contre une future société de surveillance (la vidéo originale est disponible sur YouTube, mais nous lui préférons le détournement qu'en ont fait nos amis de la Startuffe Nation !). Tout comme le slogan interne de Google, « Don't be evil », la posture prise en 1984 par Apple n'est finalement qu'une sinistre anti-prophétie : l'entreprise jouera bien un rôle décisif dans la transformation des outils numériques en moyens d'enfermement et de contrôle.

Par la suite, Apple ne cessera d'ailleurs pas de briller par ses stratégies de communication aussi confuses qu'insidieuses : sa fameuse injonction « Think different » ne nous disant surtout pas « de quoi » il s'agirait penser différemment, elle nous demande surtout, en vérité, de penser différemment « de nous-même » (de notre singularité) pour « penser Apple » et nous fondre dans un « cool » finalement très commun.

En 2007, il y a à peine plus de 10 ans, sort l'iPhone. Ses ventes ont placé l'entreprise dans sa situation économique actuelle, représentant désormais 70% de son chiffre d'affaire (les 30% restants étant à peu près équitablement répartis entre les ventes d'iPad, de Mac et de services). Aujourd'hui, environ un smartphone sur cinq vendu dans le monde l'est par Apple.

Le modèle Apple

Le modèle économique d'Apple, centré sur la vente au public de ses seules machines, repose sur l'enfermement de ses clients : s'assurer que ceux-ci n'achèteront que du matériel Apple. Pour cela, l'entreprise entend garder tout contrôle sur l'utilisation que ses clients peuvent faire des produits qu'ils ont achetés.

Les systèmes d'exploitation livrés avec les machines Apple - iOS et Mac OS - sont ainsi de pures boites noires : leur code source est gardé secret, empêchant qu'on puisse prendre connaissance de leur fonctionnement pour l'adapter à nos besoins, en dehors du contrôle d'Apple.

Son App Store est aussi une parfaite illustration de cette prison dorée : Apple limite les logiciels téléchargeables selon ses propres critères, s'assurant que ses utilisateurs n'aient accès qu'à des services tiers « de qualité » - conformes à son modèle économique et à sa stratégie d'enfermement (Apple prenant au passage 30% du prix de vente des applications payantes, il a d'ailleurs tout intérêt à favoriser celles-ci).

Enfin, une fois que ses utilisateurs ont payé pour utiliser divers logiciels non-libres via l'App Store, il devient bien difficile pour eux, économiquement, de se tourner vers d'autres systèmes qu'Apple, où l'accès à certains de ces logiciels ne serait plus possible - et où l'argent dépensé pour les acheter serait perdu.

L'emprisonnement est parfait.

Un enfermement (aussi) matériel

Hélas, le modèle d'enfermement d'Apple ne se limite pas aux logiciels : la connectique des iPhones n'est pas compatible avec le standard Micro-USB utilisé par tous les autres constructeurs, obligeant ainsi à acheter des câbles spécifiques. De même, les derniers iPhones n'ont pas de prise jack pour le casque audio, obligeant à acheter un adaptateur supplémentaire si on ne souhaite pas utiliser les écouteurs Bluetooth d'Apple.

La dernière caricature en date de ce modèle est la nouvelle enceinte d'Apple, HomePod, qui requiert un iPhone pour s'installer et ne peut jouer que de la musique principalement fournie par les services d'Apple (iTunes, Apple Music...).

Enfin, une fois qu'Apple peut entièrement contrôler l'utilisation de ses appareils, la route lui est grande ouverte pour en programmer l'obsolescence et pousser à l'achat d'appareils plus récents. Ainsi, l'hiver dernier, accusée par des observateurs extérieurs, l'entreprise a été contrainte de reconnaître que des mises à jour avaient volontairement ralenti les anciens modèles de ses téléphones.

Apple a expliqué que ce changement visait à protéger les téléphones les plus anciens dont la batterie était usée. Mais sa réponse, qu'elle soit sincère ou non, ne fait que souligner le véritable problème : ses iPhone sont conçus pour ne pas permettre une réparation ou un changement de batterie simple. Ralentir les vieux modèles n'était « utile » que dans la mesure où ceux-ci n'étaient pas conçus pour durer.

Vie privée : un faux ami

Apple vendant surtout du matériel, la surveillance de masse n'est a priori pas aussi utile pour lui que pour les autres GAFAM. L'entreprise en profite donc pour se présenter comme un défenseur de la vie privée.

Par exemple sur son navigateur Web, Safari, les cookies tiers, qui sont utilisés pour retracer l'activité d'une personne sur différents sites Internet, sont bloqués par défaut. L'entreprise présente cela comme une mesure de protection de la vie privée, et c'est vrai, mais c'est aussi pour elle une façon de ramener le marché de la publicité vers le secteur des applications mobiles, où non seulement le traçage n'est pas bloqué mais, au contraire, directement offert par Apple.

C'est ce que nous attaquons.

Une définition « hors-loi » des données personnelles

Dans son « engagement de confidentialité », qu'on est obligé d'accepter pour utiliser ses services, Apple s'autorise à utiliser nos données personnelles dans certains cas limités, se donnant l'image d'un entreprise respectueuse de ses utilisateurs.

Pourtant, aussitôt, Apple s'autorise à « collecter, utiliser, transférer et divulguer des données non-personnelles à quelque fin que ce soit », incluant parmi ces données :

  • « le métier, la langue, le code postal, l’indicatif régional, l’identifiant unique de l’appareil, l’URL de référence » ;
  • « la localisation et le fuseau horaire dans lesquels un produit Apple est utilisé » ;
  • l'utilisation des services Apple, « y compris les recherches que vous effectuez », ces informations n'étant pas associées à l'adresse IP de l'utilisateur, « sauf dans de très rares cas pour assurer la qualité de nos services en ligne ».

Cette liste révèle que la définition des « données personnelles » retenue par Apple est bien différente de celle retenue par le droit européen. En droit européen, une information est une donnée personnelle du moment qu'elle peut être associée à une personne unique, peu importe que l'identité de cette personne soit connue ou non. Or, l'identifiant unique de l'appareil, l'adresse IP ou, dans bien des cas aussi, les recherches effectuées ou la localisation, sont bien associables à une personne unique par elles-mêmes.

Ainsi, l'entreprise a beau jeu de préciser que « si nous associons des données non-personnelles à des données personnelles, les données ainsi combinées seront traitées comme des données à caractère personnel ». En effet, les données qu'elle dit « non-personnelles » et qu'elle associe ensembles constituent déja des données personnelles, que le droit européen interdit d'utiliser « à quelque fin que ce soit ». C'est bien pourtant ce qu'Apple nous demande d'accepter pour utiliser ses services (et sans qu'on sache dans quelle mesure il utilise ou utilisera un jour ce blanc-seing).

Le méga-cookie Apple

En dehors de l'immense incertitude quant aux pouvoirs qu'Apple s'arroge via sa définition erronée des « données non-personnelles », un danger est déjà parfaitement actuel : l'identifiant publicitaire unique qu'Apple fournit à chaque application.

Comme nous l'avions déjà vu pour Google (le fonctionnement est identique), Apple associe à chaque appareil un identifiant unique à fins publicitaires. Cet identifiant est librement accessible par chaque application installée (l'utilisateur n'est pas invité à en autoriser l'accès au cas par cas - l'accès est automatiquement donné).

Cet identifiant, encore plus efficace qu'un simple « cookie », permet d'individualiser chaque utilisateur et, ainsi, de retracer parfaitement ses activités sur l'ensemble de ses applications. Apple fournit donc à des entreprises tierces un outil décisif pour établir le profil de chaque utilisateur - pour sonder notre esprit afin de mieux nous manipuler, de nous soumettre la bonne publicité au bon moment (exactement de la même façon que nous le décrivions au sujet de Facebook).

On comprend facilement l'intérêt qu'en tire Apple : attirer sur ses plateformes le plus grand nombre d'applications, afin que celles-ci attirent le plus grand nombre d'utilisateurs, qui se retrouveront enfermés dans le système Apple.

Tel que déjà évoqué, les entreprises tierces sont d'autant plus incitées à venir sur l'App Store depuis que Apple les empêche de recourir aux juteux « cookies tiers » sur le Web - que Safari bloque par défaut. En effet, à quoi bon se battre contre Apple pour surveiller la population sur des sites internets alors que cette même entreprise offre gratuitement les moyens de le faire sur des applications ? La protection offerte par Safari apparaît dès lors sous des traits biens cyniques.

Un identifiant illégal

Contrairement au méga-cookie offert par Google sur Android, celui d'Apple est désactivable : l'utilisateur peut lui donner comme valeur « 0 ». Ce faisant, Apple prétend « laisser le choix » de se soumettre ou non à la surveillance massive qu'il permet.

Or, ce choix est largement illusoire : au moment de l'acquisition et de l'installation d'un appareil, le méga-cookie d'Apple est activé par défaut, et l'utilisateur n'est pas invité à faire le moindre choix à son sujet. Ce n'est qu'ultérieurement, s'il a connaissance de l'option appropriée et en comprend le fonctionnement et l'intérêt, que l'utilisateur peut vraiment faire ce choix. Et Apple sait pertinemment que la plupart de ses clients n'auront pas cette connaissance ou cette compréhension, et qu'aucun choix ne leur aura donc été véritablement donné.

C'est pourtant bien ce qu'exige la loi. La directive « ePrivacy » exige le consentement de l'utilisateur pour accéder aux informations contenues sur sa machine, tel que ce méga-cookie. Le règlement général sur la protection des données (RGPD) exige que ce consentement soit donné de façon explicite, par un acte positif dont le seul but est d'accepter l'accès aux données. Or, Apple ne demande jamais ce consentement, le considérant comme étant donné par défaut.

Pour respecter la loi, il devrait, au moment de l'installation de la machine, exiger que l'utilisateur choisisse s'il veut ou non que lui soit associé un identifiant publicitaire unique. Si l'utilisateur refuse, il doit pouvoir terminer l'installation et utiliser librement l'appareil. C'est ce que nous exigerons collectivement devant la CNIL.

D'ailleurs, la solution que nous exigeons est bien celle qui avait été retenue par Microsoft, l'été dernier, pour mettre Windows 10 en conformité avec la loi lorsque la CNIL lui faisait des reproches semblables à ceux que nous formulons aujourd'hui. Si Apple souhaite véritablement respecter les droits de ses utilisateurs, tel qu'il le prétend aujourd'hui hypocritement, la voie lui est donc clairement ouverte.

S'il ne prend pas cette voie, il sera le GAFAM dont la sanction, d'un montant maximum de 8 milliards d'euros, sera, pour l'Europe, la plus rentable. De quoi commencer à rééquilibrer les conséquences de son évasion fiscale, qui lui a déjà valu en 2016 une amende de 13 milliards d'euros, encore en attente de paiement (pour approfondir cet aspect, plus éloigné de notre action centrée sur les données personnelles, voir les actions conduites par ATTAC).

Contre l'emprise des GAFAM sur nos vies, allez dès maintenant sur gafam.laquadrature.net signer les plaintes collectives que nous déposerons le 25 mai devant la CNIL.

]]>
Pourquoi attaquer Google ?10498 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180503_182038_Pourquoi_attaquer_Google__Thu, 03 May 2018 16:20:38 +000003 Mai 2018 - Deuxième titan de l'Internet que nous attaquons, Google est plus subtil dans sa surveillance. La stratégie est différente de celle de Facebook mais tout autant contraire à nos libertés. Démystifions cela.

L'entreprise

Fondée il y a 20 ans par Larry Page et Sergueï Brin, créateurs du moteur de recherche Google, l'entreprise compte aujourd'hui 74 000 salariés et 90,6 milliards d'euros de chiffre d'affaire. Son modèle économique n'est pas exclusivement basé sur la publicité, bien que ses revenus publicitaires représentent 86 % de son chiffre d'affaires.

Aujourd'hui, Google est une filiale d'Alphabet, la maison-mère d'un groupe implanté partout dans le monde1. Ses services se sont multipliés : gestion des e-mails avec Gmail, du calendrier avec Agenda, stockage et édition de documents avec Drive et Gsuite, mobile avec Android, publication de vidéos avec Youtube, etc.

Ce que Google sait de nous

Google soumet presque tous ses services à un corpus unique de « règles de confidentialité » qui prévoient que l'entreprise peut collecter :

  • nom, photo, adresse e-mail et numéro de téléphone renseignés par les personnes ayant un compte Google ;
  • identifiant de l'appareil ;
  • informations sur l'utilisation des services (vidéos, images consultées, quand et comment) et l'historique de navigation ;
  • les requêtes de recherches (sur Google search, Youtube, Maps, etc.) ;
  • le numéro de téléphone des personnes appelées ou contactées par SMS, l'heure, la date et la durée des appels, ainsi que la liste des contacts ajoutés ;
  • l'adresse IP depuis laquelle les services sont utilisés ;
  • la localisation des appareils, définie à partir de l'adresse IP, de signaux GPS, des points d'accès WiFi et des antennes-relais téléphoniques à proximité ;
  • d'autres informations collectées par les partenaires de Google.

Google explique utiliser toutes ces données pour mieux cibler ses utilisateurs afin de leur proposer les publicités les plus à même de les convaincre, au bon moment. Comme nous l'avons vu avec Facebook, l'analyse en masse d'informations d'apparence anodines permet d'établir des corrélations censées cerner en détail l'intimité de chaque personne.

Même si Google permet de limiter l'interconnexion de certains types de données brutes (localisation, recherches effectuées et vidéos consultées), il ne laisse aucun contrôle sur tous les autres types de données. Surtout, il ne permet pas de bloquer l'analyse faite sur les données dérivées (nos profils), qui sont pourtant les plus sensibles, et que nous sommes contraints d'abandonner à Google pour utiliser ses services. L'accès aux services Google implique l'obligation de céder ces informations personnelles. Cet abandon résultant d'un consentement non-libre, l'analyse de ces données est illicite — c'est ce que nous attaquons.

La chimère du contrôle

Il ne faut pas se tromper sur le soi-disant contrôle que Google nous laisserait sur l'interconnexion de certains types de données (localisation, recherches, vidéos). Par défaut, Google récupère et croise une quantité monstrueuse de données. Il ne suffit pas que l'entreprise nous donne la possibilité de limiter certaines mesures pour que celles-ci deviennent licites. Qui a déjà activé les options limitant la collecte de données personnelles par Google ? L'entreprise tente de s'acheter une image en laissant à l'utilisateur, par un acte volontaire, cette possibilité, en sachant pertinemment que la majorité des utilisateur ne le feront pas. Le consentement est alors dérobé.

Heureusement, le règlement général sur la protection des données (RGPD) a parfaitement anticipé cette tentative de contourner notre volonté. Il prévoit précisément que, pour être valide, notre consentement doit être explicite : « il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité » (considérant 32). Or, les mesures de surveillance sur lesquelles Google feint de nous laisser un certain contrôle sont « acceptées » par défaut au moyen de cases précochées. Puisqu'elles ne reposent pas sur un consentement explicite, ces mesures sont illicites — nous l'attaquons aussi.

Gmail

Google s'autorise à analyser le contenu des e-mails de ses utilisateurs, envoyés comme reçus. L'entreprise se permet ainsi clairement d'analyser les correspondances de ses utilisateurs. Plus sournois encore, Google lit les conversations avec les correspondants des utilisateurs de Gmail alors que ceux-ci n'ont jamais donné leur consentement et n'ont même jamais été informés de cette surveillance.

De plus, même si Google a annoncé (EN) ne plus souhaiter analyser le contenu des e-mails à des fins publicitaires, ses « règles » continuent à l'y autoriser — rendant ses déclarations bien superficielles.

Dans tous les cas, en dehors de l'analyse à des fins publicitaires, Google entend bien continuer à analyser les contenus des e-mails pour « nourrir » ses algorithmes de prédiction (et les algorithmes de Google sont, sur le long terme, probablement ce que l'entreprise a de plus précieux).

Ainsi, sur Gmail, l'entreprise présente ses algorithmes comme des assistants à la gestion des rendez-vous et des correspondances et en affiche fièrement l'ambition : remplacer les humains dans la multitude de choix qu'elle juge « secondaires » (avec qui parler, quand, pour dire quoi), pour que l'humanité reste concentrée sur ce à quoi elle devrait être dédiée - être productive.

Enfin, s'agissant de son activité traditionnelle — la publicité —, Google ne se cache pas de continuer à analyser les métadonnées des e-mails (qui parle avec qui, quand, à quelle fréquence) pour identifier plus précisément ses utilisateurs et leurs contacts. Cette analyse se retrouve également dans l'application maison de messageries instantanées, Allo : les messages sont par défaut enregistrés sur les serveurs de Google. Pire, les messages vocaux sont écoutés et transcrits par Google et l'utilisateur ne peut pas s'y opposer.

Ces métadonnées, qui sont créées « par des machines, pour des machines », sont bien plus simples à analyser automatiquement que le contenu des e-mails (écrit par des humains, et donc soumis à la subtilité du langage) tout en pouvant révéler des informations au moins aussi intimes : savoir que vous écrivez subitement à un cancerologue peut révéler plus d'informations sur votre état de santé que le détail de ce que vous lui dites, par exemple.

Ici, au cœur de l'activité de Google, plus question de laisser à l'utilisateur le moindre contrôle sur ce qui peut être ou non analysé — pour utiliser Gmail, nous devons entièrement céder notre droit fondamental à la confidentialité de nos communications (ainsi que celui de nos correspondants, malgré eux).

Google nous piste sur le Web

16 % du chiffre d'affaires de Google proviennent de ses activités d'entremetteur publicitaire, qui consiste à mettre en relation des annonceurs avec « plus de deux millions » de sites ou blogs tiers qui souhaitent se rémunérer par la publicité ciblée. Sur chacun de ces sites, c'est Google qui affiche techniquement chaque publicité, et cet affichage lui permet de déposer les cookies et autres pisteurs grâce auxquels il peut retracer la navigation de tout internaute (inscrit ou non à ses services). Ici encore, nous n'avons jamais consenti de façon valide à ce pistage.

De l'exacte même façon, Google nous piste sur les innombrables sites qui ont recours au service Google Analytics. Ce service aide les sites à analyser l'identité de leurs visiteurs, tout en laissant Google accéder aux mêmes informations.

Une simple analyse de trafic2 sur des sites comme lemonde.fr, lefigaro.fr, hadopi.fr ou defense.gouv.fr permet par exemple de constater qu'en accédant à ces sites, diverses requêtes sont envoyées à doubleclick.net (la régie publicitaire de Google) et/ou google-analytics.com, permettant à Google de connaître ne serait-ce que notre adresse IP, la configuration unique de notre navigateur et l'adresse URL de chaque page visitée sur chacun de ces sites.

Les responsables de ces sites sont tout autant responsables que Google de ce pistage illégal - nous nous en prendrons à eux plus tard - par lequel le géant publicitaire peut encore plus précisément nous ficher.

Enfin, Google compte bien étendre sa présence sur l'ensemble du Web en régulant lui-même la publicité : en configurant son navigateur Google Chrome (utilisé par 60 % des internautes) pour qu'il bloque partout sur le Web les publicités qui ne correspondraient pas aux critères (de format, d'ergonomie...) décidés par l'entreprise. Le message est ainsi clair : « si vous voulez faire de la publicité en ligne, utilisez les services Google, vous vous éviterez bien des soucis ! »

D'une pierre trois coups, Google passe d'une part pour un défenseur de la vie privée (puisqu'il bloque certaines publicités intrusives), incite d'autre part les internautes à désactiver les bloqueurs tiers (tel que uBlocks Origin qui neutralise efficacement nombre de traçeurs de Google) puisque que Google Chrome en intègre un par défaut, et incite enfin encore plus d'éditeurs de page Web à afficher ses publicités et donc à intégrer ses traçeurs, partout, tout le temps.

Youtube

La plus grosse plateforme vidéo d'Internet (et le second site le plus visité au monde, d'après Alexa), Youtube, appartient à Google.

Youtube ne se contente pas seulement d'héberger des vidéos : il s'agit d'un véritable média social de contenus multimédia, qui met en relation des individus et régule ces relations.

En effet, lorsqu'une vidéo est visionnée sur Youtube, dans 70 % des cas, l'utilisateur à été amené à cliquer sur cette vidéo via l'algorithme de recommandation de Youtube. Un ancien employé de Youtube, Guillaume Chaslot3, expose les conséquences de cet algorithme. Le but de l'algorithme n'est pas de servir l'utilisateur mais de servir la plateforme, c'est-à-dire de faire en sorte que l'on reste le plus longtemps possible sur la plateforme, devant les publicités. L'employé raconte que lors de la mise en ligne d'une vidéo, celle-ci est d'abord montrée à un échantillon de personnes et n'est recommandée aux autres utilisateurs que si elle a retenu cet échantillon de spectateurs suffisamment longtemps devant l'écran.

Cet algorithme ne se pose pas la question du contenu - de sa nature, de son message… En pratique, cependant, l'ancien employé constate que les contenus les plus mis en avant se trouvent être les contenus agressifs, diffamants, choquants ou complotistes. Guillaume Chaslot compare : « C'est comme une bagarre dans la rue, les gens s'arrêtent pour regarder. »

Nécessairement, on comprend que, en réponse à cet algorithme, de nombreux créateurs de contenus se soient spontanément adaptés, proposant des contenus de plus en plus agressifs.

Dans le but de faire le maximum de vues, Youtube surveille donc le moindre des faits et gestes des utilisateurs afin de les mettre dans la condition la plus propice à recevoir de la publicité et afin de les laisser exposés à cette publicité le plus longtemps possible… mais ce n'est pas tout !

Youtube, désirant ne pas perdre une seconde de visionnage de ses utilisateurs, ne prend pas le risque de leur recommander des contenus trop extravagants et se complait à les laisser dans leur zone de confort. L'ancien employé déclare qu'ils ont refusé plusieurs fois de modifier l'algorithme de façon à ce que celui-ci ouvre l'utilisateur à des contenus inhabituels. Dans ces conditions, le débat public est entièrement déformé, les discussions les plus subtiles ou précises, jugées peu rentables, s'exposant à une censure par enterrement.

De plus, Youtube bénéficie du statut d'hébergeur et n'est donc pas considéré comme étant a priori responsable des propos tenus sur sa plateforme. En revanche, il est tenu de retirer un contenu « manifestement illicite » si celui-ci lui a été notifié. Compte tenu de la quantité de contenus que brasse Youtube, il a décidé d'automatiser la censure des contenus potentiellement « illicites », portant atteinte au droit de certains « auteurs », au moyen de son RobotCopyright, appelé « ContentID ». Pour être reconnu « auteur » sur la plateforme, il faut répondre à des critères fixés par Youtube. Une fois qu'un contenu est protégé par ce droit attribué par Youtube (en pratique, il s'agit en majorité de grosses chaînes de télévision), la plateforme se permet de démonétiser ou supprimer les vidéos réutilisant le contenu « protégé » à la demande de leur « auteurs ».

Un moyen de censure de plus qui démontre que Youtube ne souhaite pas permettre à chacun de s'exprimer (contrairement à son slogan « Broadcast yourself ») mais cherche simplement à administrer l'espace de débat public pour favoriser la centralisation et le contrôle de l'information. Et pour cause, cette censure et cet enfermement dans un espace de confort est le meilleur moyen d'emprisonner les utilisateurs dans son écosystème au service de la publicité.

Contrairement à ce que Google tente de nous faire croire, la surveillance et la censure ne sont pas la condition inévitable pour s'échanger des vidéos en ligne. On peut parfaitement le faire en total respect de nos droits. PeerTube est une plateforme de partage de vidéos proposant les mêmes fonctionnalités que Youtube mais fonctionne avec des rouages différents. Les vidéos ne sont pas toutes hébergées au même endroit : n'importe qui peut créer son instance et héberger chez lui des vidéos. Les différentes instances sont ensuite connectées entre elles. Chaque instance a donc ses propres règles, il n'y a pas une politique de censure unifiée comme sur Youtube, et surtout ces règles ne sont pas dictées par une logique commerciale.

Infiltration de l'open source sur Android, cheval de Troie de la surveillance

Google porte le logiciel Android, son système d'exploitation pour smartphones. En diffusant des outils réutilisables afin d'« aider » les développeurs à développer des applications mobiles pour Android, Google a réussi à faire largement adopter ses « pratiques » par de nombreux développeurs : les codes diffusés contiennent souvent des pisteurs Google et ceux-ci se retrouvent ainsi intégrés dans de nombreuses applications qui, a priori, n'ont absolument aucune raison de révéler à l'entreprise des informations sur leurs utilisateurs.

C'est ce que révèle parfaitement l'association Exodus Privacy : des traces des pisteurs Google Ads, Firebase Analytics, Google Analytics ou DoubleClick ont été retrouvées dans le code de plus de 3 000 applications analysées, dont Deezer, Spotify, Uber, Tinder, Twitter, Le Figaro, L'Equipe, Crédit Agricole, Boursorama ou Angry Birds.

Par ailleurs, Google tente régulièrement de s'acheter une image au sein du milieu du logiciel libre. Ainsi, les sources de Android sont libres de droit. Cela ne veut pas dire que son développement est ouvert : Google choisit quasiment seul les directions dans le développement du système.

En outre, en plus du système Android stricto sensu, Google impose aux constructeurs de smartphones d'embarquer sur leurs produits les mouchards que sont ses applications. En effet, le marché des applications étant ce qu'il est, les constructeurs de smartphone considèrent qu'un téléphone Android ne se vendra pas s'il n'intègre pas le Play Store (magasin d'applications) fourni par Google.

Or, pour pourvoir accéder au Play Store, un téléphone doit avoir les applications de surveillance de Google. Ces services Google étendent les possibilités du système et deviennent parfois indispensables pour faire fonctionner un certain nombre d'applications4, permettant à l'entreprise de traquer les utilisateurs de smartphones : la géolocalisation continue de l'utilisateur est récupérée, permettant à Google de connaître les habitudes de déplacement des usagers ; la liste des réseaux WiFi est envoyée à Google quand bien même l'utilisateur a désactivé le WiFi de son téléphone ; le Play Store impose de synchroniser son compte Google, permettant un recoupage encore plus fin des données.

Et, bien évidemment, ces services Google ne sont pas libres. Android devient donc le prétexte open-source pour placer dans la poche de l'utilisateur toute une série d'applications Google dont le but est d'espionner. Cela n'empêche pas l'entreprise de communiquer massivement sur ses projets libres très souvent intéressés, à l'image de son dernier outil libre de tracking.

Enfin, l'intégration du Play Store conduit à attribuer automatiquement un identifiant publicitaire unique à chaque utilisateur. Cet identifiant est gratuitement mis à disposition de toutes les applications et, à la façon d'un « méga-cookie », permet aux applications de tracer le comportement des utilisateurs sur l'ensemble des services utilisés. Ici, les outils de surveillance de Google sont gracieusement offerts à des développeurs tiers afin d'attirer le plus grand nombre d'applications sur Android — où Google, au sommet de cette structure, pourra librement surveiller tout un chacun.

Rejoignez la procédure

  • 1. Des discussions sont en cours entre Alphabet et la Chine afin que le moteur de recherche Google puisse faire son retour. Après avoir initialement accepté la censure d'État, Google a quitté le pays en 2012 en refusant de se plier aux injonctions de censure. Pourtant, Google semble sur la voie d'un nouveau retournement de veste puisque la réintroduction de l'application mobile Translate s'est faite parce que le gouvernement chinois est autorisé à censurer certains termes.
  • 2. La plupart des navigateurs permettent d'analyser très simplement les requêtes faites sur une page Web pour demander, à ce site ou à un tiers, divers contenus : images, scripts, cookies... Vous pouvez voir ici comment faire sur Firefox ou Chrome (EN).
  • 3. Guillaume Chaslot a notamment donné un entretien à ce sujet dans le numéro 5 de la revue Vraiment, paru le 18 avril 2018.
  • 4. Paradoxalement, la messagerie chiffrée Signal, pourtant recommandée par un certain nombre de personnalités comme Edward Snowden pour ses vertus en termes de protection de la vie privée, a pendant longtemps requis que les services Google soient installés sur le téléphone. Aujourd'hui encore, même si cette dépendance n'existe plus, l'application se comportera mieux si les services Google sont présents sur le téléphone.
]]>
03 Mai 2018 - Deuxième titan de l'Internet que nous attaquons, Google est plus subtil dans sa surveillance. La stratégie est différente de celle de Facebook mais tout autant contraire à nos libertés. Démystifions cela.

L'entreprise

Fondée il y a 20 ans par Larry Page et Sergueï Brin, créateurs du moteur de recherche Google, l'entreprise compte aujourd'hui 74 000 salariés et 90,6 milliards d'euros de chiffre d'affaire. Son modèle économique n'est pas exclusivement basé sur la publicité, bien que ses revenus publicitaires représentent 86 % de son chiffre d'affaires.

Aujourd'hui, Google est une filiale d'Alphabet, la maison-mère d'un groupe implanté partout dans le monde1. Ses services se sont multipliés : gestion des e-mails avec Gmail, du calendrier avec Agenda, stockage et édition de documents avec Drive et Gsuite, mobile avec Android, publication de vidéos avec Youtube, etc.

Ce que Google sait de nous

Google soumet presque tous ses services à un corpus unique de « règles de confidentialité » qui prévoient que l'entreprise peut collecter :

  • nom, photo, adresse e-mail et numéro de téléphone renseignés par les personnes ayant un compte Google ;
  • identifiant de l'appareil ;
  • informations sur l'utilisation des services (vidéos, images consultées, quand et comment) et l'historique de navigation ;
  • les requêtes de recherches (sur Google search, Youtube, Maps, etc.) ;
  • le numéro de téléphone des personnes appelées ou contactées par SMS, l'heure, la date et la durée des appels, ainsi que la liste des contacts ajoutés ;
  • l'adresse IP depuis laquelle les services sont utilisés ;
  • la localisation des appareils, définie à partir de l'adresse IP, de signaux GPS, des points d'accès WiFi et des antennes-relais téléphoniques à proximité ;
  • d'autres informations collectées par les partenaires de Google.

Google explique utiliser toutes ces données pour mieux cibler ses utilisateurs afin de leur proposer les publicités les plus à même de les convaincre, au bon moment. Comme nous l'avons vu avec Facebook, l'analyse en masse d'informations d'apparence anodines permet d'établir des corrélations censées cerner en détail l'intimité de chaque personne.

Même si Google permet de limiter l'interconnexion de certains types de données brutes (localisation, recherches effectuées et vidéos consultées), il ne laisse aucun contrôle sur tous les autres types de données. Surtout, il ne permet pas de bloquer l'analyse faite sur les données dérivées (nos profils), qui sont pourtant les plus sensibles, et que nous sommes contraints d'abandonner à Google pour utiliser ses services. L'accès aux services Google implique l'obligation de céder ces informations personnelles. Cet abandon résultant d'un consentement non-libre, l'analyse de ces données est illicite — c'est ce que nous attaquons.

La chimère du contrôle

Il ne faut pas se tromper sur le soi-disant contrôle que Google nous laisserait sur l'interconnexion de certains types de données (localisation, recherches, vidéos). Par défaut, Google récupère et croise une quantité monstrueuse de données. Il ne suffit pas que l'entreprise nous donne la possibilité de limiter certaines mesures pour que celles-ci deviennent licites. Qui a déjà activé les options limitant la collecte de données personnelles par Google ? L'entreprise tente de s'acheter une image en laissant à l'utilisateur, par un acte volontaire, cette possibilité, en sachant pertinemment que la majorité des utilisateur ne le feront pas. Le consentement est alors dérobé.

Heureusement, le règlement général sur la protection des données (RGPD) a parfaitement anticipé cette tentative de contourner notre volonté. Il prévoit précisément que, pour être valide, notre consentement doit être explicite : « il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité » (considérant 32). Or, les mesures de surveillance sur lesquelles Google feint de nous laisser un certain contrôle sont « acceptées » par défaut au moyen de cases précochées. Puisqu'elles ne reposent pas sur un consentement explicite, ces mesures sont illicites — nous l'attaquons aussi.

Gmail

Google s'autorise à analyser le contenu des e-mails de ses utilisateurs, envoyés comme reçus. L'entreprise se permet ainsi clairement d'analyser les correspondances de ses utilisateurs. Plus sournois encore, Google lit les conversations avec les correspondants des utilisateurs de Gmail alors que ceux-ci n'ont jamais donné leur consentement et n'ont même jamais été informés de cette surveillance.

De plus, même si Google a annoncé (EN) ne plus souhaiter analyser le contenu des e-mails à des fins publicitaires, ses « règles » continuent à l'y autoriser — rendant ses déclarations bien superficielles.

Dans tous les cas, en dehors de l'analyse à des fins publicitaires, Google entend bien continuer à analyser les contenus des e-mails pour « nourrir » ses algorithmes de prédiction (et les algorithmes de Google sont, sur le long terme, probablement ce que l'entreprise a de plus précieux).

Ainsi, sur Gmail, l'entreprise présente ses algorithmes comme des assistants à la gestion des rendez-vous et des correspondances et en affiche fièrement l'ambition : remplacer les humains dans la multitude de choix qu'elle juge « secondaires » (avec qui parler, quand, pour dire quoi), pour que l'humanité reste concentrée sur ce à quoi elle devrait être dédiée - être productive.

Enfin, s'agissant de son activité traditionnelle — la publicité —, Google ne se cache pas de continuer à analyser les métadonnées des e-mails (qui parle avec qui, quand, à quelle fréquence) pour identifier plus précisément ses utilisateurs et leurs contacts. Cette analyse se retrouve également dans l'application maison de messageries instantanées, Allo : les messages sont par défaut enregistrés sur les serveurs de Google. Pire, les messages vocaux sont écoutés et transcrits par Google et l'utilisateur ne peut pas s'y opposer.

Ces métadonnées, qui sont créées « par des machines, pour des machines », sont bien plus simples à analyser automatiquement que le contenu des e-mails (écrit par des humains, et donc soumis à la subtilité du langage) tout en pouvant révéler des informations au moins aussi intimes : savoir que vous écrivez subitement à un cancerologue peut révéler plus d'informations sur votre état de santé que le détail de ce que vous lui dites, par exemple.

Ici, au cœur de l'activité de Google, plus question de laisser à l'utilisateur le moindre contrôle sur ce qui peut être ou non analysé — pour utiliser Gmail, nous devons entièrement céder notre droit fondamental à la confidentialité de nos communications (ainsi que celui de nos correspondants, malgré eux).

Google nous piste sur le Web

16 % du chiffre d'affaires de Google proviennent de ses activités d'entremetteur publicitaire, qui consiste à mettre en relation des annonceurs avec « plus de deux millions » de sites ou blogs tiers qui souhaitent se rémunérer par la publicité ciblée. Sur chacun de ces sites, c'est Google qui affiche techniquement chaque publicité, et cet affichage lui permet de déposer les cookies et autres pisteurs grâce auxquels il peut retracer la navigation de tout internaute (inscrit ou non à ses services). Ici encore, nous n'avons jamais consenti de façon valide à ce pistage.

De l'exacte même façon, Google nous piste sur les innombrables sites qui ont recours au service Google Analytics. Ce service aide les sites à analyser l'identité de leurs visiteurs, tout en laissant Google accéder aux mêmes informations.

Une simple analyse de trafic2 sur des sites comme lemonde.fr, lefigaro.fr, hadopi.fr ou defense.gouv.fr permet par exemple de constater qu'en accédant à ces sites, diverses requêtes sont envoyées à doubleclick.net (la régie publicitaire de Google) et/ou google-analytics.com, permettant à Google de connaître ne serait-ce que notre adresse IP, la configuration unique de notre navigateur et l'adresse URL de chaque page visitée sur chacun de ces sites.

Les responsables de ces sites sont tout autant responsables que Google de ce pistage illégal - nous nous en prendrons à eux plus tard - par lequel le géant publicitaire peut encore plus précisément nous ficher.

Enfin, Google compte bien étendre sa présence sur l'ensemble du Web en régulant lui-même la publicité : en configurant son navigateur Google Chrome (utilisé par 60 % des internautes) pour qu'il bloque partout sur le Web les publicités qui ne correspondraient pas aux critères (de format, d'ergonomie...) décidés par l'entreprise. Le message est ainsi clair : « si vous voulez faire de la publicité en ligne, utilisez les services Google, vous vous éviterez bien des soucis ! »

D'une pierre trois coups, Google passe d'une part pour un défenseur de la vie privée (puisqu'il bloque certaines publicités intrusives), incite d'autre part les internautes à désactiver les bloqueurs tiers (tel que uBlocks Origin qui neutralise efficacement nombre de traçeurs de Google) puisque que Google Chrome en intègre un par défaut, et incite enfin encore plus d'éditeurs de page Web à afficher ses publicités et donc à intégrer ses traçeurs, partout, tout le temps.

Youtube

La plus grosse plateforme vidéo d'Internet (et le second site le plus visité au monde, d'après Alexa), Youtube, appartient à Google.

Youtube ne se contente pas seulement d'héberger des vidéos : il s'agit d'un véritable média social de contenus multimédia, qui met en relation des individus et régule ces relations.

En effet, lorsqu'une vidéo est visionnée sur Youtube, dans 70 % des cas, l'utilisateur à été amené à cliquer sur cette vidéo via l'algorithme de recommandation de Youtube. Un ancien employé de Youtube, Guillaume Chaslot3, expose les conséquences de cet algorithme. Le but de l'algorithme n'est pas de servir l'utilisateur mais de servir la plateforme, c'est-à-dire de faire en sorte que l'on reste le plus longtemps possible sur la plateforme, devant les publicités. L'employé raconte que lors de la mise en ligne d'une vidéo, celle-ci est d'abord montrée à un échantillon de personnes et n'est recommandée aux autres utilisateurs que si elle a retenu cet échantillon de spectateurs suffisamment longtemps devant l'écran.

Cet algorithme ne se pose pas la question du contenu - de sa nature, de son message… En pratique, cependant, l'ancien employé constate que les contenus les plus mis en avant se trouvent être les contenus agressifs, diffamants, choquants ou complotistes. Guillaume Chaslot compare : « C'est comme une bagarre dans la rue, les gens s'arrêtent pour regarder. »

Nécessairement, on comprend que, en réponse à cet algorithme, de nombreux créateurs de contenus se soient spontanément adaptés, proposant des contenus de plus en plus agressifs.

Dans le but de faire le maximum de vues, Youtube surveille donc le moindre des faits et gestes des utilisateurs afin de les mettre dans la condition la plus propice à recevoir de la publicité et afin de les laisser exposés à cette publicité le plus longtemps possible… mais ce n'est pas tout !

Youtube, désirant ne pas perdre une seconde de visionnage de ses utilisateurs, ne prend pas le risque de leur recommander des contenus trop extravagants et se complait à les laisser dans leur zone de confort. L'ancien employé déclare qu'ils ont refusé plusieurs fois de modifier l'algorithme de façon à ce que celui-ci ouvre l'utilisateur à des contenus inhabituels. Dans ces conditions, le débat public est entièrement déformé, les discussions les plus subtiles ou précises, jugées peu rentables, s'exposant à une censure par enterrement.

De plus, Youtube bénéficie du statut d'hébergeur et n'est donc pas considéré comme étant a priori responsable des propos tenus sur sa plateforme. En revanche, il est tenu de retirer un contenu « manifestement illicite » si celui-ci lui a été notifié. Compte tenu de la quantité de contenus que brasse Youtube, il a décidé d'automatiser la censure des contenus potentiellement « illicites », portant atteinte au droit de certains « auteurs », au moyen de son RobotCopyright, appelé « ContentID ». Pour être reconnu « auteur » sur la plateforme, il faut répondre à des critères fixés par Youtube. Une fois qu'un contenu est protégé par ce droit attribué par Youtube (en pratique, il s'agit en majorité de grosses chaînes de télévision), la plateforme se permet de démonétiser ou supprimer les vidéos réutilisant le contenu « protégé » à la demande de leur « auteurs ».

Un moyen de censure de plus qui démontre que Youtube ne souhaite pas permettre à chacun de s'exprimer (contrairement à son slogan « Broadcast yourself ») mais cherche simplement à administrer l'espace de débat public pour favoriser la centralisation et le contrôle de l'information. Et pour cause, cette censure et cet enfermement dans un espace de confort est le meilleur moyen d'emprisonner les utilisateurs dans son écosystème au service de la publicité.

Contrairement à ce que Google tente de nous faire croire, la surveillance et la censure ne sont pas la condition inévitable pour s'échanger des vidéos en ligne. On peut parfaitement le faire en total respect de nos droits. PeerTube est une plateforme de partage de vidéos proposant les mêmes fonctionnalités que Youtube mais fonctionne avec des rouages différents. Les vidéos ne sont pas toutes hébergées au même endroit : n'importe qui peut créer son instance et héberger chez lui des vidéos. Les différentes instances sont ensuite connectées entre elles. Chaque instance a donc ses propres règles, il n'y a pas une politique de censure unifiée comme sur Youtube, et surtout ces règles ne sont pas dictées par une logique commerciale.

Infiltration de l'open source sur Android, cheval de Troie de la surveillance

Google porte le logiciel Android, son système d'exploitation pour smartphones. En diffusant des outils réutilisables afin d'« aider » les développeurs à développer des applications mobiles pour Android, Google a réussi à faire largement adopter ses « pratiques » par de nombreux développeurs : les codes diffusés contiennent souvent des pisteurs Google et ceux-ci se retrouvent ainsi intégrés dans de nombreuses applications qui, a priori, n'ont absolument aucune raison de révéler à l'entreprise des informations sur leurs utilisateurs.

C'est ce que révèle parfaitement l'association Exodus Privacy : des traces des pisteurs Google Ads, Firebase Analytics, Google Analytics ou DoubleClick ont été retrouvées dans le code de plus de 3 000 applications analysées, dont Deezer, Spotify, Uber, Tinder, Twitter, Le Figaro, L'Equipe, Crédit Agricole, Boursorama ou Angry Birds.

Par ailleurs, Google tente régulièrement de s'acheter une image au sein du milieu du logiciel libre. Ainsi, les sources de Android sont libres de droit. Cela ne veut pas dire que son développement est ouvert : Google choisit quasiment seul les directions dans le développement du système.

En outre, en plus du système Android stricto sensu, Google impose aux constructeurs de smartphones d'embarquer sur leurs produits les mouchards que sont ses applications. En effet, le marché des applications étant ce qu'il est, les constructeurs de smartphone considèrent qu'un téléphone Android ne se vendra pas s'il n'intègre pas le Play Store (magasin d'applications) fourni par Google.

Or, pour pourvoir accéder au Play Store, un téléphone doit avoir les applications de surveillance de Google. Ces services Google étendent les possibilités du système et deviennent parfois indispensables pour faire fonctionner un certain nombre d'applications4, permettant à l'entreprise de traquer les utilisateurs de smartphones : la géolocalisation continue de l'utilisateur est récupérée, permettant à Google de connaître les habitudes de déplacement des usagers ; la liste des réseaux WiFi est envoyée à Google quand bien même l'utilisateur a désactivé le WiFi de son téléphone ; le Play Store impose de synchroniser son compte Google, permettant un recoupage encore plus fin des données.

Et, bien évidemment, ces services Google ne sont pas libres. Android devient donc le prétexte open-source pour placer dans la poche de l'utilisateur toute une série d'applications Google dont le but est d'espionner. Cela n'empêche pas l'entreprise de communiquer massivement sur ses projets libres très souvent intéressés, à l'image de son dernier outil libre de tracking.

Enfin, l'intégration du Play Store conduit à attribuer automatiquement un identifiant publicitaire unique à chaque utilisateur. Cet identifiant est gratuitement mis à disposition de toutes les applications et, à la façon d'un « méga-cookie », permet aux applications de tracer le comportement des utilisateurs sur l'ensemble des services utilisés. Ici, les outils de surveillance de Google sont gracieusement offerts à des développeurs tiers afin d'attirer le plus grand nombre d'applications sur Android — où Google, au sommet de cette structure, pourra librement surveiller tout un chacun.

Rejoignez la procédure

  • 1. Des discussions sont en cours entre Alphabet et la Chine afin que le moteur de recherche Google puisse faire son retour. Après avoir initialement accepté la censure d'État, Google a quitté le pays en 2012 en refusant de se plier aux injonctions de censure. Pourtant, Google semble sur la voie d'un nouveau retournement de veste puisque la réintroduction de l'application mobile Translate s'est faite parce que le gouvernement chinois est autorisé à censurer certains termes.
  • 2. La plupart des navigateurs permettent d'analyser très simplement les requêtes faites sur une page Web pour demander, à ce site ou à un tiers, divers contenus : images, scripts, cookies... Vous pouvez voir ici comment faire sur Firefox ou Chrome (EN).
  • 3. Guillaume Chaslot a notamment donné un entretien à ce sujet dans le numéro 5 de la revue Vraiment, paru le 18 avril 2018.
  • 4. Paradoxalement, la messagerie chiffrée Signal, pourtant recommandée par un certain nombre de personnalités comme Edward Snowden pour ses vertus en termes de protection de la vie privée, a pendant longtemps requis que les services Google soient installés sur le téléphone. Aujourd'hui encore, même si cette dépendance n'existe plus, l'application se comportera mieux si les services Google sont présents sur le téléphone.
]]>
Les comptes 2017 de La Quadrature du Net10497 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180502_132450_Les_comptes_2017_de_La_Quadrature_du_NetWed, 02 May 2018 11:24:50 +0000La Quadrature du Net a pour habitude de publier sur son site web ses comptes annuels. Voici ceux de l'année 2017, qui ont été approuvés par l'Assemblée Générale du 1 avril 2018.

Commentaire de présentation

La Quadrature du Net est une association déclarée depuis 2013. La campagne de dons de 2016 a été similaire à la précédente, assurant une fois encore une bonne partie du financement sur 2017, notamment grâce aux dons récurrents et ponctuels qui (hors des temps de campagne de dons) représentent plus de 13 000 € par mois. Grâce à ces campagnes de dons et ces dons individuels réguliers, plus de 70% de notre budget est ainsi assuré.

Les dépenses pour 2017 sont assez similaires à celles de 2016, la majorité des dépenses venant des salaires des permanents et stagiaires de l'association, qui permettent d'assurer son activité au jour le jour.

Benjamin Sonntag pour La Quadrature du Net

Les comptes 2017

 

Banque  2017

%

1. SOLDE EN DEBUT DE MOIS

   

Encaissement

   

A1. Dons LQDN

   

Dons individuels

263 570,53 €

72%

Dons entreprises

11 652,26 €

3%

Dons fondations

79 693,36 €

22%

Remboursements conférences

3 721,51 €

2%

Financement d’un poste aidé

3 496,80 €

2%

Intérêts financiers

567,89 €

-%

2. TOTAL RECETTES

362 702,35 €

100%

B. Décaissements

   

B1. d'exploitation

   

B1.1 Dépenses LQDN

   

Salaires

163 293,02 €

41%

URSSAF & Tickets Restau

141 115,00 €

35%

Local (Loyer, EDF, Tel)

28 234,65 €

7%

Frais Généraux (poste, service, buro...)

5 470,14 €

2%

Équipements (informatique, vidéo …)

4 387,58 €

1%

Transport

17 109,13 €

4%

Campagnes, Communauté

14 676,40 €

4%

Frais bancaires, Assurance

3 199,49 €

1%

Divers (goodies, projets ponctuels...)

13 079,97 €

3%

Prestations de service

7 445,00 €

2%

3. TOTAL DÉPENSES

398 010,38 €

100%

C1.  Epargne

   

Livret A & Instrument Financier

83 178,55 €

 

Z1. Totaux

   

Résultat

-35 304,83 €

 
     

Compte courant au 31.12.2017

160 294,96 €

Livret A au 31.12.2017

83 178,55 €

Solde trésorerie

243 473,51 €

]]>
La Quadrature du Net a pour habitude de publier sur son site web ses comptes annuels. Voici ceux de l'année 2017, qui ont été approuvés par l'Assemblée Générale du 1 avril 2018.

Commentaire de présentation

La Quadrature du Net est une association déclarée depuis 2013. La campagne de dons de 2016 a été similaire à la précédente, assurant une fois encore une bonne partie du financement sur 2017, notamment grâce aux dons récurrents et ponctuels qui (hors des temps de campagne de dons) représentent plus de 13 000 € par mois. Grâce à ces campagnes de dons et ces dons individuels réguliers, plus de 70% de notre budget est ainsi assuré.

Les dépenses pour 2017 sont assez similaires à celles de 2016, la majorité des dépenses venant des salaires des permanents et stagiaires de l'association, qui permettent d'assurer son activité au jour le jour.

Benjamin Sonntag pour La Quadrature du Net

Les comptes 2017

 

Banque  2017

%

1. SOLDE EN DEBUT DE MOIS

   

Encaissement

   

A1. Dons LQDN

   

Dons individuels

263 570,53 €

72%

Dons entreprises

11 652,26 €

3%

Dons fondations

79 693,36 €

22%

Remboursements conférences

3 721,51 €

2%

Financement d’un poste aidé

3 496,80 €

2%

Intérêts financiers

567,89 €

-%

2. TOTAL RECETTES

362 702,35 €

100%

B. Décaissements

   

B1. d'exploitation

   

B1.1 Dépenses LQDN

   

Salaires

163 293,02 €

41%

URSSAF & Tickets Restau

141 115,00 €

35%

Local (Loyer, EDF, Tel)

28 234,65 €

7%

Frais Généraux (poste, service, buro...)

5 470,14 €

2%

Équipements (informatique, vidéo …)

4 387,58 €

1%

Transport

17 109,13 €

4%

Campagnes, Communauté

14 676,40 €

4%

Frais bancaires, Assurance

3 199,49 €

1%

Divers (goodies, projets ponctuels...)

13 079,97 €

3%

Prestations de service

7 445,00 €

2%

3. TOTAL DÉPENSES

398 010,38 €

100%

C1.  Epargne

   

Livret A & Instrument Financier

83 178,55 €

 

Z1. Totaux

   

Résultat

-35 304,83 €

 
     

Compte courant au 31.12.2017

160 294,96 €

Livret A au 31.12.2017

83 178,55 €

Solde trésorerie

243 473,51 €

]]>
Pourquoi attaquer Facebook ?10477 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180419_180557_Pourquoi_attaquer_Facebook__Thu, 19 Apr 2018 16:05:57 +000019 avril 2018 - Notre campagne d'actions de groupe commence par Facebook, qui est l'illustration la plus flagrante du modèle que nous dénonçons : rémunérer un service en échange de notre vie privée et de notre liberté de conscience. Détaillons aujourd'hui les conséquences de ses activités.

Alors que le RGPD entre en application dans un mois, Facebook campe sur ses positions et défend son modèle économique, annonçant il y a deux jours que ses services resteraient inaccessibles aux utilisateurs refusant d'être ciblés. Les modifications que l'entreprise souhaiterait faire (EN) pour, soi-disant, donner plus de contrôle à ses utilisateurs, apparaissent dès lors comme bien marginales et anecdotiques.

Revenons en détail sur les conséquences du modèle Facebook.

L'entreprise Facebook

Facebook a été créé il y a 14 ans, notamment par Mark Zuckerberg, son actuel directeur général, et emploie 25 000 salariés. Son chiffre d'affaire de 30 milliards d'euros repose à 98 % sur l'affichage publicitaire, proposé à 2,2 milliards d'utilisateurs actifs. Le site Facebook serait le 3ème site Internet le plus visité (classement Alexa), mais l'entreprise détient également WhatsApp et Messenger (services de messageries), ainsi qu'Instagram (réseau de partage de photos et de vidéos, 17ème site Internet le plus visité).

L'entreprise explique sans pudeur son fonctionnement : des personnes qui souhaitent diffuser un message (une publicité, un article, un événement, etc.) désignent à Facebook un public cible, selon certains critères sociaux, économiques ou de comportement, et paient l'entreprise pour qu'elle diffuse ce message à ce public, dans les meilleures conditions.

Ce fonctionnement implique deux choses : connaître chaque utilisateur, puis afficher les messages devant être diffusés, au bon moment et sous le bon format, pour influencer au mieux les personnes ciblées.

Détaillons la façon dont Facebook s'y prend.

Ce que Facebook analyse

Facebook explique dans sa Politique d'utilisation des données qu'il analyse les informations suivantes :

  • les contenus publics (texte, image, vidéo) que l'on diffuse sur la plateforme (c'est le plus évident, mais loin d'être le plus utile à analyser pour l'entreprise) ;
  • les messages privés envoyés sur Messenger (qui dit quoi, à qui, quand, à quelle fréquence) ;
  • la liste des personnes, pages et groupes que l'on suit ou « aime », ainsi que la manière dont on interagit avec ;
  • la façon dont on utilise le service et accède aux contenus (les articles, photos et vidéos qu'on lit, commente ou « aime », à quel moment, à quelle fréquence et pendant combien de temps) ;
  • des informations sur l'appareil depuis lequel on accède au service (adresse IP, identifiant publicitaire de l'appareil1, nom des applications, fichiers et plugins présents sur l'appareil, mouvements de la souris, points d’accès Wi-Fi et tours de télécommunication à proximité, accès à la localisation GPS et à l'appareil photo).

L'entreprise explique, toujours sans pudeur, analyser ces données pour nous proposer les contenus payés de la façon la plus « adaptée » (comprendre : de la façon la plus subtile, pour passer notre attention).

Comme on le voit, la majorité des données analysées par Facebook ne sont pas celles que l'on publie spontanément, mais celles qui ressortent de nos activités.

De l'analyse de toutes ces données résulte un nouveau jeu d'informations, qui sont les plus importantes pour Facebook et au sujet desquelles l'entreprise ne nous laisse aucun contrôle : l'ensemble des caractéristiques sociales, économiques et comportementales que le réseau associe à chaque utilisateur afin de mieux le cibler.

Ce que Facebook sait de nous

En 2013, l'université de Cambridge a conduit l'étude suivante : 58 000 personnes ont répondu à un test de personnalité, puis ce test a été recoupé à tous leurs « j'aime » laissés sur Facebook. En repartant de leurs seuls « j'aime », l'université a ensuite pu estimer leur couleur de peau (avec 95 % de certitude), leurs orientations politique (85 %) et sexuelle (80 %), leur confession religieuse (82 %), s'ils fumaient (73 %), buvaient (70 %) ou consommaient de la drogue (65 %).

Cette démonstration a permis de mettre en lumière le fonctionnement profond de l'analyse de masse : quand beaucoup d'informations peuvent être recoupées s'agissant d'un très grand nombre de personnes (plus de 2 milliards pour Facebook, rappelons-le), de très nombreuses corrélations apparaissent, donnant l'espoir, fondé ou non, de révéler automatiquement (sans analyse humaine) le détail de la personnalité de chaque individu.

Aujourd'hui, Michal Kosinski, le chercheur ayant dirigé cette étude, continue de dénoncer les dangers de l'analyse de masse automatisée : il explique (EN) que, par une telle analyse de masse, de simples photos pourraient révéler l'orientation sexuelle d'une personne, ses opinions politiques, son QI ou ses prédispositions criminelles. Qu'importe la pertinence des corrélations résultant de telles analyses de masse, c'est bien cette méthode qui a été à la source du fonctionnement de Cambridge Analytica, dont les conséquences politiques sont, elles, bien certaines.

Une application aussi révélatrice qu'inquiétante de telles méthodes est l'ambition (EN) affichée par Facebook de détecter automatiquement les personnes présentant des tendances suicidaires. En dehors de cette initiative discutable2, Facebook révèle ici l'ampleur et le détail des informations nous concernant qu'il espère déduire des analyses de masse qu'il conduit.

Comment Facebook nous influence

Une fois que l'entreprise s'est faite une idée si précise de qui nous sommes, de nos envies, de nos craintes, de notre mode de vie et de nos faiblesses, la route est libre pour nous proposer ses messages au bon moment et sous le bon format, quand ils seront les plus à même d'influencer notre volonté.

L'entreprise s'est elle-même vantée de l'ampleur de cette emprise. En 2012, elle a soumis 700 000 utilisateurs à une expérience (sans leur demander leur consentement ni les informer). Facebook modifiait le fil d'actualité de ces personnes de sorte qu'étaient mis en avant certains contenus qui influenceraient leur humeur, espérant les rendre plus joyeuse pour certaines et plus tristes pour d'autres. L'étude concluait que « les utilisateurs ciblés commençaient à utiliser davantage de mots négatifs ou positifs selon l'ampleur des contenus auxquels ils avaient été “exposés” ».

Cette expérience ne fait que révéler le fonctionnement normal de Facebook : afin de nous influencer, il hiérarchise les informations que nous pouvons consulter sur ses services (le « fil d'actualité » ne représente qu'une faible partie des contenus diffusés par les personnes que nous suivons, car ces contenus sont sélectionnés et triés par Facebook).

Cette hiérarchisation de l'information ne se contente pas d'écraser notre liberté de conscience personnelle : elle a aussi pour effet de distordre entièrement le débat public, selon des critères purement économiques et opaques, ce dont la sur-diffusion de « fakenews » n'est qu'un des nombreux symptômes.

Dans son étude annuelle de 2017, le Conseil d'État mettait en garde contre la prétendue neutralité des algorithmes dans la mise en œuvre du tri : les algorithmes sont au service de la maximisation du profit des plateformes et sont dès lors conçus pour favoriser les revenus au détriment de la qualité de l'information.

Pourquoi c'est illégal ?

Dans ses toutes nouvelles conditions d'utilisation, revues pour l'entrée en application du RGPD, Facebook explique qu'il considère être autorisé à surveiller et influencer les utilisateurs au motif que ceux-ci auraient consenti à un contrat qui le prévoirait. Or, en droit, ce contrat ne suffit en aucun cas à rendre légale ces pratiques.

Le RGPD prévoit que notre consentement n'est pas valide, car non-libre, « si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat » (article 7, §4, et considérant 43 du RGPD, interprétés par le groupe de l'article 29).

Cette exigence d'un consentement libre se répercute sur la validité des dispositions qui, dans le contrat passé avec Facebook, autoriseraient ce dernier à nous surveiller et nous influencer.

En 2017, la CNIL a condamné Facebook à 150 000 euros d'amende pour avoir réalisé ses traitements sans base légale. Elle considérait alors que « l’objet principal du service est la fourniture d’un réseau social [...], que la combinaison des données des utilisateurs à des fins de ciblage publicitaire ne correspond ni à l’objet principal du contrat ni aux attentes raisonnables des utilisateurs [et qu'il incombe donc à Facebook] de veiller à ce que les droits des personnes concernées soient respectés et notamment à ce que l’exécution d’un contrat ne les conduise pas à y renoncer ». Ainsi, la CNIL « estime que les sociétés ne peuvent se prévaloir du recueil du consentement des utilisateurs [ni] de la nécessité liée à l’exécution d’un contrat ».

Puisque le contrat passé avec Facebook n'autorise pas la surveillance décrite ci-dessus, celle-ci est illicite - c'est le cœur de nos actions de groupe ! Malheureusement, les méfaits de Facebook dépassent son propre site.

Comment Facebook collabore avec des tiers

Facebook ne cache plus son activité de traçage un peu partout sur le Web, même s'agissant de personnes n'ayant pas de compte Facebook (qui se voient alors créer un « profil fantôme »).

Les méthodes de pistage sont nombreuses :

  • des cookies (fichiers enregistrés sur votre appareil permettant à Facebook de vous identifier d'un site à l'autre) ;
  • des boutons « J'aime » ou « Partager » affichés sur de nombreux sites (ces boutons, hébergés sur les serveurs de Facebook, sont directement téléchargés par l'utilisateur, indiquant ainsi automatiquement à Facebook leur adresse IP, la configuration unique de leur navigateur et l'URL de la page visitée) ;
  • des pixels invisibles (images transparentes de 1x1 pixel) fonctionnant comme les boutons, dont le seul but est d'être téléchargés pour transmettre à Facebook les informations de connexion ;
  • Facebook Login, que certains sites ou applications (Tinder, typiquement) utilisent comme outil pour authentifier leurs utilisateurs.

Les personnes ciblées en sont rarement informées ou leur consentement n'est pas obtenu. Facebook se dédouane de cette responsabilité en la faisant peser sur les sites et applications ayant integré ses traçeurs. Bien que ces sites et applications soient bien responsables juridiquement, Facebook l'est tout autant, l'entreprise étant régulièrement condamnée pour ce pistage illicite, sans pour autant y mettre un terme :

  • en 2015 puis 2018, la CNIL puis la justice belge lui ont demandé d'y mettre un terme, avec une astreinte de 250 000 € par jour ;
  • en 2017, la CNIL française l'a condamné à 150 000 € d'amende (montant maximum, à l'époque) ;
  • en 2017, la CNIL espagnole l'a condamné à 1 200 000 € d'amende.

Facebook trace également sur smartphone

L'entreprise ne s'intéresse pas seulement aux habitudes de navigation des internautes. Les applications sur téléphone mobile sont également une cible. En fournissant une série d'outils aux développeurs d'applications, Facebook va s'incruster dans ce nouveau monde. Dès qu'une application veut se connecter à Facebook, pour une raison ou une autre, un certain nombre de données personnelles sont transmises, souvent sans lien direct avec le but initial de l'application et, souvent aussi, sans que l'utilisateur n'en soit même informé.

L'association Exodus Privacy a mis en évidence l'omniprésence de ces traqueurs dans les applications mobiles. Si certains traqueurs affichent leurs intentions (cibler les utilisateurs à des fins publicitaires), d'autres ont un fonctionnement parfaitement opaque. Ainsi, nous avons pu observer que l'application Pregnancy + récolte les informations privées de l'enfant à naître (afin d'accompagner les parents dans la naissance) et les transmet à Facebook (semaine de grossesse et mois de naissance attendu). Sur son site, l'application explique simplement transmettre à des tiers certaines données pour assurer le bon fonctionnement du service… Grâce à Pregnancy +, votre enfant a déjà son compte Facebook avant même d'être né !

Autre exemple flagrant : en analysant les données émises par l'application Diabetes:M, on constate qu'elle envoie à Facebook l'« advertising ID » de l'utilisateur, donnant ainsi à Facebook une liste de personnes atteintes de diabète. Sur son site, l'application se contente d'expliquer travailler avec des réseaux publicitaires, sans autre détail…

WhatsApp et Instagram

Évidemment, la surveillance exercée par Facebook va s'étendre à ses deux grandes filliales : sa messagerie, WhatsApp, et le réseau social d'image et de vidéo, Instagram.

Le rachat de WhatsApp a mis en lumière le comportement de sa maison mère. La Commission européenne a d'abord sanctionné Facebook d'une amende de 110 millions d'euros sur le plan du droit de la concurrence, puis la CNIL française s'est prononcée sur le plan des données personnelles. En décembre dernier, elle a mis en demeure Facebook d'arrêter d'imposer aux utilisateurs de WhatsApp d'accepter que leurs informations soient transférées au réseau social.

Encore une fois, c'est le consentement libre qui faisait défaut : WhatsApp ne pouvait pas être utilisé sans donner son consentement à des mesures purement publicitaires. Ceci est désormais clairement interdit.

Comment Facebook peut-il survivre s'il ne peut plus se financer sur nos données ?

Le modèle économique de Facebook est en train d'être drastiquement remis en cause. Il n'est plus permis de rémunérer un service en contrepartie de libertés fondamentales. Facebook ne va pas forcément disparaître, mais ne pourra plus continuer à se rémunérer de la même façon.

Mais qu'importe : nous n'avons pas besoin de Facebook pour pouvoir continuer d'utiliser des services gratuits et de qualité. Il existe déjà de nombreuses alternatives aux services des GAFAM qui sont réellement gratuites (c'est-à-dire qui n'impliquent pas de « monnayer » nos libertés), car leur financement repose sur le modèle originel d'Internet : la décentralisation, qui permet la mutualisation des coûts en stockage, en calcul et en bande passante.

Par exemple, La Quadrature du Net fournit à plus de 9 000 personnes l'accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n'est que l'un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la surveillance de masse).

Rejoindre collectivement ces alternatives est bien l'objectif final de nos actions, mais nous pensons pouvoir n'y parvenir qu'une fois chacun et chacune libérée de l'emprise des GAFAM. Nous pourrons alors construire l'Internet de nos rêves, libre et décentralisé, que notre alliée Framasoft construit déjà chaque jour ardemment !


Rejoignez la procédure

  • 1. Cet identifiant publicitaire est unique pour toutes les applications de l'appareil, même si l'utilisateur peut choisir de le réinitialiser.
  • 2. Les personnes « aidées » le sont par une surveillance de leurs comportements par un acteur privé dont le rôle n'est pas d'être une aide sociale mais un vendeur de publicité ciblée.
]]>
19 avril 2018 - Notre campagne d'actions de groupe commence par Facebook, qui est l'illustration la plus flagrante du modèle que nous dénonçons : rémunérer un service en échange de notre vie privée et de notre liberté de conscience. Détaillons aujourd'hui les conséquences de ses activités.

Alors que le RGPD entre en application dans un mois, Facebook campe sur ses positions et défend son modèle économique, annonçant il y a deux jours que ses services resteraient inaccessibles aux utilisateurs refusant d'être ciblés. Les modifications que l'entreprise souhaiterait faire (EN) pour, soi-disant, donner plus de contrôle à ses utilisateurs, apparaissent dès lors comme bien marginales et anecdotiques.

Revenons en détail sur les conséquences du modèle Facebook.

L'entreprise Facebook

Facebook a été créé il y a 14 ans, notamment par Mark Zuckerberg, son actuel directeur général, et emploie 25 000 salariés. Son chiffre d'affaire de 30 milliards d'euros repose à 98 % sur l'affichage publicitaire, proposé à 2,2 milliards d'utilisateurs actifs. Le site Facebook serait le 3ème site Internet le plus visité (classement Alexa), mais l'entreprise détient également WhatsApp et Messenger (services de messageries), ainsi qu'Instagram (réseau de partage de photos et de vidéos, 17ème site Internet le plus visité).

L'entreprise explique sans pudeur son fonctionnement : des personnes qui souhaitent diffuser un message (une publicité, un article, un événement, etc.) désignent à Facebook un public cible, selon certains critères sociaux, économiques ou de comportement, et paient l'entreprise pour qu'elle diffuse ce message à ce public, dans les meilleures conditions.

Ce fonctionnement implique deux choses : connaître chaque utilisateur, puis afficher les messages devant être diffusés, au bon moment et sous le bon format, pour influencer au mieux les personnes ciblées.

Détaillons la façon dont Facebook s'y prend.

Ce que Facebook analyse

Facebook explique dans sa Politique d'utilisation des données qu'il analyse les informations suivantes :

  • les contenus publics (texte, image, vidéo) que l'on diffuse sur la plateforme (c'est le plus évident, mais loin d'être le plus utile à analyser pour l'entreprise) ;
  • les messages privés envoyés sur Messenger (qui dit quoi, à qui, quand, à quelle fréquence) ;
  • la liste des personnes, pages et groupes que l'on suit ou « aime », ainsi que la manière dont on interagit avec ;
  • la façon dont on utilise le service et accède aux contenus (les articles, photos et vidéos qu'on lit, commente ou « aime », à quel moment, à quelle fréquence et pendant combien de temps) ;
  • des informations sur l'appareil depuis lequel on accède au service (adresse IP, identifiant publicitaire de l'appareil1, nom des applications, fichiers et plugins présents sur l'appareil, mouvements de la souris, points d’accès Wi-Fi et tours de télécommunication à proximité, accès à la localisation GPS et à l'appareil photo).

L'entreprise explique, toujours sans pudeur, analyser ces données pour nous proposer les contenus payés de la façon la plus « adaptée » (comprendre : de la façon la plus subtile, pour passer notre attention).

Comme on le voit, la majorité des données analysées par Facebook ne sont pas celles que l'on publie spontanément, mais celles qui ressortent de nos activités.

De l'analyse de toutes ces données résulte un nouveau jeu d'informations, qui sont les plus importantes pour Facebook et au sujet desquelles l'entreprise ne nous laisse aucun contrôle : l'ensemble des caractéristiques sociales, économiques et comportementales que le réseau associe à chaque utilisateur afin de mieux le cibler.

Ce que Facebook sait de nous

En 2013, l'université de Cambridge a conduit l'étude suivante : 58 000 personnes ont répondu à un test de personnalité, puis ce test a été recoupé à tous leurs « j'aime » laissés sur Facebook. En repartant de leurs seuls « j'aime », l'université a ensuite pu estimer leur couleur de peau (avec 95 % de certitude), leurs orientations politique (85 %) et sexuelle (80 %), leur confession religieuse (82 %), s'ils fumaient (73 %), buvaient (70 %) ou consommaient de la drogue (65 %).

Cette démonstration a permis de mettre en lumière le fonctionnement profond de l'analyse de masse : quand beaucoup d'informations peuvent être recoupées s'agissant d'un très grand nombre de personnes (plus de 2 milliards pour Facebook, rappelons-le), de très nombreuses corrélations apparaissent, donnant l'espoir, fondé ou non, de révéler automatiquement (sans analyse humaine) le détail de la personnalité de chaque individu.

Aujourd'hui, Michal Kosinski, le chercheur ayant dirigé cette étude, continue de dénoncer les dangers de l'analyse de masse automatisée : il explique (EN) que, par une telle analyse de masse, de simples photos pourraient révéler l'orientation sexuelle d'une personne, ses opinions politiques, son QI ou ses prédispositions criminelles. Qu'importe la pertinence des corrélations résultant de telles analyses de masse, c'est bien cette méthode qui a été à la source du fonctionnement de Cambridge Analytica, dont les conséquences politiques sont, elles, bien certaines.

Une application aussi révélatrice qu'inquiétante de telles méthodes est l'ambition (EN) affichée par Facebook de détecter automatiquement les personnes présentant des tendances suicidaires. En dehors de cette initiative discutable2, Facebook révèle ici l'ampleur et le détail des informations nous concernant qu'il espère déduire des analyses de masse qu'il conduit.

Comment Facebook nous influence

Une fois que l'entreprise s'est faite une idée si précise de qui nous sommes, de nos envies, de nos craintes, de notre mode de vie et de nos faiblesses, la route est libre pour nous proposer ses messages au bon moment et sous le bon format, quand ils seront les plus à même d'influencer notre volonté.

L'entreprise s'est elle-même vantée de l'ampleur de cette emprise. En 2012, elle a soumis 700 000 utilisateurs à une expérience (sans leur demander leur consentement ni les informer). Facebook modifiait le fil d'actualité de ces personnes de sorte qu'étaient mis en avant certains contenus qui influenceraient leur humeur, espérant les rendre plus joyeuse pour certaines et plus tristes pour d'autres. L'étude concluait que « les utilisateurs ciblés commençaient à utiliser davantage de mots négatifs ou positifs selon l'ampleur des contenus auxquels ils avaient été “exposés” ».

Cette expérience ne fait que révéler le fonctionnement normal de Facebook : afin de nous influencer, il hiérarchise les informations que nous pouvons consulter sur ses services (le « fil d'actualité » ne représente qu'une faible partie des contenus diffusés par les personnes que nous suivons, car ces contenus sont sélectionnés et triés par Facebook).

Cette hiérarchisation de l'information ne se contente pas d'écraser notre liberté de conscience personnelle : elle a aussi pour effet de distordre entièrement le débat public, selon des critères purement économiques et opaques, ce dont la sur-diffusion de « fakenews » n'est qu'un des nombreux symptômes.

Dans son étude annuelle de 2017, le Conseil d'État mettait en garde contre la prétendue neutralité des algorithmes dans la mise en œuvre du tri : les algorithmes sont au service de la maximisation du profit des plateformes et sont dès lors conçus pour favoriser les revenus au détriment de la qualité de l'information.

Pourquoi c'est illégal ?

Dans ses toutes nouvelles conditions d'utilisation, revues pour l'entrée en application du RGPD, Facebook explique qu'il considère être autorisé à surveiller et influencer les utilisateurs au motif que ceux-ci auraient consenti à un contrat qui le prévoirait. Or, en droit, ce contrat ne suffit en aucun cas à rendre légale ces pratiques.

Le RGPD prévoit que notre consentement n'est pas valide, car non-libre, « si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat » (article 7, §4, et considérant 43 du RGPD, interprétés par le groupe de l'article 29).

Cette exigence d'un consentement libre se répercute sur la validité des dispositions qui, dans le contrat passé avec Facebook, autoriseraient ce dernier à nous surveiller et nous influencer.

En 2017, la CNIL a condamné Facebook à 150 000 euros d'amende pour avoir réalisé ses traitements sans base légale. Elle considérait alors que « l’objet principal du service est la fourniture d’un réseau social [...], que la combinaison des données des utilisateurs à des fins de ciblage publicitaire ne correspond ni à l’objet principal du contrat ni aux attentes raisonnables des utilisateurs [et qu'il incombe donc à Facebook] de veiller à ce que les droits des personnes concernées soient respectés et notamment à ce que l’exécution d’un contrat ne les conduise pas à y renoncer ». Ainsi, la CNIL « estime que les sociétés ne peuvent se prévaloir du recueil du consentement des utilisateurs [ni] de la nécessité liée à l’exécution d’un contrat ».

Puisque le contrat passé avec Facebook n'autorise pas la surveillance décrite ci-dessus, celle-ci est illicite - c'est le cœur de nos actions de groupe ! Malheureusement, les méfaits de Facebook dépassent son propre site.

Comment Facebook collabore avec des tiers

Facebook ne cache plus son activité de traçage un peu partout sur le Web, même s'agissant de personnes n'ayant pas de compte Facebook (qui se voient alors créer un « profil fantôme »).

Les méthodes de pistage sont nombreuses :

  • des cookies (fichiers enregistrés sur votre appareil permettant à Facebook de vous identifier d'un site à l'autre) ;
  • des boutons « J'aime » ou « Partager » affichés sur de nombreux sites (ces boutons, hébergés sur les serveurs de Facebook, sont directement téléchargés par l'utilisateur, indiquant ainsi automatiquement à Facebook leur adresse IP, la configuration unique de leur navigateur et l'URL de la page visitée) ;
  • des pixels invisibles (images transparentes de 1x1 pixel) fonctionnant comme les boutons, dont le seul but est d'être téléchargés pour transmettre à Facebook les informations de connexion ;
  • Facebook Login, que certains sites ou applications (Tinder, typiquement) utilisent comme outil pour authentifier leurs utilisateurs.

Les personnes ciblées en sont rarement informées ou leur consentement n'est pas obtenu. Facebook se dédouane de cette responsabilité en la faisant peser sur les sites et applications ayant integré ses traçeurs. Bien que ces sites et applications soient bien responsables juridiquement, Facebook l'est tout autant, l'entreprise étant régulièrement condamnée pour ce pistage illicite, sans pour autant y mettre un terme :

  • en 2015 puis 2018, la CNIL puis la justice belge lui ont demandé d'y mettre un terme, avec une astreinte de 250 000 € par jour ;
  • en 2017, la CNIL française l'a condamné à 150 000 € d'amende (montant maximum, à l'époque) ;
  • en 2017, la CNIL espagnole l'a condamné à 1 200 000 € d'amende.

Facebook trace également sur smartphone

L'entreprise ne s'intéresse pas seulement aux habitudes de navigation des internautes. Les applications sur téléphone mobile sont également une cible. En fournissant une série d'outils aux développeurs d'applications, Facebook va s'incruster dans ce nouveau monde. Dès qu'une application veut se connecter à Facebook, pour une raison ou une autre, un certain nombre de données personnelles sont transmises, souvent sans lien direct avec le but initial de l'application et, souvent aussi, sans que l'utilisateur n'en soit même informé.

L'association Exodus Privacy a mis en évidence l'omniprésence de ces traqueurs dans les applications mobiles. Si certains traqueurs affichent leurs intentions (cibler les utilisateurs à des fins publicitaires), d'autres ont un fonctionnement parfaitement opaque. Ainsi, nous avons pu observer que l'application Pregnancy + récolte les informations privées de l'enfant à naître (afin d'accompagner les parents dans la naissance) et les transmet à Facebook (semaine de grossesse et mois de naissance attendu). Sur son site, l'application explique simplement transmettre à des tiers certaines données pour assurer le bon fonctionnement du service… Grâce à Pregnancy +, votre enfant a déjà son compte Facebook avant même d'être né !

Autre exemple flagrant : en analysant les données émises par l'application Diabetes:M, on constate qu'elle envoie à Facebook l'« advertising ID » de l'utilisateur, donnant ainsi à Facebook une liste de personnes atteintes de diabète. Sur son site, l'application se contente d'expliquer travailler avec des réseaux publicitaires, sans autre détail…

WhatsApp et Instagram

Évidemment, la surveillance exercée par Facebook va s'étendre à ses deux grandes filliales : sa messagerie, WhatsApp, et le réseau social d'image et de vidéo, Instagram.

Le rachat de WhatsApp a mis en lumière le comportement de sa maison mère. La Commission européenne a d'abord sanctionné Facebook d'une amende de 110 millions d'euros sur le plan du droit de la concurrence, puis la CNIL française s'est prononcée sur le plan des données personnelles. En décembre dernier, elle a mis en demeure Facebook d'arrêter d'imposer aux utilisateurs de WhatsApp d'accepter que leurs informations soient transférées au réseau social.

Encore une fois, c'est le consentement libre qui faisait défaut : WhatsApp ne pouvait pas être utilisé sans donner son consentement à des mesures purement publicitaires. Ceci est désormais clairement interdit.

Comment Facebook peut-il survivre s'il ne peut plus se financer sur nos données ?

Le modèle économique de Facebook est en train d'être drastiquement remis en cause. Il n'est plus permis de rémunérer un service en contrepartie de libertés fondamentales. Facebook ne va pas forcément disparaître, mais ne pourra plus continuer à se rémunérer de la même façon.

Mais qu'importe : nous n'avons pas besoin de Facebook pour pouvoir continuer d'utiliser des services gratuits et de qualité. Il existe déjà de nombreuses alternatives aux services des GAFAM qui sont réellement gratuites (c'est-à-dire qui n'impliquent pas de « monnayer » nos libertés), car leur financement repose sur le modèle originel d'Internet : la décentralisation, qui permet la mutualisation des coûts en stockage, en calcul et en bande passante.

Par exemple, La Quadrature du Net fournit à plus de 9 000 personnes l'accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n'est que l'un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la surveillance de masse).

Rejoindre collectivement ces alternatives est bien l'objectif final de nos actions, mais nous pensons pouvoir n'y parvenir qu'une fois chacun et chacune libérée de l'emprise des GAFAM. Nous pourrons alors construire l'Internet de nos rêves, libre et décentralisé, que notre alliée Framasoft construit déjà chaque jour ardemment !


Rejoignez la procédure

  • 1. Cet identifiant publicitaire est unique pour toutes les applications de l'appareil, même si l'utilisateur peut choisir de le réinitialiser.
  • 2. Les personnes « aidées » le sont par une surveillance de leurs comportements par un acteur privé dont le rôle n'est pas d'être une aide sociale mais un vendeur de publicité ciblée.
]]>
Détection des cyberattaques : une nouvelle loi de surveillance10473 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180418_132722_Detection_des_cyberattaques___une_nouvelle_loi_de_surveillanceWed, 18 Apr 2018 11:27:22 +0000Le 18 avril 2018 - Le nouveau projet de loi de programmation militaire (LPM), présenté en Conseil des ministres le 8 février dernier et adopté en première lecture par l'Assemblée nationale le 27 mars, comporte un volet axé sur la cybersécurité. Les enjeux sont importants : lutter contre les attaques informatiques sur les réseaux. Sauf que le dispositif envisagé, reposant sur des boîtes noires – ces sondes dédiées à l'analyse du trafic Internet et placées en différents points du réseau – sous l'égide de l'ANSSI et des grands opérateurs télécoms, ouvre une brèche immense qui, de nouveau, fait planer le spectre d'une surveillance massive de nos communications.

La loi de programmation militaire (LPM) est un exercice législatif qui revient en France tous les 5 ans. La dernière LPM, adoptée en 2013 pour les années 2014-2019, étendait les accès administratifs aux données de connexion. Avec un certain retard, La Quadrature du Net s'était mobilisée contre cette disposition introduite par voie d'amendement lors des débats législatifs puis, avec l'aide des Exégètes amateurs, à travers un recours devant le Conseil d'État.

Cette année, la LPM revient avec une nouvelle mouture pour les années 2019-2025. Dans sa partie « cyber-défense » (chapitre III), ce texte modifie le code de la défense pour donner plus de moyens à l'ANSSI (Agence nationale de sécurité des systèmes d'information) pour veiller à l'intégrité et à la sécurité des réseaux. Et cette année encore, La Quadrature accuse un retard coupable. Alors que certains de ses membres s'étaient rendus le 12 février dernier à une réunion de présentation du projet de loi organisée à l'initiative de l'ANSSI, nous n'avions toujours pas donné notre avis sur le dispositif. Mieux vaut tard que jamais.

Ce texte sécuritaire fourre-tout qui fait l'objet d'un examen express pose problème en tant que tel. Il résulte en effet d'une volonté de faire passer des dispositions portant atteinte aux droits fondamentaux dans le cadre d'une loi de programmation budgétaire, alors qu'elles mériteraient un débat spécifique et approfondi. À cet égard, les dispositions relatives à la cyberdéfense que nous analysons ici doivent se lire dans un contexte plus global : le projet de loi prévoit également l'acquisition de deux drones Reaper militarisés, autorise le recueil de données génétiques par les militaires français à l'étranger, acte la montée en puissance des activités militaires dédiés à la lutte informatique offensive avec la création de 1500 nouveaux postes dédiés, et accorde une immunité pénale à ces « cyber-attaquants », en autres choses.

Ici, nous nous concentrons donc sur la détection des cyberattaques. À ce stade, le Sénat entame donc l'examen du texte en première lecture. S'il est sans doute illusoire d'espérer un rejet en bloc du dispositif, il est encore temps de corriger les sérieux problèmes contenus dans ce texte. Car en l'état, ce dispositif est flou, déséquilibré et attentatoire aux libertés.

Une collaboration entre l'ANSSI et les opérateurs volontaires

En premier lieu, la nouvelle LPM tend à favoriser les mesures de sécurité prises volontairement par les opérateurs de télécommunications1. La réglementation sur la neutralité du Net2 et celle sur la confidentialité des communications3 autorisent déjà les opérateurs de télécommunications à analyser les données de connexion (adresse IP, taille des paquets, port...) afin de « préserver l’intégrité et la sûreté du réseau, des services fournis par l’intermédiaire de ce réseau et des équipements terminaux des utilisateurs finals ».

Cette possibilité, réaffirmée par cette LPM, est complétée par celle de collaborer avec l'ANSSI, en lui transmettant les informations sur les menaces détectées et en utilisant les renseignements transmis par l'ANSSI afin de mieux cibler leurs activités de détection. À cela s'ajoute la possibilité pour l'ANSSI d'obliger les opérateurs à indiquer à leurs abonnés que la sécurité de leurs réseau a été compromise.

Dans la mesure où ces mesures restent volontaires (elles ne sont pas imposées selon les instructions de l'ANSSI), ce dispositif peut paraître légitime. Encore faut-il que l'usage des sondes soit autorisé par les abonnés concernés, qu'il soit transparent et rigoureusement contrôlé. Or, c'est loin d'être le cas.

Les opérateurs doivent être mandatés par leurs abonnés

Il manque un élément clef : le mandat de l'abonné pour la surveillance de son trafic par l'opérateur. Sans cela, ces sondes scrutant l'ensemble du trafic sont une atteinte directe au secret des correspondances, et constituent de ce point de vue un système de surveillance des abonnés. Cette surveillance étant alors opérée par un acteur privé, sans aucun contrôle.

En s'assurant que cette surveillance du trafic résulte d'une demande de l'abonné, le paradigme change. L'opérateur devient agent de l'abonné, agissant à son compte pour les questions de sécurité des systèmes, et l'abonné peut à tout moment décider de retirer sa confiance à cet agent délégataire. On peut supposer que, le secret des communications électroniques étant un principe général du droit des télécoms, la nécessité absolue de cet accord est implicite. Reste que la précision est nécessaire pour éviter tout abus.

Garantir un usage transparent et contrôlé des sondes

Par ailleurs, il faut qu'une autorité de contrôle puisse s'assurer de la bonne utilisation de ces sondes extrêmement dangereuses sur le plan de la vie privée, et qu'elle puisse faire la transparence sur l'utilisation de ces outils maniés par des acteurs privés. Cette autorité, ce devrait être l'ARCEP, à qui le projet de loi donne quelques compétences s'agissant des pouvoirs nouveaux octroyés par l'ANSSI (compétences utilement précisées et renforcées par l'Assemblée nationale, voir plus bas).

Même si le Code des postes et des communications électroniques prévoit bien que l'ARCEP contrôle le respect par les opérateurs de leurs obligations en matière de confidentialité des communications4 et en matière de neutralité du Net, le projet de loi ne prévoit rien de spécifique s'agissant de ces activités de détection de cyberattaques appelées à monter en puissance. La précision aurait sans doute de l'intérêt pour obliger l'ARCEP à les contrôler régulièrement et de manière inopinée, le cas échéant à sanctionner les abus, et à communiquer publiquement sur la nature et les suites données à ces contrôles.

Les nouvelles boîtes noires imposées par l'ANSSI

La nouvelle LPM entend également permettre à l'ANSSI d'agir directement sur les réseaux, en déployant ses propres « boîtes noires » sur les systèmes des opérateurs et fournisseurs d'accès à Internet, ainsi que ceux des hébergeurs5. Suite à un amendement adopté à l'Assemblée, le non-respect de ces obligations par les opérateurs et hébergeurs est désormais passible de sanctions (un an d’emprisonnement et 75 000 euros d’amende).

Ces boîtes noires sont définies comme « un système de détection recourant à des marqueurs techniques à seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information » (dans une formulation d'ailleurs très proche de celle donnée en 2015 dans la loi renseignement)6. La LPM limite l'utilisation des ces sondes aux cas où l'ANSSI « a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs » d'importance vitale (centrale électrique, aéroport, opérateurs télécoms, industries de défense, etc.). Or, ainsi définies, ces dispositions confèrent à l'ANSSI un pouvoir excessif.

Une atteinte injustifiée à la confidentialité des communications

La notion de « données techniques » ou « marqueurs techniques » utilisée dans le projet de loi n'a aucune définition juridique ou technique. Comme l'a relevé le journaliste Marc Rees, il s'agit bel et bien par ce vocable de contourner la jurisprudence constitutionnelle protégeant la confidentialité des communications, pour surveiller le contenu des communications et non les seules métadonnées. D'ailleurs, Guillaume Poupard, le directeur de l'ANSSI, ne se cache pas de la volonté de regarder dans le détail le contenu des communications. Lors de son audition à l'Assemblée nationale, il expliquait ainsi :

Il va donc de soi que nous traitons des données, y compris des données personnelles. C’est pourquoi le texte ne loi ne saurait comprendre une disposition visant à rassurer qui interdirait de toucher aux données personnelles : nous y touchons de fait. L’essentiel est que la finalité reste la détection et que l’on s’en tienne aux données strictement nécessaires et signifiantes. Prenons un exemple : le travail de détection consiste parfois à chercher au fin fond de pièces jointes, dans des courriers électroniques, pour y détecter un éventuel virus caché.

Entendue ainsi, la notion de « marqueurs techniques » contrevient donc directement au secret des correspondances. Or, Guillaume Poupard reconnaît lui-même que beaucoup peut déjà être fait à partir des seules métadonnées (qui renvoient en droit français aux termes de « données de connexion » ou d'« informations et documents », utilisés par exemple par la loi renseignement)7. Ci ces métadonnées peuvent déjà révéler beaucoup d'informations sur notre vie, limiter le pouvoir de surveillance de l'ANSSI à ces seules métadonnées aurait au moins le mérite de ne pas anéantir l'ensemble de l'édifice juridique qui protège encore un tant soit peu peu la confidentialité de nos communications.

Quel degré de surveillance pour quelles menaces ?

De même, la LPM n'établit aucun lien de causalité entre la menace pour les autorités publiques et les opérateurs d'importance vitale, d'un côté, et, de l'autre, les « événements susceptibles d’affecter la sécurité des systèmes » que les boîtes noires doivent détecter. Un tel lien doit être établi afin que l'ANSSI ne puisse analyser le trafic qu'aux seuls points du réseau où elle pourra détecter les menaces affectant les seules autorités et opérateurs qu'elle est censée protéger. Une précision par ailleurs indispensable pour permettre aux opérateurs concernés et à l'ARCEP, qui contrôlera l'action de l'ANSSI dans ce domaine, de s'assurer de la proportionnalité de la mesure de surveillance engagée.

Enfin, la notion de « menace » pour les autorités et opérateurs dont l'ANSSI est chargée d'assurer la protection est également très floue. L'étude d'impact de la loi parle d'une vingtaine de menaces par an seulement qui seraient suffisamment graves pour justifier de telles pratiques. Or, la loi n'offre aucun critère pour les limiter de la sorte et empêcher que des boîtes noires ne soient déployées constamment et en tout point pour prévenir n'importe quel type de menace plus ou moins abstraite – ce qui serait parfaitement injustifiable. Là encore, ces éléments de doctrine doivent figurer dans la loi, et faire l'objet d'une information régulière et transparente afin de permettre aux citoyens et à l'ensemble des acteurs concernés par ces mesures de pouvoir juger de leur proportionnalité.

Une durée de conservation doublée, sans raison valable

Alors que le projet de loi du gouvernement prévoyait que l'ANSSI puisse conserver pendant une durée maximale de 5 ans les « données techniques » collectées, la commission de la Défense nationale de l'Assemblée nationale a doublé cette durée à l'initiative du rapporteur, Jean-Jacques Bridey (député LREM), en la portant à 10 ans. Cette durée semble excessive puisque, comme on l'a vu, les données techniques recueillies sont très souvent des données à caractère personnel. 5 ans paraissent déjà très longs quand on sait que la loi renseignement limite à un mois après leur collecte la durée de conservation du contenu des correspondances.

Les responsables de l'ANSSI irresponsables ?

Quand bien même les nouveaux pouvoirs donnés à l'ANSSI seraient mieux limités, une autorité indépendante doit pouvoir s'assurer que ces pouvoirs ne sont dévoyés à des fins politiques ou de contrôle de la population. Or, le contrôle des activités de l'ANSSI par l'ARCEP, prévu dans le projet de loi, manque singulièrement de mordant.

D'abord, comme l'a souligné l'ARCEP dans son avis rendu sur le projet de loi, se pose d'abord la question du renforcement de ses moyens pour garantir sa capacité à contrôler l'ANSSI. Ensuite, en dépit des précisions apportées par l'Assemblée s'agissant des modalités de ce contrôle8, le texte ne prévoit qu'un contrôle distant, sur la foi de rapports et de documents, mais loin du terrain. Aucune possibilité de contrôler le fonctionnement des sondes installées sur les infrastructures des opérateurs télécoms ou des hébergeurs n'est prévue. Le projet de loi ne prévoit pas non plus que ces derniers puissent saisir l'ARCEP pour faire obstacle aux demandes de l'ANSSI.

Enfin, si elle constate des abus, l'ARCEP ne pourra qu'adopter des recommandations à l'adresse de l'ANSSI. Le texte ne prévoit aucune sanction. Pour faire en sorte que les nouveaux pouvoirs de l'ANSSI soient dûment encadrés, il faudrait aussi poser explicitement dans la loi le fait que le non-respect des dispositions contenues dans ce chapitre « cyberdéfense » sont constitutives des délits prévus en matière de traitements illégaux de données. Ces derniers font l'objet de sanctions pénales, et par ce truchement, toute constatation par l'ARCEP de non-respect des dispositions devra être signalée au Ministère public, lequel pourra ensuite engager une action pénale (voir l'article 40 du code de procédure pénale). En cas d'abus, les responsables de l'ANSSI seront ainsi mis devant leurs responsabilités.

Le droit européen de nouveau bafoué

On sait tout l'irrespect dont font preuve nombre de responsables publics français vis-à-vis des règles européennes encadrant les mesures de surveillance. Ce projet de loi en fournit une nouvelle illustration.

D'abord, parce qu'il ne prévoit aucune information des personnes qui verraient leur trafic Internet scruté par l'ANSSI. Lors de son audition, Guillaume Poupard expliquait ainsi sa volonté d'en passer directement par l'installation de sondes chez les hébergeurs plutôt qu'auprès des personnes ayant loué ses machines :

Bien entendu, nous pourrions demander la permission au détenteur de la machine, à celui qui l’a louée de manière légitime, mais nous ne voulons pas le faire. En effet, dans le meilleur des cas nous tomberons sur une victime que tout cela dépasse complètement : la plupart du temps, ces serveurs sont loués par des particuliers, par des gens que l’on n’a pas envie de mêler à des affaires aussi compliquées. Surtout, le plus souvent, celui qui loue la machine est l’agresseur lui-même.

Or, quelque soit le statut de ces personnes dont le trafic aura été surveillé – victimes innocentes et ignorantes ou cyber-attaquant malveillant –, à aucun moment le projet de loi ne prévoit qu'elles en soient informées (soit pendant la mesure de surveillance, soit après). C'est pourtant là une obligation, qui ressort notamment de la jurisprudence de la Cour européenne des droits de l'Homme (CEDH) et permet l'exercice d'un droit de recours effectif contre ces mesures de surveillance9.

Pour respecter le droit européen, d'autres dispositifs pourraient d'ailleurs être envisagés pour permettre l'exercice d'un droit de recours effectif, comme la possibilité de saisir l'ARCEP pour savoir si nos communications ont été, pour une raison ou une autre, aspirées par l'ANSSI. Le cas échéant, cela permettrait à l'ARCEP de s'assurer ensuite du caractère proportionné de cette surveillance. Si elle constatait une irrégularité, elle pourrait ordonner la destruction des données et saisir d'elle-même le ministère public. Dans le même temps, l'ARCEP devrait s'assurer de la bonne information de la personne surveillée et de la possibilité pour elle de se constituer partie civile.

Il y a deuxième point sur lequel le texte est en contrariété flagrante avec le droit de l'Union européenne, et en particulier la directive européenne de 2000 sur la société de l'information dont l'article 15 interdit aux États d'imposer aux opérateurs ou aux hébergeurs des mesures générales de surveillance. En l'état, l'article 2321-2-1 va bien à l'encontre de ce principe, en prévoyant que l'ANSSI puisse exiger l'utilisation de boîtes noires dans le but de scanner l'ensemble du trafic pour repérer des « cyber-menaces » chez les opérateurs et les hébergeurs.10 Notons que ce sont là les mêmes arguments que nous soulevons contre les boîtes noires de la Direction générale de la Sécurité intérieure (DGSI) dans le cadre de nos recours contre la loi renseignement.

L'ANSSI, ce faux-ami

Pour finir, il faut évoquer une inquiétude de fond s'agissant de l'ANSSI. Car même si les grands pontes de la cybersécurité aiment rappeler l'originalité du modèle français en la matière – avec une agence cybersécurité civile rattachée directement au Premier ministre et ne s'occupant pas de lutte informatique offensive –, force est de reconnaître la porosité croissante entre l'ANSSI et le monde du renseignement pour tout un tas de missions (les intrusions étrangères dans les systèmes d'information de l'État, la gestion des logiciels « chevaux de Troie » utilisés par les services pour réaliser des intrusions informatiques, l'échange de renseignement s'agissant de failles informatiques, etc.).

Cela a pu par le passé conduire à des prises de position pour le moins surprenantes, et en rupture avec l'image bienveillante et soucieuse des libertés que les dirigeants de l'ANSSI prennent soin de cultiver. Ainsi, Next INpact rappelait fin 2015 que, pour le projet du gouvernement de généraliser le chiffrement des mails, l'ANSSI avait tenu à distance des solutions de chiffrement robustes et décentralisées, dites de « bout-en-bout ». Guillaume Poupard disait alors vouloir ménager la possibilité que le trafic email soit accessible en clair en certains points du réseau. Plutôt que de promouvoir un chiffrement fort sans lequel il ne peut y avoir de véritable sécurité informatique, l'ANSSI entendait alors ménager les capacités de surveillance des services de renseignement et de police. On sait aussi que les services de renseignement ont joué un rôle de premier plan dans la rédaction de ce projet de loi.

Aujourd'hui, les dirigeants de l'ANSSI sont peut être sincères lorsqu'ils évoquent leur volonté de minimiser l'impact sur les libertés, la neutralité du Net et le droit au chiffrement de ces mesures de détections des attaques. Mais qu'en sera-t-il demain ? L'ANSSI – et les pouvoirs nouveaux dont la dote cette nouvelle LPM –, évolue dans une réalité institutionnelle qui la rend très perméable aux dérives sécuritaires. Raison pour laquelle un modèle de cybersécurité plus décentralisé, extirpé au maximum du secret d'État et misant sur la capacitation de l'ensemble des acteurs et utilisateurs d'Internet, aurait mérité d'être sérieusement envisagé et débattu publiquement. Au lieu de ça, le choix a été fait de présenter une nouvelle loi de surveillance, en procédure accélérée.

  • 1. Les mesures de sécurité réalisables par les opérateurs sont prévues au nouvel article L. 33-14 du code des postes et des communications, créé par l'article 19 de la LPM.
  • 2. Voir l'article 3, b), du règlement 2015/2120.
  • 3. Voir les articles 32-3 et L. 34-1, IV, second alinéa, du code des postes et des télécommunications.
  • 4. Dans son rapport, la commission de la défense nationale de l'Assemblée estime ainsi que « l’ARCEP sera en mesure de contrôler la régularité de la mise en œuvre de ces dispositifs par les opérateurs sur le fondement des articles L. 32-4 et L. 36-7 du code des postes et des communications électroniques ».
  • 5. Les nouveaux pouvoirs d'analyse du réseau par les boites noires de l'ANSSI sont prévus à l'article L. 2321-2-1 du code de la défense, créé par l'article 19 de la LPM.
  • 6. L'article L. 851-3 du code de la sécurité intérieure définit les boîtes noires utilisables par les services français comme des « traitements automatisés destinés, en fonction de paramètres précisés dans l'autorisation, à détecter des connexions susceptibles de révéler une menace terroriste ».
  • 7. Il déclare ainsi à Next INpact : « On fait du NetFlow [analyse de métadonnées d'un échantillon des paquets réseau, ndlr], mais je ne veux pas m’interdire d’aller plus loin si cela a un intérêt et n’est pas attentatoire au secret ».
  • 8. Voir le rapport de la commission de la défense nationale de l'Assemblée : « À l’initiative du rapporteur et la commission a adopté le dispositif de contrôle suivant. Il confie cette nouvelle mission à la formation de règlement des différends, de poursuite et d’instruction (formation RDPI) de l’ARCEP et prévoit : – une obligation, pour l’ANSSI, d’informer sans délai, la formation RDPI : d’une part, de la mise en œuvre des dispositifs de détection sur les réseaux des acteurs concernés (opérateurs de communications électroniques, hébergeurs, FAI) ; d’autre part, des demandes formulées par l’ANSSI tendant à l’obtention des données techniques nécessaires à la caractérisation d’une menace affectant la sécurité des systèmes d’informations des OIV ou des autorités publiques. – que la formation RDPI dispose d’un accès complet aux données techniques recueillies ou obtenues dans le cadre des dispositions prévues à l’article 19 ; – qu’elle peut adresser à l’ANSSI des recommandations, et qu’elle est informée des suites qui y sont données ; – que si aucune suite n’est donnée à ces recommandations, ou si elle juge ces suites insuffisantes, la formation RDPI pourra enjoindre l’ANSSI d’interrompre les opérations en cause ou de détruire les données recueillies ; – que l’ARCEP remet, chaque année, un rapport au Gouvernement et au Parlement sur les conditions d’exercice et les résultats du contrôle exercé par la formation de règlements des différends. ».
  • 9. Selon la CEDH, en effet : « Il peut ne pas être possible en pratique d’exiger une notification a posteriori dans tous les cas (...). Cependant, il est souhaitable d’aviser la personne concernée après la levée des mesures de surveillance dès que la notification peut être donnée sans compromettre le but de la restriction. Par ailleurs, la Cour prend acte de la recommandation du Comité des Ministres visant à réglementer l’utilisation de données à caractère personnel dans le secteur de la police, laquelle dispose que lorsque des données concernant une personne ont été collectées et enregistrées à son insu, elle doit, si les données ne sont pas détruites, être informée, si cela est possible, que des informations sont détenues sur son compte, et ce dès que l’objet des activités de police ne risque plus d’en pâtir » (§ 287, affaire Roman Zakharov c. Russie).
  • 10. La directive de 2000 proscrit ainsi des mesures de filtrage du trafic visant à bloquer ou détecter certains communications au niveau d'un fournisseurs d'accès ou d'un hébergeur. Selon la Cour de justice de l'Union européenne : « (...) l’injonction faite au prestataire de services d’hébergement de mettre en place le système de filtrage litigieux l’obligerait à procéder à une surveillance active de la quasi- totalité des données concernant l’ensemble des utilisateurs de ses services. Il s’ensuit que ladite injonction imposerait au prestataire de services d’hébergement une surveillance générale qui est interdite par l’article 15, paragraphe 1, de la directive 2000/31 » (CJUE, 16 février 2012, SABAM c/ Netlog, C-360/10, §38. Voir aussi CJUE, 24 novembre 2011, SABAM c/ Scarlet Extended, C-70/10, §40.)
]]>
Le 18 avril 2018 - Le nouveau projet de loi de programmation militaire (LPM), présenté en Conseil des ministres le 8 février dernier et adopté en première lecture par l'Assemblée nationale le 27 mars, comporte un volet axé sur la cybersécurité. Les enjeux sont importants : lutter contre les attaques informatiques sur les réseaux. Sauf que le dispositif envisagé, reposant sur des boîtes noires – ces sondes dédiées à l'analyse du trafic Internet et placées en différents points du réseau – sous l'égide de l'ANSSI et des grands opérateurs télécoms, ouvre une brèche immense qui, de nouveau, fait planer le spectre d'une surveillance massive de nos communications.

La loi de programmation militaire (LPM) est un exercice législatif qui revient en France tous les 5 ans. La dernière LPM, adoptée en 2013 pour les années 2014-2019, étendait les accès administratifs aux données de connexion. Avec un certain retard, La Quadrature du Net s'était mobilisée contre cette disposition introduite par voie d'amendement lors des débats législatifs puis, avec l'aide des Exégètes amateurs, à travers un recours devant le Conseil d'État.

Cette année, la LPM revient avec une nouvelle mouture pour les années 2019-2025. Dans sa partie « cyber-défense » (chapitre III), ce texte modifie le code de la défense pour donner plus de moyens à l'ANSSI (Agence nationale de sécurité des systèmes d'information) pour veiller à l'intégrité et à la sécurité des réseaux. Et cette année encore, La Quadrature accuse un retard coupable. Alors que certains de ses membres s'étaient rendus le 12 février dernier à une réunion de présentation du projet de loi organisée à l'initiative de l'ANSSI, nous n'avions toujours pas donné notre avis sur le dispositif. Mieux vaut tard que jamais.

Ce texte sécuritaire fourre-tout qui fait l'objet d'un examen express pose problème en tant que tel. Il résulte en effet d'une volonté de faire passer des dispositions portant atteinte aux droits fondamentaux dans le cadre d'une loi de programmation budgétaire, alors qu'elles mériteraient un débat spécifique et approfondi. À cet égard, les dispositions relatives à la cyberdéfense que nous analysons ici doivent se lire dans un contexte plus global : le projet de loi prévoit également l'acquisition de deux drones Reaper militarisés, autorise le recueil de données génétiques par les militaires français à l'étranger, acte la montée en puissance des activités militaires dédiés à la lutte informatique offensive avec la création de 1500 nouveaux postes dédiés, et accorde une immunité pénale à ces « cyber-attaquants », en autres choses.

Ici, nous nous concentrons donc sur la détection des cyberattaques. À ce stade, le Sénat entame donc l'examen du texte en première lecture. S'il est sans doute illusoire d'espérer un rejet en bloc du dispositif, il est encore temps de corriger les sérieux problèmes contenus dans ce texte. Car en l'état, ce dispositif est flou, déséquilibré et attentatoire aux libertés.

Une collaboration entre l'ANSSI et les opérateurs volontaires

En premier lieu, la nouvelle LPM tend à favoriser les mesures de sécurité prises volontairement par les opérateurs de télécommunications1. La réglementation sur la neutralité du Net2 et celle sur la confidentialité des communications3 autorisent déjà les opérateurs de télécommunications à analyser les données de connexion (adresse IP, taille des paquets, port...) afin de « préserver l’intégrité et la sûreté du réseau, des services fournis par l’intermédiaire de ce réseau et des équipements terminaux des utilisateurs finals ».

Cette possibilité, réaffirmée par cette LPM, est complétée par celle de collaborer avec l'ANSSI, en lui transmettant les informations sur les menaces détectées et en utilisant les renseignements transmis par l'ANSSI afin de mieux cibler leurs activités de détection. À cela s'ajoute la possibilité pour l'ANSSI d'obliger les opérateurs à indiquer à leurs abonnés que la sécurité de leurs réseau a été compromise.

Dans la mesure où ces mesures restent volontaires (elles ne sont pas imposées selon les instructions de l'ANSSI), ce dispositif peut paraître légitime. Encore faut-il que l'usage des sondes soit autorisé par les abonnés concernés, qu'il soit transparent et rigoureusement contrôlé. Or, c'est loin d'être le cas.

Les opérateurs doivent être mandatés par leurs abonnés

Il manque un élément clef : le mandat de l'abonné pour la surveillance de son trafic par l'opérateur. Sans cela, ces sondes scrutant l'ensemble du trafic sont une atteinte directe au secret des correspondances, et constituent de ce point de vue un système de surveillance des abonnés. Cette surveillance étant alors opérée par un acteur privé, sans aucun contrôle.

En s'assurant que cette surveillance du trafic résulte d'une demande de l'abonné, le paradigme change. L'opérateur devient agent de l'abonné, agissant à son compte pour les questions de sécurité des systèmes, et l'abonné peut à tout moment décider de retirer sa confiance à cet agent délégataire. On peut supposer que, le secret des communications électroniques étant un principe général du droit des télécoms, la nécessité absolue de cet accord est implicite. Reste que la précision est nécessaire pour éviter tout abus.

Garantir un usage transparent et contrôlé des sondes

Par ailleurs, il faut qu'une autorité de contrôle puisse s'assurer de la bonne utilisation de ces sondes extrêmement dangereuses sur le plan de la vie privée, et qu'elle puisse faire la transparence sur l'utilisation de ces outils maniés par des acteurs privés. Cette autorité, ce devrait être l'ARCEP, à qui le projet de loi donne quelques compétences s'agissant des pouvoirs nouveaux octroyés par l'ANSSI (compétences utilement précisées et renforcées par l'Assemblée nationale, voir plus bas).

Même si le Code des postes et des communications électroniques prévoit bien que l'ARCEP contrôle le respect par les opérateurs de leurs obligations en matière de confidentialité des communications4 et en matière de neutralité du Net, le projet de loi ne prévoit rien de spécifique s'agissant de ces activités de détection de cyberattaques appelées à monter en puissance. La précision aurait sans doute de l'intérêt pour obliger l'ARCEP à les contrôler régulièrement et de manière inopinée, le cas échéant à sanctionner les abus, et à communiquer publiquement sur la nature et les suites données à ces contrôles.

Les nouvelles boîtes noires imposées par l'ANSSI

La nouvelle LPM entend également permettre à l'ANSSI d'agir directement sur les réseaux, en déployant ses propres « boîtes noires » sur les systèmes des opérateurs et fournisseurs d'accès à Internet, ainsi que ceux des hébergeurs5. Suite à un amendement adopté à l'Assemblée, le non-respect de ces obligations par les opérateurs et hébergeurs est désormais passible de sanctions (un an d’emprisonnement et 75 000 euros d’amende).

Ces boîtes noires sont définies comme « un système de détection recourant à des marqueurs techniques à seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information » (dans une formulation d'ailleurs très proche de celle donnée en 2015 dans la loi renseignement)6. La LPM limite l'utilisation des ces sondes aux cas où l'ANSSI « a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs » d'importance vitale (centrale électrique, aéroport, opérateurs télécoms, industries de défense, etc.). Or, ainsi définies, ces dispositions confèrent à l'ANSSI un pouvoir excessif.

Une atteinte injustifiée à la confidentialité des communications

La notion de « données techniques » ou « marqueurs techniques » utilisée dans le projet de loi n'a aucune définition juridique ou technique. Comme l'a relevé le journaliste Marc Rees, il s'agit bel et bien par ce vocable de contourner la jurisprudence constitutionnelle protégeant la confidentialité des communications, pour surveiller le contenu des communications et non les seules métadonnées. D'ailleurs, Guillaume Poupard, le directeur de l'ANSSI, ne se cache pas de la volonté de regarder dans le détail le contenu des communications. Lors de son audition à l'Assemblée nationale, il expliquait ainsi :

Il va donc de soi que nous traitons des données, y compris des données personnelles. C’est pourquoi le texte ne loi ne saurait comprendre une disposition visant à rassurer qui interdirait de toucher aux données personnelles : nous y touchons de fait. L’essentiel est que la finalité reste la détection et que l’on s’en tienne aux données strictement nécessaires et signifiantes. Prenons un exemple : le travail de détection consiste parfois à chercher au fin fond de pièces jointes, dans des courriers électroniques, pour y détecter un éventuel virus caché.

Entendue ainsi, la notion de « marqueurs techniques » contrevient donc directement au secret des correspondances. Or, Guillaume Poupard reconnaît lui-même que beaucoup peut déjà être fait à partir des seules métadonnées (qui renvoient en droit français aux termes de « données de connexion » ou d'« informations et documents », utilisés par exemple par la loi renseignement)7. Ci ces métadonnées peuvent déjà révéler beaucoup d'informations sur notre vie, limiter le pouvoir de surveillance de l'ANSSI à ces seules métadonnées aurait au moins le mérite de ne pas anéantir l'ensemble de l'édifice juridique qui protège encore un tant soit peu peu la confidentialité de nos communications.

Quel degré de surveillance pour quelles menaces ?

De même, la LPM n'établit aucun lien de causalité entre la menace pour les autorités publiques et les opérateurs d'importance vitale, d'un côté, et, de l'autre, les « événements susceptibles d’affecter la sécurité des systèmes » que les boîtes noires doivent détecter. Un tel lien doit être établi afin que l'ANSSI ne puisse analyser le trafic qu'aux seuls points du réseau où elle pourra détecter les menaces affectant les seules autorités et opérateurs qu'elle est censée protéger. Une précision par ailleurs indispensable pour permettre aux opérateurs concernés et à l'ARCEP, qui contrôlera l'action de l'ANSSI dans ce domaine, de s'assurer de la proportionnalité de la mesure de surveillance engagée.

Enfin, la notion de « menace » pour les autorités et opérateurs dont l'ANSSI est chargée d'assurer la protection est également très floue. L'étude d'impact de la loi parle d'une vingtaine de menaces par an seulement qui seraient suffisamment graves pour justifier de telles pratiques. Or, la loi n'offre aucun critère pour les limiter de la sorte et empêcher que des boîtes noires ne soient déployées constamment et en tout point pour prévenir n'importe quel type de menace plus ou moins abstraite – ce qui serait parfaitement injustifiable. Là encore, ces éléments de doctrine doivent figurer dans la loi, et faire l'objet d'une information régulière et transparente afin de permettre aux citoyens et à l'ensemble des acteurs concernés par ces mesures de pouvoir juger de leur proportionnalité.

Une durée de conservation doublée, sans raison valable

Alors que le projet de loi du gouvernement prévoyait que l'ANSSI puisse conserver pendant une durée maximale de 5 ans les « données techniques » collectées, la commission de la Défense nationale de l'Assemblée nationale a doublé cette durée à l'initiative du rapporteur, Jean-Jacques Bridey (député LREM), en la portant à 10 ans. Cette durée semble excessive puisque, comme on l'a vu, les données techniques recueillies sont très souvent des données à caractère personnel. 5 ans paraissent déjà très longs quand on sait que la loi renseignement limite à un mois après leur collecte la durée de conservation du contenu des correspondances.

Les responsables de l'ANSSI irresponsables ?

Quand bien même les nouveaux pouvoirs donnés à l'ANSSI seraient mieux limités, une autorité indépendante doit pouvoir s'assurer que ces pouvoirs ne sont dévoyés à des fins politiques ou de contrôle de la population. Or, le contrôle des activités de l'ANSSI par l'ARCEP, prévu dans le projet de loi, manque singulièrement de mordant.

D'abord, comme l'a souligné l'ARCEP dans son avis rendu sur le projet de loi, se pose d'abord la question du renforcement de ses moyens pour garantir sa capacité à contrôler l'ANSSI. Ensuite, en dépit des précisions apportées par l'Assemblée s'agissant des modalités de ce contrôle8, le texte ne prévoit qu'un contrôle distant, sur la foi de rapports et de documents, mais loin du terrain. Aucune possibilité de contrôler le fonctionnement des sondes installées sur les infrastructures des opérateurs télécoms ou des hébergeurs n'est prévue. Le projet de loi ne prévoit pas non plus que ces derniers puissent saisir l'ARCEP pour faire obstacle aux demandes de l'ANSSI.

Enfin, si elle constate des abus, l'ARCEP ne pourra qu'adopter des recommandations à l'adresse de l'ANSSI. Le texte ne prévoit aucune sanction. Pour faire en sorte que les nouveaux pouvoirs de l'ANSSI soient dûment encadrés, il faudrait aussi poser explicitement dans la loi le fait que le non-respect des dispositions contenues dans ce chapitre « cyberdéfense » sont constitutives des délits prévus en matière de traitements illégaux de données. Ces derniers font l'objet de sanctions pénales, et par ce truchement, toute constatation par l'ARCEP de non-respect des dispositions devra être signalée au Ministère public, lequel pourra ensuite engager une action pénale (voir l'article 40 du code de procédure pénale). En cas d'abus, les responsables de l'ANSSI seront ainsi mis devant leurs responsabilités.

Le droit européen de nouveau bafoué

On sait tout l'irrespect dont font preuve nombre de responsables publics français vis-à-vis des règles européennes encadrant les mesures de surveillance. Ce projet de loi en fournit une nouvelle illustration.

D'abord, parce qu'il ne prévoit aucune information des personnes qui verraient leur trafic Internet scruté par l'ANSSI. Lors de son audition, Guillaume Poupard expliquait ainsi sa volonté d'en passer directement par l'installation de sondes chez les hébergeurs plutôt qu'auprès des personnes ayant loué ses machines :

Bien entendu, nous pourrions demander la permission au détenteur de la machine, à celui qui l’a louée de manière légitime, mais nous ne voulons pas le faire. En effet, dans le meilleur des cas nous tomberons sur une victime que tout cela dépasse complètement : la plupart du temps, ces serveurs sont loués par des particuliers, par des gens que l’on n’a pas envie de mêler à des affaires aussi compliquées. Surtout, le plus souvent, celui qui loue la machine est l’agresseur lui-même.

Or, quelque soit le statut de ces personnes dont le trafic aura été surveillé – victimes innocentes et ignorantes ou cyber-attaquant malveillant –, à aucun moment le projet de loi ne prévoit qu'elles en soient informées (soit pendant la mesure de surveillance, soit après). C'est pourtant là une obligation, qui ressort notamment de la jurisprudence de la Cour européenne des droits de l'Homme (CEDH) et permet l'exercice d'un droit de recours effectif contre ces mesures de surveillance9.

Pour respecter le droit européen, d'autres dispositifs pourraient d'ailleurs être envisagés pour permettre l'exercice d'un droit de recours effectif, comme la possibilité de saisir l'ARCEP pour savoir si nos communications ont été, pour une raison ou une autre, aspirées par l'ANSSI. Le cas échéant, cela permettrait à l'ARCEP de s'assurer ensuite du caractère proportionné de cette surveillance. Si elle constatait une irrégularité, elle pourrait ordonner la destruction des données et saisir d'elle-même le ministère public. Dans le même temps, l'ARCEP devrait s'assurer de la bonne information de la personne surveillée et de la possibilité pour elle de se constituer partie civile.

Il y a deuxième point sur lequel le texte est en contrariété flagrante avec le droit de l'Union européenne, et en particulier la directive européenne de 2000 sur la société de l'information dont l'article 15 interdit aux États d'imposer aux opérateurs ou aux hébergeurs des mesures générales de surveillance. En l'état, l'article 2321-2-1 va bien à l'encontre de ce principe, en prévoyant que l'ANSSI puisse exiger l'utilisation de boîtes noires dans le but de scanner l'ensemble du trafic pour repérer des « cyber-menaces » chez les opérateurs et les hébergeurs.10 Notons que ce sont là les mêmes arguments que nous soulevons contre les boîtes noires de la Direction générale de la Sécurité intérieure (DGSI) dans le cadre de nos recours contre la loi renseignement.

L'ANSSI, ce faux-ami

Pour finir, il faut évoquer une inquiétude de fond s'agissant de l'ANSSI. Car même si les grands pontes de la cybersécurité aiment rappeler l'originalité du modèle français en la matière – avec une agence cybersécurité civile rattachée directement au Premier ministre et ne s'occupant pas de lutte informatique offensive –, force est de reconnaître la porosité croissante entre l'ANSSI et le monde du renseignement pour tout un tas de missions (les intrusions étrangères dans les systèmes d'information de l'État, la gestion des logiciels « chevaux de Troie » utilisés par les services pour réaliser des intrusions informatiques, l'échange de renseignement s'agissant de failles informatiques, etc.).

Cela a pu par le passé conduire à des prises de position pour le moins surprenantes, et en rupture avec l'image bienveillante et soucieuse des libertés que les dirigeants de l'ANSSI prennent soin de cultiver. Ainsi, Next INpact rappelait fin 2015 que, pour le projet du gouvernement de généraliser le chiffrement des mails, l'ANSSI avait tenu à distance des solutions de chiffrement robustes et décentralisées, dites de « bout-en-bout ». Guillaume Poupard disait alors vouloir ménager la possibilité que le trafic email soit accessible en clair en certains points du réseau. Plutôt que de promouvoir un chiffrement fort sans lequel il ne peut y avoir de véritable sécurité informatique, l'ANSSI entendait alors ménager les capacités de surveillance des services de renseignement et de police. On sait aussi que les services de renseignement ont joué un rôle de premier plan dans la rédaction de ce projet de loi.

Aujourd'hui, les dirigeants de l'ANSSI sont peut être sincères lorsqu'ils évoquent leur volonté de minimiser l'impact sur les libertés, la neutralité du Net et le droit au chiffrement de ces mesures de détections des attaques. Mais qu'en sera-t-il demain ? L'ANSSI – et les pouvoirs nouveaux dont la dote cette nouvelle LPM –, évolue dans une réalité institutionnelle qui la rend très perméable aux dérives sécuritaires. Raison pour laquelle un modèle de cybersécurité plus décentralisé, extirpé au maximum du secret d'État et misant sur la capacitation de l'ensemble des acteurs et utilisateurs d'Internet, aurait mérité d'être sérieusement envisagé et débattu publiquement. Au lieu de ça, le choix a été fait de présenter une nouvelle loi de surveillance, en procédure accélérée.

  • 1. Les mesures de sécurité réalisables par les opérateurs sont prévues au nouvel article L. 33-14 du code des postes et des communications, créé par l'article 19 de la LPM.
  • 2. Voir l'article 3, b), du règlement 2015/2120.
  • 3. Voir les articles 32-3 et L. 34-1, IV, second alinéa, du code des postes et des télécommunications.
  • 4. Dans son rapport, la commission de la défense nationale de l'Assemblée estime ainsi que « l’ARCEP sera en mesure de contrôler la régularité de la mise en œuvre de ces dispositifs par les opérateurs sur le fondement des articles L. 32-4 et L. 36-7 du code des postes et des communications électroniques ».
  • 5. Les nouveaux pouvoirs d'analyse du réseau par les boites noires de l'ANSSI sont prévus à l'article L. 2321-2-1 du code de la défense, créé par l'article 19 de la LPM.
  • 6. L'article L. 851-3 du code de la sécurité intérieure définit les boîtes noires utilisables par les services français comme des « traitements automatisés destinés, en fonction de paramètres précisés dans l'autorisation, à détecter des connexions susceptibles de révéler une menace terroriste ».
  • 7. Il déclare ainsi à Next INpact : « On fait du NetFlow [analyse de métadonnées d'un échantillon des paquets réseau, ndlr], mais je ne veux pas m’interdire d’aller plus loin si cela a un intérêt et n’est pas attentatoire au secret ».
  • 8. Voir le rapport de la commission de la défense nationale de l'Assemblée : « À l’initiative du rapporteur et la commission a adopté le dispositif de contrôle suivant. Il confie cette nouvelle mission à la formation de règlement des différends, de poursuite et d’instruction (formation RDPI) de l’ARCEP et prévoit : – une obligation, pour l’ANSSI, d’informer sans délai, la formation RDPI : d’une part, de la mise en œuvre des dispositifs de détection sur les réseaux des acteurs concernés (opérateurs de communications électroniques, hébergeurs, FAI) ; d’autre part, des demandes formulées par l’ANSSI tendant à l’obtention des données techniques nécessaires à la caractérisation d’une menace affectant la sécurité des systèmes d’informations des OIV ou des autorités publiques. – que la formation RDPI dispose d’un accès complet aux données techniques recueillies ou obtenues dans le cadre des dispositions prévues à l’article 19 ; – qu’elle peut adresser à l’ANSSI des recommandations, et qu’elle est informée des suites qui y sont données ; – que si aucune suite n’est donnée à ces recommandations, ou si elle juge ces suites insuffisantes, la formation RDPI pourra enjoindre l’ANSSI d’interrompre les opérations en cause ou de détruire les données recueillies ; – que l’ARCEP remet, chaque année, un rapport au Gouvernement et au Parlement sur les conditions d’exercice et les résultats du contrôle exercé par la formation de règlements des différends. ».
  • 9. Selon la CEDH, en effet : « Il peut ne pas être possible en pratique d’exiger une notification a posteriori dans tous les cas (...). Cependant, il est souhaitable d’aviser la personne concernée après la levée des mesures de surveillance dès que la notification peut être donnée sans compromettre le but de la restriction. Par ailleurs, la Cour prend acte de la recommandation du Comité des Ministres visant à réglementer l’utilisation de données à caractère personnel dans le secteur de la police, laquelle dispose que lorsque des données concernant une personne ont été collectées et enregistrées à son insu, elle doit, si les données ne sont pas détruites, être informée, si cela est possible, que des informations sont détenues sur son compte, et ce dès que l’objet des activités de police ne risque plus d’en pâtir » (§ 287, affaire Roman Zakharov c. Russie).
  • 10. La directive de 2000 proscrit ainsi des mesures de filtrage du trafic visant à bloquer ou détecter certains communications au niveau d'un fournisseurs d'accès ou d'un hébergeur. Selon la Cour de justice de l'Union européenne : « (...) l’injonction faite au prestataire de services d’hébergement de mettre en place le système de filtrage litigieux l’obligerait à procéder à une surveillance active de la quasi- totalité des données concernant l’ensemble des utilisateurs de ses services. Il s’ensuit que ladite injonction imposerait au prestataire de services d’hébergement une surveillance générale qui est interdite par l’article 15, paragraphe 1, de la directive 2000/31 » (CJUE, 16 février 2012, SABAM c/ Netlog, C-360/10, §38. Voir aussi CJUE, 24 novembre 2011, SABAM c/ Scarlet Extended, C-70/10, §40.)
]]>
Attaquons les GAFAM et leur monde10472 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180417_141525_Attaquons_les_GAFAM_et_leur_mondeTue, 17 Apr 2018 12:15:25 +000017 avril 2018 - Nous avons lancé hier notre campagne d'actions de groupe contre les GAFAM. Jusqu'au 25 mai (jour du dépôt des plaintes devant la CNIL) toute personne vivant en France peut nous rejoindre sur gafam.laquadrature.net. C'est sur la base de ces premières actions que nous pourrons, sur le temps long, déconstruire méthodiquement le monde qu'ils tentent de nous imposer.

imagecontregafam

Nous n'attendrons pas le 25 mai, jour d'entrée en application du règlement général sur la protection des données (RGPD), pour agir. Nous n'avons plus à attendre.

Ce règlement européen (que nous avions ardemment défendu il y a 3 ans) nous donne enfin l'opportunité de renverser la grande farce sur laquelle les GAFAM ont construit leur monde : le « consentement » que nous leur donnerions, pour qu'ils sondent notre esprit et influent nos volontés, ne vaut rien. Il est vulgairement monnayé contre l'utilisation de leurs sites et applications.

Or, le droit européen est maintenant clair : un consentement monnayé, bradé, ne vaut rien et ne suffit plus à rendre légale leur surveillance de masse1. Ce « consentement » de paille ne saurait donc plus longtemps servir d'alibi à Zuckerberg et aux autres pour nous rendre responsables de la perte de notre vie privée et de la destruction de nos liens collectifs.

Nos actions de groupe se baseront sur ce seul argument juridique, la fausseté du consentement, car il attaque à sa racine le monde ultra-centralisé (pour eux) et individualiste (pour nous) qu'ils espèrent pouvoir imposer.

Notre campagne de 40 jours consacrera chaque semaine à chacun des GAFAM, pour comprendre la spécifité de l'emprise de chacun d'eux. Mais ce n'est qu'une première étape : les GAFAM ne sont que le symbôle d'un monde qu'il faudra, une fois cette étape passée, déconstruire méthodiquement : contre leurs alliés (sites de presse ou du gouvernement), qui diffusent leurs mouchards partout sur Internet, contre les administrations avec lesquelles ils vivent le grand amour et contre toutes les entreprises ‑ notamment françaises - qui ont embrassé leurs ambitions de manipulation de masse, Criteo en tête.

Cette première étape doit donc être la plus puissante possible, car c'est d'elle que partira le reste.

Puissante comment ? En mettant la CNIL au pied du mur. En déposant sur son bureau une plainte réunissant tant de personnes qu'elle ne pourra pas refuser de la traiter avec la fermeté requise sans perdre toute légitimité. Et le nouveau règlement lui donne enfin les moyens de cette fermeté : des amendes de 4 % du chiffre d'affaire mondial.

Que ce soit clair : cette première étape est si décisive que nous ne pouvons entièrement la laisser dans les mains de la CNIL. Si, au 3 septembre, elle n'a encore entamé aucune démarche, nous porterons nos actions devant l'autorité judiciaire, civile ou pénale, qui a elle aussi le pouvoir de nous défendre.

Enfin, comprenons bien que ces actions auront nécessairement une répercution européenne, si ce n'est mondiale. Le processus de coopération entre les différents États membres de l'Union européenne prévu par le nouveau règlement impliquera manifestement que nos actions soient, en fin de course, tranchées au niveau européen. Nous invitons donc les populations de chaque État membre à reprendre l'initiative entamée en France dans leur pays : nos actions se retrouveront au sommet !

  • 1. Retrouvez le détail de l'analyse juridique sur gafam.laquadrature.net, dans l'encart « détail du mandat » du formulaire.
Fichier attachéTaille
contrelesgafam.png12.43 Ko
]]>
17 avril 2018 - Nous avons lancé hier notre campagne d'actions de groupe contre les GAFAM. Jusqu'au 25 mai (jour du dépôt des plaintes devant la CNIL) toute personne vivant en France peut nous rejoindre sur gafam.laquadrature.net. C'est sur la base de ces premières actions que nous pourrons, sur le temps long, déconstruire méthodiquement le monde qu'ils tentent de nous imposer.

imagecontregafam

Nous n'attendrons pas le 25 mai, jour d'entrée en application du règlement général sur la protection des données (RGPD), pour agir. Nous n'avons plus à attendre.

Ce règlement européen (que nous avions ardemment défendu il y a 3 ans) nous donne enfin l'opportunité de renverser la grande farce sur laquelle les GAFAM ont construit leur monde : le « consentement » que nous leur donnerions, pour qu'ils sondent notre esprit et influent nos volontés, ne vaut rien. Il est vulgairement monnayé contre l'utilisation de leurs sites et applications.

Or, le droit européen est maintenant clair : un consentement monnayé, bradé, ne vaut rien et ne suffit plus à rendre légale leur surveillance de masse1. Ce « consentement » de paille ne saurait donc plus longtemps servir d'alibi à Zuckerberg et aux autres pour nous rendre responsables de la perte de notre vie privée et de la destruction de nos liens collectifs.

Nos actions de groupe se baseront sur ce seul argument juridique, la fausseté du consentement, car il attaque à sa racine le monde ultra-centralisé (pour eux) et individualiste (pour nous) qu'ils espèrent pouvoir imposer.

Notre campagne de 40 jours consacrera chaque semaine à chacun des GAFAM, pour comprendre la spécifité de l'emprise de chacun d'eux. Mais ce n'est qu'une première étape : les GAFAM ne sont que le symbôle d'un monde qu'il faudra, une fois cette étape passée, déconstruire méthodiquement : contre leurs alliés (sites de presse ou du gouvernement), qui diffusent leurs mouchards partout sur Internet, contre les administrations avec lesquelles ils vivent le grand amour et contre toutes les entreprises ‑ notamment françaises - qui ont embrassé leurs ambitions de manipulation de masse, Criteo en tête.

Cette première étape doit donc être la plus puissante possible, car c'est d'elle que partira le reste.

Puissante comment ? En mettant la CNIL au pied du mur. En déposant sur son bureau une plainte réunissant tant de personnes qu'elle ne pourra pas refuser de la traiter avec la fermeté requise sans perdre toute légitimité. Et le nouveau règlement lui donne enfin les moyens de cette fermeté : des amendes de 4 % du chiffre d'affaire mondial.

Que ce soit clair : cette première étape est si décisive que nous ne pouvons entièrement la laisser dans les mains de la CNIL. Si, au 3 septembre, elle n'a encore entamé aucune démarche, nous porterons nos actions devant l'autorité judiciaire, civile ou pénale, qui a elle aussi le pouvoir de nous défendre.

Enfin, comprenons bien que ces actions auront nécessairement une répercution européenne, si ce n'est mondiale. Le processus de coopération entre les différents États membres de l'Union européenne prévu par le nouveau règlement impliquera manifestement que nos actions soient, en fin de course, tranchées au niveau européen. Nous invitons donc les populations de chaque État membre à reprendre l'initiative entamée en France dans leur pays : nos actions se retrouveront au sommet !

  • 1. Retrouvez le détail de l'analyse juridique sur gafam.laquadrature.net, dans l'encart « détail du mandat » du formulaire.
Fichier attachéTaille
contrelesgafam.png12.43 Ko
]]>
Loi données personnelles, dernière étape ? Le Parlement doit défendre ses avancées10468 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180405_144443_Loi_donnees_personnelles__derniere_etape___Le_Parlement_doit_defendre_ses_avanceesThu, 05 Apr 2018 12:44:43 +00005 avril 2018 - Demain se tiendra la commission mixte paritaire (réunissant une poignée de députés et de sénateurs) destinée à trancher les différentes version de la loi « données personnelles » adoptée par chacune des deux chambres ces deux derniers mois. Bien qu'échouant chacune à encadrer les services de renseignement, l'Assemblée nationale et le Sénat ont, chacun de leur côté, prévu certaines avancées pour nos libertés.

Le rôle de la commission sera de trancher point par point laquelle des versions des deux chambres doit être définitivement adoptée. L'Observatoire des Libertés et du Numérique (OLN) leur écrit pour leur indiquer les choix exigés par la défense de nos libertés.

Lettre ouverte aux membres de la commission mixte paritaire

Madame, Monsieur,

Vous débattrez demain du projet de loi relatif à la protection des données personnelles. L’Assemblée nationale et le Sénat que vous représentez ont arrêté certaines positions en faveur de la protection des libertés. Il s'agit à présent de concilier ces avancées afin de répondre aux enjeux posés par cette évolution législative historique.

Décision individuelle automatisée - article 14

L'Assemblée nationale et le Sénat ont fermement réitéré l'interdiction historique d'une automatisation de la Justice, mais l'Assemblée nationale a néanmoins admis cette automatisation dans le cadre des décisions administratives individuelles.

Ce revirement total par rapport à ce que la loi informatique et liberté a interdit dès 1978 a été de la volonté du secrétariat d’État au numérique, le ministère de la Justice ne semblant manifestement pas le soutenir activement. Il faut regretter que l'Assemblée n'ait pas pris le temps d'en discuter lors de l'examen du texte en séance publique, acceptant sans vrai débat ce changement de paradigme. Voir en ce sens l'avis de la CNIL sur le projet de loi (pp.27 – 28).

Heureusement, la rapporteure du texte au Sénat a fait poser certaines limites à cette automatisation des décisions administratives. À cet égard, toute limitation de la sorte devra être défendue et retenue par votre commission.

Sanction des collectivités - article 6

Le Sénat a indiqué souhaiter exempter les collectivités territoriales de toute sanction de la CNIL. À défaut d'être associé à la moindre sanction, le contrôle de la CNIL sur ces collectivités deviendrait parfaitement vain et, en pratique, prendrait vraisemblablement rapidement fin.

Ce contrôle apparaît toutefois indispensable au regard des mutations rapides et drastiques déjà entamées en matière de « justice prédictive » ou de « ville intelligente ». 

Ainsi l'application « Reporty » qui, testée par la ville de Nice, devait recueillir et centraliser les signalements vidéos d'incivilités et d'infractions transmis par ordiphone a été dénoncée par la CNIL qui a jugé les traitements envisagés disproportionnés et n'ayant pas de base légale. Voir en ce sens la récente décision de la CNIL.

Un deuxième cas récent qui justifie également de conserver le pouvoir de sanction de la CNIL à l’égard des collectivités est celui de « l'observatoire Big Data de la tranquillité publique » que la ville de Marseille est en train de mettre sur pied. Pour s’en convaincre lire l'article détaillé de La Quadrature du Net.

Face à des mutations aussi vertigineuses, vous devrez expliquer aux citoyens pourquoi vous leur avez retiré la protection que leur offrait encore la CNIL.

Votre commission doit donc retenir la position de l'Assemblée nationale, qui conserve à la CNIL son entier pouvoir de sanction.

Chiffrement par défaut - après l'article 10

Reprenant un amendement proposé par La Quadrature du Net, le Sénat a précisé l'obligation de sécurité imposée par le RGPD, indiquant que celle-ci implique de chiffrer les données chaque fois que cela est possible (et donc notamment de chiffrer les communications de bout en bout).

Cette précision fondamentale clarifie l’obligation de sécurité et évitera tout faux débat quant à son interprétation.
La CNIL considère en effet depuis longtemps que, « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité », exigeant ainsi des « solutions de chiffrement robustes, sous la maitrise complète de l’utilisateur » - telles que celles votées par le Sénat et qui doivent être maintenues dans la loi.

Rappelons que la position de la CNIL n'est en rien limitée à des considérations propres aux libertés, l'Agence nationale de sécurité des systèmes d'information (ANSSI) établissant ainsi nettement que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l'information. Eux seuls permettent d'assurer une sécurité au juste niveau lors de la transmission, du stockage et de l'accès aux données numériques sensibles ».

Droit à la portabilité - article 20 bis

La loi pour une république numérique de 2016 a inscrit dans la loi une obligation étendue à la portabilité des données. Cette portabilité dépasse celle restreinte aux seules données personnelles prévues par le règlement. La portabilité générale inscrite en droit français permet une mise en application véritable de ce dispositif pour permettre aux internautes consommateurs de faire véritablement jouer la concurrence entre services en ligne et éviter de devoir demeurer sur un service qui ne leur conviendrait plus en raison du « coût de sortie » d'une perte d'une grande quantité de données non personnelles, notamment celles apportées au service. 

Le Sénat l'a bien compris : le texte, dans la version qu'il a retenue, est plus protecteur des internautes, il facilitera une concurrence saine entre services en ligne et doit donc être conservé.

L’Observatoire des Libertés et du Numérique vous demande instamment à l’occasion de ce vote important pour les libertés numériques des résidents européens, de faire les choix des dispositions les plus protectrices des libertés.

Organisations signataires de l’OLN : Le CECIL, Creis-Terminal, La Ligue des Droits de l'Homme (LDH), La Quadrature du Net (LQDN)

]]>
5 avril 2018 - Demain se tiendra la commission mixte paritaire (réunissant une poignée de députés et de sénateurs) destinée à trancher les différentes version de la loi « données personnelles » adoptée par chacune des deux chambres ces deux derniers mois. Bien qu'échouant chacune à encadrer les services de renseignement, l'Assemblée nationale et le Sénat ont, chacun de leur côté, prévu certaines avancées pour nos libertés.

Le rôle de la commission sera de trancher point par point laquelle des versions des deux chambres doit être définitivement adoptée. L'Observatoire des Libertés et du Numérique (OLN) leur écrit pour leur indiquer les choix exigés par la défense de nos libertés.

Lettre ouverte aux membres de la commission mixte paritaire

Madame, Monsieur,

Vous débattrez demain du projet de loi relatif à la protection des données personnelles. L’Assemblée nationale et le Sénat que vous représentez ont arrêté certaines positions en faveur de la protection des libertés. Il s'agit à présent de concilier ces avancées afin de répondre aux enjeux posés par cette évolution législative historique.

Décision individuelle automatisée - article 14

L'Assemblée nationale et le Sénat ont fermement réitéré l'interdiction historique d'une automatisation de la Justice, mais l'Assemblée nationale a néanmoins admis cette automatisation dans le cadre des décisions administratives individuelles.

Ce revirement total par rapport à ce que la loi informatique et liberté a interdit dès 1978 a été de la volonté du secrétariat d’État au numérique, le ministère de la Justice ne semblant manifestement pas le soutenir activement. Il faut regretter que l'Assemblée n'ait pas pris le temps d'en discuter lors de l'examen du texte en séance publique, acceptant sans vrai débat ce changement de paradigme. Voir en ce sens l'avis de la CNIL sur le projet de loi (pp.27 – 28).

Heureusement, la rapporteure du texte au Sénat a fait poser certaines limites à cette automatisation des décisions administratives. À cet égard, toute limitation de la sorte devra être défendue et retenue par votre commission.

Sanction des collectivités - article 6

Le Sénat a indiqué souhaiter exempter les collectivités territoriales de toute sanction de la CNIL. À défaut d'être associé à la moindre sanction, le contrôle de la CNIL sur ces collectivités deviendrait parfaitement vain et, en pratique, prendrait vraisemblablement rapidement fin.

Ce contrôle apparaît toutefois indispensable au regard des mutations rapides et drastiques déjà entamées en matière de « justice prédictive » ou de « ville intelligente ». 

Ainsi l'application « Reporty » qui, testée par la ville de Nice, devait recueillir et centraliser les signalements vidéos d'incivilités et d'infractions transmis par ordiphone a été dénoncée par la CNIL qui a jugé les traitements envisagés disproportionnés et n'ayant pas de base légale. Voir en ce sens la récente décision de la CNIL.

Un deuxième cas récent qui justifie également de conserver le pouvoir de sanction de la CNIL à l’égard des collectivités est celui de « l'observatoire Big Data de la tranquillité publique » que la ville de Marseille est en train de mettre sur pied. Pour s’en convaincre lire l'article détaillé de La Quadrature du Net.

Face à des mutations aussi vertigineuses, vous devrez expliquer aux citoyens pourquoi vous leur avez retiré la protection que leur offrait encore la CNIL.

Votre commission doit donc retenir la position de l'Assemblée nationale, qui conserve à la CNIL son entier pouvoir de sanction.

Chiffrement par défaut - après l'article 10

Reprenant un amendement proposé par La Quadrature du Net, le Sénat a précisé l'obligation de sécurité imposée par le RGPD, indiquant que celle-ci implique de chiffrer les données chaque fois que cela est possible (et donc notamment de chiffrer les communications de bout en bout).

Cette précision fondamentale clarifie l’obligation de sécurité et évitera tout faux débat quant à son interprétation.
La CNIL considère en effet depuis longtemps que, « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité », exigeant ainsi des « solutions de chiffrement robustes, sous la maitrise complète de l’utilisateur » - telles que celles votées par le Sénat et qui doivent être maintenues dans la loi.

Rappelons que la position de la CNIL n'est en rien limitée à des considérations propres aux libertés, l'Agence nationale de sécurité des systèmes d'information (ANSSI) établissant ainsi nettement que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l'information. Eux seuls permettent d'assurer une sécurité au juste niveau lors de la transmission, du stockage et de l'accès aux données numériques sensibles ».

Droit à la portabilité - article 20 bis

La loi pour une république numérique de 2016 a inscrit dans la loi une obligation étendue à la portabilité des données. Cette portabilité dépasse celle restreinte aux seules données personnelles prévues par le règlement. La portabilité générale inscrite en droit français permet une mise en application véritable de ce dispositif pour permettre aux internautes consommateurs de faire véritablement jouer la concurrence entre services en ligne et éviter de devoir demeurer sur un service qui ne leur conviendrait plus en raison du « coût de sortie » d'une perte d'une grande quantité de données non personnelles, notamment celles apportées au service. 

Le Sénat l'a bien compris : le texte, dans la version qu'il a retenue, est plus protecteur des internautes, il facilitera une concurrence saine entre services en ligne et doit donc être conservé.

L’Observatoire des Libertés et du Numérique vous demande instamment à l’occasion de ce vote important pour les libertés numériques des résidents européens, de faire les choix des dispositions les plus protectrices des libertés.

Organisations signataires de l’OLN : Le CECIL, Creis-Terminal, La Ligue des Droits de l'Homme (LDH), La Quadrature du Net (LQDN)

]]>
Le Conseil constitutionnel restreint le droit au chiffrement10467 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180404_151144_Le_Conseil_constitutionnel_restreint_le_droit_au_chiffrementWed, 04 Apr 2018 13:11:44 +00004 avril 2018 - Dans sa décision du 30 mars 2018 relative à l'article 434-15-2 du code pénal, le Conseil constitutionnel a refusé de protéger le droit pour une personne suspectée (en l'espèce un soupçonné revendeur de drogues) de ne pas révéler ses clefs de déchiffrement. Alors que de nombreux acteurs du droit et le gouvernement lui-même s'attendaient à une décision ménageant le droit à ne pas s'auto-incriminer – c'est-à-dire le fait de ne pas être contraint de s'accuser soi-même en livrant son mot de passe –, le Conseil rend une décision très décevante. La Quadrature du Net, qui est intervenue dans cette affaire, s'inquiète de cette décision qui risque d'affaiblir durablement le droit au chiffrement.

La disposition attaquée, l'article 434-15-2 du code pénal, punit d'importantes peines d'amendes et de prison le refus de livrer aux autorités judiciaires une convention de déchiffrement (par exemple, le mot de passe permettant de déchiffrer le contenu d'un disque dur).

Des réserves a minima

Les seules réserves apportées par le Conseil consistent à confirmer qu'il est nécessaire pour l'autorité judiciaire « d'établir » que la personne concernée a effectivement connaissance de la clef de déchiffrement. Cette précision confirme que l'incrimination pénale ne peut être retenue contre des prestataires de solution de chiffrement « bout-en-bout » des communications qui, par définition, n'ont pas connaissance de la clef.

Le Conseil impose également que « l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données traitées par le moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Une précision qui invite à penser qu'il sera donc nécessaire pour les autorités de prouver que des données spécifiques intéressant l'enquête existent bien sur le périphérique concerné.

Malheureusement, le Conseil constitutionnel a refusé de reconnaître les atteintes de ce texte au droit de ne pas s'accuser, au droit au respect de la vie privée, au secret des correspondances, ou encore à la liberté d'expression et de communication.

Le droit de ne pas s'auto-incriminer bafoué

Cette décision constitue d'abord une véritable remise en cause du droit de ne pas s'auto-incriminer – un principe fondamental du droit pénal – qui déséquilibre fortement l'équilibre précaire entre l'instruction et la poursuite légitime des infractions d'un côté, les droits de la défense et le respect de la présomption d'innocence de l'autre. Elle est d'autant plus choquante que la limitation de l'application de ce texte aux seules personnes tierces à l'infraction (n'étant donc pas menacées par l'enquête) était déjà acceptée par une large majorité des acteurs du droit qui doivent faire application de cette incrimination (juridictions, forces de l'ordre, avocats…).

C'est ce qu'illustre par exemple un rapport de la CNIL de 2016, qui affirmait que les obligations de révéler des clefs de déchiffrement « ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête ». La CNIL poursuivait en rappelant que « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l'Homme et dans la jurisprudence de la Cour européenne ».

Même Philippe Blanc, représentant le Premier ministre dans cette affaire, le reconnaissait plusieurs fois lors de à l'audience du 6 mars 2018 :

La seule interprétation qui soit de nature à rendre l'article 434-15-2 du Code pénal conforme à la Constitution est, en effet, celle qui exclue l'application de cette loi aux personnes suspectées d'avoir commis elles-mêmes une infraction. Cette interprétation est nécessaire […] pour préserver le droit de la personne suspectée à ne pas s'auto-incriminer.

En ce même sens, dès février, le Centre de recherche de l'école des officiers de la gendarmerie nationale (CREOGN) anticipait la décision en ces termes : « Cette décision va sans doute consister en une déclaration de constitutionnalité sous réserve : le texte ne s'appliquerait pas aux auteurs, co-auteurs ou complices en vertu du droit de se taire et de ne pas s'auto-incriminer ».

Et pourtant, le Conseil constitutionnel en a décidé autrement.

Le droit à la vie privée et la liberté de communication menacées

Le CREOGN rappelait par ailleurs le contexte de la création de cette infraction : un simple amendement non véritablement débattu dans la loi relative à la sécurité quotidienne du 15 novembre 2001, adoptée dans le contexte et l'émotion des attaques du 11 septembre. Passible d'une sanction particulièrement importante (3 ans de prison et 270 000 € d'amende), cette disposition risque d'être désormais utilisée aussi bien par les juges d'instruction que par les procureurs pour contraindre des suspects de leur donner accès à tout périphérique chiffré (smartphone, ordinateur, périphériques de mémoire…).

Cette décision remet en cause le droit au chiffrement et l'intérêt de son usage, mais aussi, incidemment, la vie privée, la confidentialité des communications, le secret des sources journalistiques et la liberté de communication. Alors que l'ère numérique banalise la société de surveillance, ce droit est pourtant devenu une nécessité pour garantir les libertés fondamentales face aux possibilités d'arbitraire de l'État. En 2015, l'Assemblée parlementaire du Conseil de l'Europe rappelait ainsi que, « jusqu’à ce que les États acceptent de fixer des limites aux programmes de surveillance massive menés par leurs agences de renseignement, le chiffrement généralisé visant à renforcer la vie privée constitue la solution de repli la plus efficace pour permettre aux gens de protéger leurs données »1.

La décision du Conseil fait d'ailleurs fi des recommandations formulées en 2015 par David Kaye, rapporteur spécial du Conseil des droits de l'Homme de l'ONU pour la liberté d'expression, dans son rapport sur le droit au chiffrement, où il abordait la question des obligations de livrer les clefs de déchiffrement2. Plus largement, elle s'inscrit dans une tradition juridique française particulièrement hostile au chiffrement, qu'illustre par exemple l'article 132-79 du code pénal, qui fait de l'usage du chiffrement une circonstance aggravante lorsqu'il est utilisé pour préparer ou commettre un délit.

L'accès aux données stockées sur nos ordinateurs, nos téléphones ou, sur nos serveurs s'avère formidablement intrusif, révélant des pans entiers de notre intimité, de notre histoire personnelle, de notre mémoire. Dans ce contexte, le chiffrement des données permet de rétablir un peu de l'équilibre perdu entre les capacités de surveillance des États et le droit à la vie privée. Or, par cette décision, le Conseil constitutionnel admet que le simple fait d'être suspect justifie que l'État puisse nous forcer à révéler cette intimité, à nous faire transparents à ses yeux, alors même que les services enquêteurs peuvent disposer d'autres moyens pour élucider une affaire. C'est une erreur historique qui, dans son principe, pourrait s'avérer lourde de conséquences.

Si cette jurisprudence est décevante, elle marque toutefois l'émergence d'un véritable débat sur le droit au chiffrement au niveau des cours constitutionnelles européennes. Elle rappelle aussi, en creux, la nécessité de se mobiliser au niveau européen, par exemple autour de la directive sur l'accès transfrontière aux données qui sera présenté le 17 avril prochain, afin de garantir la protection d'un droit au chiffrement désormais consubstantiel de la protection de la vie privée et de la liberté de communication.

  • 1. Pieter Omtzigt. Les opérations de surveillance massive. Strasbourg : Assemblée parlementaire du Conseil de l’Europe, mar. 2015. Disponible à l’adresse : http://assembly.coe.int/nw/xml/XRef/Xref-XML2HTML-fr.asp?fileid=21583&la...
    Dans le même sens, voir aussi les propos de Giovanni Buttarelli, contrôleur européen de la protection des données, lors d'un colloque organisé à l'Assemblée nationale par l'Observatoire des libertés et du numérique : « le chiffrement est devenu un outil essentiel pour protéger la confidentialité des communications. Son utilisation a augmenté après les révélations sur les efforts des organisations publiques et privées ainsi que des gouvernements pour obtenir l’accès à nos communications » (vidéo YouTube).
  • 2. Il écrivait à ce propos : « Key disclosure, by contrast, could expose private data well beyond what is required by the exigencies of a situation. (…) Such orders should be based on publicly accessible law, clearly limited in scope focused on a specific target, implemented under independent and impartial judicial authority, in particular to preserve the due process rights of targets, and only adopted when necessary and when less intrusive means of investigation are not available. Such measures may only be justified if used in targeting a specific user or users, subject to judicial oversight ». Autant de conditions qui ne sont pas remplies s'agissant de la loi française telle qu'interprétée par le Conseil constitutionnel. Voir : David Kaye. Rapport du Rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression sur le chiffrement et l’anonymat. Genève : Conseil des droits de l’Homme des Nations Unies, mai 2015. Disponible à l'adresse : http://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session29/Documents/A.HRC.29.32_AEV.doc
]]>
4 avril 2018 - Dans sa décision du 30 mars 2018 relative à l'article 434-15-2 du code pénal, le Conseil constitutionnel a refusé de protéger le droit pour une personne suspectée (en l'espèce un soupçonné revendeur de drogues) de ne pas révéler ses clefs de déchiffrement. Alors que de nombreux acteurs du droit et le gouvernement lui-même s'attendaient à une décision ménageant le droit à ne pas s'auto-incriminer – c'est-à-dire le fait de ne pas être contraint de s'accuser soi-même en livrant son mot de passe –, le Conseil rend une décision très décevante. La Quadrature du Net, qui est intervenue dans cette affaire, s'inquiète de cette décision qui risque d'affaiblir durablement le droit au chiffrement.

La disposition attaquée, l'article 434-15-2 du code pénal, punit d'importantes peines d'amendes et de prison le refus de livrer aux autorités judiciaires une convention de déchiffrement (par exemple, le mot de passe permettant de déchiffrer le contenu d'un disque dur).

Des réserves a minima

Les seules réserves apportées par le Conseil consistent à confirmer qu'il est nécessaire pour l'autorité judiciaire « d'établir » que la personne concernée a effectivement connaissance de la clef de déchiffrement. Cette précision confirme que l'incrimination pénale ne peut être retenue contre des prestataires de solution de chiffrement « bout-en-bout » des communications qui, par définition, n'ont pas connaissance de la clef.

Le Conseil impose également que « l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données traitées par le moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Une précision qui invite à penser qu'il sera donc nécessaire pour les autorités de prouver que des données spécifiques intéressant l'enquête existent bien sur le périphérique concerné.

Malheureusement, le Conseil constitutionnel a refusé de reconnaître les atteintes de ce texte au droit de ne pas s'accuser, au droit au respect de la vie privée, au secret des correspondances, ou encore à la liberté d'expression et de communication.

Le droit de ne pas s'auto-incriminer bafoué

Cette décision constitue d'abord une véritable remise en cause du droit de ne pas s'auto-incriminer – un principe fondamental du droit pénal – qui déséquilibre fortement l'équilibre précaire entre l'instruction et la poursuite légitime des infractions d'un côté, les droits de la défense et le respect de la présomption d'innocence de l'autre. Elle est d'autant plus choquante que la limitation de l'application de ce texte aux seules personnes tierces à l'infraction (n'étant donc pas menacées par l'enquête) était déjà acceptée par une large majorité des acteurs du droit qui doivent faire application de cette incrimination (juridictions, forces de l'ordre, avocats…).

C'est ce qu'illustre par exemple un rapport de la CNIL de 2016, qui affirmait que les obligations de révéler des clefs de déchiffrement « ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête ». La CNIL poursuivait en rappelant que « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l'Homme et dans la jurisprudence de la Cour européenne ».

Même Philippe Blanc, représentant le Premier ministre dans cette affaire, le reconnaissait plusieurs fois lors de à l'audience du 6 mars 2018 :

La seule interprétation qui soit de nature à rendre l'article 434-15-2 du Code pénal conforme à la Constitution est, en effet, celle qui exclue l'application de cette loi aux personnes suspectées d'avoir commis elles-mêmes une infraction. Cette interprétation est nécessaire […] pour préserver le droit de la personne suspectée à ne pas s'auto-incriminer.

En ce même sens, dès février, le Centre de recherche de l'école des officiers de la gendarmerie nationale (CREOGN) anticipait la décision en ces termes : « Cette décision va sans doute consister en une déclaration de constitutionnalité sous réserve : le texte ne s'appliquerait pas aux auteurs, co-auteurs ou complices en vertu du droit de se taire et de ne pas s'auto-incriminer ».

Et pourtant, le Conseil constitutionnel en a décidé autrement.

Le droit à la vie privée et la liberté de communication menacées

Le CREOGN rappelait par ailleurs le contexte de la création de cette infraction : un simple amendement non véritablement débattu dans la loi relative à la sécurité quotidienne du 15 novembre 2001, adoptée dans le contexte et l'émotion des attaques du 11 septembre. Passible d'une sanction particulièrement importante (3 ans de prison et 270 000 € d'amende), cette disposition risque d'être désormais utilisée aussi bien par les juges d'instruction que par les procureurs pour contraindre des suspects de leur donner accès à tout périphérique chiffré (smartphone, ordinateur, périphériques de mémoire…).

Cette décision remet en cause le droit au chiffrement et l'intérêt de son usage, mais aussi, incidemment, la vie privée, la confidentialité des communications, le secret des sources journalistiques et la liberté de communication. Alors que l'ère numérique banalise la société de surveillance, ce droit est pourtant devenu une nécessité pour garantir les libertés fondamentales face aux possibilités d'arbitraire de l'État. En 2015, l'Assemblée parlementaire du Conseil de l'Europe rappelait ainsi que, « jusqu’à ce que les États acceptent de fixer des limites aux programmes de surveillance massive menés par leurs agences de renseignement, le chiffrement généralisé visant à renforcer la vie privée constitue la solution de repli la plus efficace pour permettre aux gens de protéger leurs données »1.

La décision du Conseil fait d'ailleurs fi des recommandations formulées en 2015 par David Kaye, rapporteur spécial du Conseil des droits de l'Homme de l'ONU pour la liberté d'expression, dans son rapport sur le droit au chiffrement, où il abordait la question des obligations de livrer les clefs de déchiffrement2. Plus largement, elle s'inscrit dans une tradition juridique française particulièrement hostile au chiffrement, qu'illustre par exemple l'article 132-79 du code pénal, qui fait de l'usage du chiffrement une circonstance aggravante lorsqu'il est utilisé pour préparer ou commettre un délit.

L'accès aux données stockées sur nos ordinateurs, nos téléphones ou, sur nos serveurs s'avère formidablement intrusif, révélant des pans entiers de notre intimité, de notre histoire personnelle, de notre mémoire. Dans ce contexte, le chiffrement des données permet de rétablir un peu de l'équilibre perdu entre les capacités de surveillance des États et le droit à la vie privée. Or, par cette décision, le Conseil constitutionnel admet que le simple fait d'être suspect justifie que l'État puisse nous forcer à révéler cette intimité, à nous faire transparents à ses yeux, alors même que les services enquêteurs peuvent disposer d'autres moyens pour élucider une affaire. C'est une erreur historique qui, dans son principe, pourrait s'avérer lourde de conséquences.

Si cette jurisprudence est décevante, elle marque toutefois l'émergence d'un véritable débat sur le droit au chiffrement au niveau des cours constitutionnelles européennes. Elle rappelle aussi, en creux, la nécessité de se mobiliser au niveau européen, par exemple autour de la directive sur l'accès transfrontière aux données qui sera présenté le 17 avril prochain, afin de garantir la protection d'un droit au chiffrement désormais consubstantiel de la protection de la vie privée et de la liberté de communication.

  • 1. Pieter Omtzigt. Les opérations de surveillance massive. Strasbourg : Assemblée parlementaire du Conseil de l’Europe, mar. 2015. Disponible à l’adresse : http://assembly.coe.int/nw/xml/XRef/Xref-XML2HTML-fr.asp?fileid=21583&la...
    Dans le même sens, voir aussi les propos de Giovanni Buttarelli, contrôleur européen de la protection des données, lors d'un colloque organisé à l'Assemblée nationale par l'Observatoire des libertés et du numérique : « le chiffrement est devenu un outil essentiel pour protéger la confidentialité des communications. Son utilisation a augmenté après les révélations sur les efforts des organisations publiques et privées ainsi que des gouvernements pour obtenir l’accès à nos communications » (vidéo YouTube).
  • 2. Il écrivait à ce propos : « Key disclosure, by contrast, could expose private data well beyond what is required by the exigencies of a situation. (…) Such orders should be based on publicly accessible law, clearly limited in scope focused on a specific target, implemented under independent and impartial judicial authority, in particular to preserve the due process rights of targets, and only adopted when necessary and when less intrusive means of investigation are not available. Such measures may only be justified if used in targeting a specific user or users, subject to judicial oversight ». Autant de conditions qui ne sont pas remplies s'agissant de la loi française telle qu'interprétée par le Conseil constitutionnel. Voir : David Kaye. Rapport du Rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression sur le chiffrement et l’anonymat. Genève : Conseil des droits de l’Homme des Nations Unies, mai 2015. Disponible à l'adresse : http://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session29/Documents/A.HRC.29.32_AEV.doc
]]>
Surveillance généralisée des citoyens : La Quadrature du Net attaque les opérateurs mobiles10448 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180322_153551_Surveillance_generalisee_des_citoyens___La_Quadrature_du_Net_attaque_les_operateurs_mobilesThu, 22 Mar 2018 14:35:51 +000022 mars 2018 - Quatre bénévoles de la Quadrature du Net ont demandé à leur opérateur de téléphonie mobile français (Free Mobile, Orange, Bouygues Telecom, SFR) d'accéder aux données personnelles que ces derniers conservent sur eux. N'ayant pas reçu de réponse satisfaisante au bout de 3 mois, nous venons de déposer 4 plaintes contre ces opérateurs auprès de la CNIL.

Les opérateurs mobiles doivent conserver pendant 1 an les données de localisation de tous leurs abonnés. Le code des postes communications électroniques, dans son article L34-1 et R10-13, leur impose de conserver pendant 1 an un ensemble d'informations sur l'utilisateur, informations qui permettent d'identifier l'utilisateur de la ligne, l'horaire et la durée de ses communications, mais surtout l'origine et la localisation de celles-ci ! Ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne.

En octobre dernier, 4 bénévoles de La Quadrature du Net ont demandé, conformément à l'article 39 de la loi 78-18 du 6 janvier 1978, d'obtenir les données personnelles les concernant conservées par leur opérateur mobile. Ainsi, Free Mobile, Bouygues Telecom, SFR et Orange ont chacun reçu un courrier recommandé et disposaient de 2 mois pour y répondre. Dans ces courriers, nous leur rappelions leurs obligations légales en terme de droits d'accès direct aux informations personnelles.

Depuis, nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées1 ! Orange et Bouygues Telecom, eux, n'ont jamais répondu. Nous avons donc, depuis, déposé 4 plaintes auprès de la CNIL contre les 4 opérateurs mobiles, afin de faire valoir nos droits d'accès à ces informations personnelles.

De plus, lorsque notre action aura révélé que ces opérateurs conservent bien les informations visées par le code des postes et des télécommunications, ceux-ci se trouveraient (tout comme le droit français) en violation de la Charte des droits fondamentaux de l'Union européenne et pourront être attaqués à ce titre. Ce texte fondamental, hiérarchiquement supérieur au droit français, a été interprété par la Cour de justice de l'Union européenne, dans sa décision Tele2 du 21 décembre 20162, comme interdisant toute conservation généralisée de données de connexion.

La Quadrature du Net entend amener ce débat sur la place publique, à travers les opérateurs, la CNIL, la justice française et la pugnacité de ses bénévoles. Les Exégètes amateurs ont également une affaire pendante devant le Conseil d'État pour demander la mise en conformité de la loi française à la jurisprudence européenne.

« Nous nous attendions à ces réponses désinvoltes de la part d'Orange, SFR, Bouygues Télécom et Free, aussi avons-nous saisi la CNIL de ces 4 plaintes, et si besoin attaquerons en justice pour obtenir des informations complètes. Par la suite, nous attaquerons devant les tribunaux le non-respect du droit européen par les opérateurs, et cette loi illicite portant atteinte à la vie privée de tous » annonce Benjamin Sonntag, cofondateur de La Quadrature du Net.

PS: un exemple de ce que sait votre opérateur mobile sur votre localisation

  • 1. Dans sa réponse, Free indique "En application de la législation en vigueur, celles-ci (les informations personnelles, ndlr) ne peuvent être transmises que sur réquisition des autorités judiciaires uniquement"
  • 2. L'arrêt Tele2 Sverige AB (C-203/15) rendu le 21 décembre 2016 par la Cour de justice de l'Union européenne conclut fermement que le droit de l'Union « s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs ».
Fichier attachéTaille
4op.png41.43 Ko
]]>
22 mars 2018 - Quatre bénévoles de la Quadrature du Net ont demandé à leur opérateur de téléphonie mobile français (Free Mobile, Orange, Bouygues Telecom, SFR) d'accéder aux données personnelles que ces derniers conservent sur eux. N'ayant pas reçu de réponse satisfaisante au bout de 3 mois, nous venons de déposer 4 plaintes contre ces opérateurs auprès de la CNIL.

Les opérateurs mobiles doivent conserver pendant 1 an les données de localisation de tous leurs abonnés. Le code des postes communications électroniques, dans son article L34-1 et R10-13, leur impose de conserver pendant 1 an un ensemble d'informations sur l'utilisateur, informations qui permettent d'identifier l'utilisateur de la ligne, l'horaire et la durée de ses communications, mais surtout l'origine et la localisation de celles-ci ! Ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne.

En octobre dernier, 4 bénévoles de La Quadrature du Net ont demandé, conformément à l'article 39 de la loi 78-18 du 6 janvier 1978, d'obtenir les données personnelles les concernant conservées par leur opérateur mobile. Ainsi, Free Mobile, Bouygues Telecom, SFR et Orange ont chacun reçu un courrier recommandé et disposaient de 2 mois pour y répondre. Dans ces courriers, nous leur rappelions leurs obligations légales en terme de droits d'accès direct aux informations personnelles.

Depuis, nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées1 ! Orange et Bouygues Telecom, eux, n'ont jamais répondu. Nous avons donc, depuis, déposé 4 plaintes auprès de la CNIL contre les 4 opérateurs mobiles, afin de faire valoir nos droits d'accès à ces informations personnelles.

De plus, lorsque notre action aura révélé que ces opérateurs conservent bien les informations visées par le code des postes et des télécommunications, ceux-ci se trouveraient (tout comme le droit français) en violation de la Charte des droits fondamentaux de l'Union européenne et pourront être attaqués à ce titre. Ce texte fondamental, hiérarchiquement supérieur au droit français, a été interprété par la Cour de justice de l'Union européenne, dans sa décision Tele2 du 21 décembre 20162, comme interdisant toute conservation généralisée de données de connexion.

La Quadrature du Net entend amener ce débat sur la place publique, à travers les opérateurs, la CNIL, la justice française et la pugnacité de ses bénévoles. Les Exégètes amateurs ont également une affaire pendante devant le Conseil d'État pour demander la mise en conformité de la loi française à la jurisprudence européenne.

« Nous nous attendions à ces réponses désinvoltes de la part d'Orange, SFR, Bouygues Télécom et Free, aussi avons-nous saisi la CNIL de ces 4 plaintes, et si besoin attaquerons en justice pour obtenir des informations complètes. Par la suite, nous attaquerons devant les tribunaux le non-respect du droit européen par les opérateurs, et cette loi illicite portant atteinte à la vie privée de tous » annonce Benjamin Sonntag, cofondateur de La Quadrature du Net.

PS: un exemple de ce que sait votre opérateur mobile sur votre localisation

  • 1. Dans sa réponse, Free indique "En application de la législation en vigueur, celles-ci (les informations personnelles, ndlr) ne peuvent être transmises que sur réquisition des autorités judiciaires uniquement"
  • 2. L'arrêt Tele2 Sverige AB (C-203/15) rendu le 21 décembre 2016 par la Cour de justice de l'Union européenne conclut fermement que le droit de l'Union « s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs ».
Fichier attachéTaille
4op.png41.43 Ko
]]>
La surveillance policière dopée aux Big Data arrive près de chez vous !10447 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180320_133524_La_surveillance_policiere_dopee_aux_Big_Data_arrive_pres_de_chez_vous__Tue, 20 Mar 2018 12:35:24 +0000Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Mise-à-jour (7 juin 2018) - Outre le Cahier des Clauses Techniques Particulières, trois nouveaux documents sont disponibles :

Les responsables municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Pour ces élus marseillais qui n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data apparaît comme une véritable aubaine. Selon Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale ». Rien que ça !

Le Centre de supervision urbaine de Marseille, en février 2013 (Photo Olivier Monge. Myop).

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce au traitement de l'image (2000 caméras à terme, et demain des drones1), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés (opérateurs télécoms, etc.), qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale2.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui a rapporté en 2013 autour de 60 millions d'euros3. Depuis quelques années, notamment grâce à des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !4

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – notamment dans le champ de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice5.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Il y est notamment souligné la nécessité d'anticiper la « menace », par exemple « par évaluation du risque de rassemblements dangereux par analyse des tweets » et par « l'identification des acteurs » (puisqu'on vous dit que la promesse d'anonymisation est un leurre !)6.

Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par cet outil de surveillance ? Faut-il comprendre que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

  • 1. Caroline Pozmentier : « Pour le déploiement du second millier de caméras, on va lancer une grande concertation, avec notamment les comités d’intérêts de quartiers et les bailleurs sociaux, car je ne m’interdis pas d’installer de la vidéoprotection en plein cœur des cités sensibles de la ville, et même que l’on ait un jour recours à des drones civils » (source).
  • 2. En 2016, le projet avait été évoqué comme une solution permettant de repérer automatiquement les personnes fichées S dans la rue.
  • 3. Voir le passage qui lui est consacré dans une enquête de Cash Investigation en date de 2015.
  • 4. On a quand même tenté d'écrire au Contrôleur européen de la protection des données pour lui demander son avis sur cette utilisation des fonds européens dédiés à la lutte contre les inégalités régionales au sein de l'Union, et pour lesquels la région PACA dispose il est vrai d'une grande marge de manœuvre, mais il nous a expliqué gentiment que ce n'était pas de son ressort...
  • 5. CNIL (2017), Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?, Paris. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf , page 39
  • 6. Le document poursuit page 14 en expliquant vouloir savoir « (qui parle ?, qui agit ?, qui interagit avec qui?) », la « remontée des fils de conversation (qui organise ? qui est le primo-déposant ?) ».
  • 7. Patterson, B. E. (3 août 2015), Black Lives Matter organizers were labeled as “threat actors” by a cybersecurity firm. https://www.motherjones.com/politics/2015/08/zerofox-report-baltimore-bl...
  • 8. « The NYPD mapped Muslim communities and their religious, educational, and social institutions and businesses in New York City (and beyond). It deployed NYPD officers and informants to infiltrate mosques and other institutions to monitor the conversations of Muslim New Yorkers, including religious leaders, based on their religion without any suspicion of wrongdoing. It conducted other forms of warrantless surveillance of Muslims, including the monitoring of websites, blogs, and other online forums. The results of these unlawful spying activities were entered into NYPD intelligence databases, which amassed information about thousands of law-abiding Americans.  ». Raza v. City of New York - Legal Challenge to NYPD Muslim Surveillance Program (3 août 2017). https://www.aclu.org/cases/raza-v-city-new-york-legal-challenge-nypd-muslim-surveillance-program
Fichier attachéTaille
CCTP_ObservatoireBigData_Marseille.pdf5.82 Mo
BDTP-CCAP.pdf764.35 Ko
BDTP-Rapport_candidatures.pdf2.01 Mo
BDTP-Intégration_système_dinformation.pdf5.75 Mo
]]>
Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Mise-à-jour (7 juin 2018) - Outre le Cahier des Clauses Techniques Particulières, trois nouveaux documents sont disponibles :

Les responsables municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Pour ces élus marseillais qui n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data apparaît comme une véritable aubaine. Selon Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale ». Rien que ça !

Le Centre de supervision urbaine de Marseille, en février 2013 (Photo Olivier Monge. Myop).

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce au traitement de l'image (2000 caméras à terme, et demain des drones1), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés (opérateurs télécoms, etc.), qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale2.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui a rapporté en 2013 autour de 60 millions d'euros3. Depuis quelques années, notamment grâce à des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !4

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – notamment dans le champ de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice5.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Il y est notamment souligné la nécessité d'anticiper la « menace », par exemple « par évaluation du risque de rassemblements dangereux par analyse des tweets » et par « l'identification des acteurs » (puisqu'on vous dit que la promesse d'anonymisation est un leurre !)6.

Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par cet outil de surveillance ? Faut-il comprendre que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

  • 1. Caroline Pozmentier : « Pour le déploiement du second millier de caméras, on va lancer une grande concertation, avec notamment les comités d’intérêts de quartiers et les bailleurs sociaux, car je ne m’interdis pas d’installer de la vidéoprotection en plein cœur des cités sensibles de la ville, et même que l’on ait un jour recours à des drones civils » (source).
  • 2. En 2016, le projet avait été évoqué comme une solution permettant de repérer automatiquement les personnes fichées S dans la rue.
  • 3. Voir le passage qui lui est consacré dans une enquête de Cash Investigation en date de 2015.
  • 4. On a quand même tenté d'écrire au Contrôleur européen de la protection des données pour lui demander son avis sur cette utilisation des fonds européens dédiés à la lutte contre les inégalités régionales au sein de l'Union, et pour lesquels la région PACA dispose il est vrai d'une grande marge de manœuvre, mais il nous a expliqué gentiment que ce n'était pas de son ressort...
  • 5. CNIL (2017), Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?, Paris. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf , page 39
  • 6. Le document poursuit page 14 en expliquant vouloir savoir « (qui parle ?, qui agit ?, qui interagit avec qui?) », la « remontée des fils de conversation (qui organise ? qui est le primo-déposant ?) ».
  • 7. Patterson, B. E. (3 août 2015), Black Lives Matter organizers were labeled as “threat actors” by a cybersecurity firm. https://www.motherjones.com/politics/2015/08/zerofox-report-baltimore-bl...
  • 8. « The NYPD mapped Muslim communities and their religious, educational, and social institutions and businesses in New York City (and beyond). It deployed NYPD officers and informants to infiltrate mosques and other institutions to monitor the conversations of Muslim New Yorkers, including religious leaders, based on their religion without any suspicion of wrongdoing. It conducted other forms of warrantless surveillance of Muslims, including the monitoring of websites, blogs, and other online forums. The results of these unlawful spying activities were entered into NYPD intelligence databases, which amassed information about thousands of law-abiding Americans.  ». Raza v. City of New York - Legal Challenge to NYPD Muslim Surveillance Program (3 août 2017). https://www.aclu.org/cases/raza-v-city-new-york-legal-challenge-nypd-muslim-surveillance-program
Fichier attachéTaille
CCTP_ObservatoireBigData_Marseille.pdf5.82 Mo
BDTP-CCAP.pdf764.35 Ko
BDTP-Rapport_candidatures.pdf2.01 Mo
BDTP-Intégration_système_dinformation.pdf5.75 Mo
]]>
Loi données personnelles : Le Sénat refuse (lui aussi) d'encadrer les services de renseignement10445 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180314_161550_Loi_donnees_personnelles___Le_Senat_refuse__lui_aussi__d_encadrer_les_services_de_renseignementWed, 14 Mar 2018 15:15:50 +000014 mars 2017 - Ce matin, la commission du Sénat en charge d'examiner le projet de loi données personnelles a rendu sa version du texte. Comme à l'Assemblée nationale (voir notre article), la commission des lois a refusé de déposer le moindre amendement visant à encadrer les activités du renseignement français, tel que le droit européen l'exige pourtant. Le texte sera examiné par l'ensemble des sénateurs le 20 mars prochain : ils devront déposer et soutenir tout amendement visant à nous protéger des abus des services de renseignement.

Lire nos amendements (PDF, 8 pages)

Le projet de loi données personnelles a deux buts : préparer le droit français à l'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain et — nos parlementaires l'oublient presque systématiquement — transposer en droit français la directive 2016/680, qui a pour objectif d'encadrer les traitements de données personnelles en matière de prévention, de détection et de sanction des infractions pénales.

Lire notre article présentant les enjeux de cette directive.

Contrairement à ce que prétend le gouvernement, cette directive s'applique aux activités de renseignement, dès lors que celles-ci visent précisément à détecter et prévenir des infractions (terrorisme, délinquance et criminalité organisées, manifestations interdites, etc.) et que ces infractions ne concernent pas la « sécurité nationale » (l'Union européenne légiférant de longue date en matière de lutte contre le terrorisme, par exemple) et n'échappent donc en aucun cas au champ de cette directive.

Lire notre analyse (PDF, 4 pages) sur la notion de « sécurité nationale » dans la directive.

Or, la loi française n'encadre pas les activités de renseignement avec les garanties imposées par la directive : elle ne prévoit aucune information des personnes surveillées (afin que celles-ci puissent, une fois la menace écartée, contester une mesure illicite) ; elle interdit aux autorités de contrôle d'accéder aux renseignements collectés par les services français auprès de services étrangers ; elle ne prévoit aucune voie de recours juridictionnelle en matière de surveillance internationale.

Ces trois manquements sont frontalement contraires aux exigences de la directive 2016/680. Le Sénat doit corriger la loi française en ce sens. Autrement, La Quadrature du Net devra, encore un fois, agir en justice pour faire modifier la loi (avec les Exégètes amateurs, nous avons déjà fait censurer deux fois la loi renseignement devant le Conseil constitutionnel, en plus d'avoir participé à la censure de nombreuses dispositions lors de l'examen préalable du texte par le Conseil).

Si la conformité du droit français au droit européen n'est plus assurée par le législateur mais par des associations telles que La Quadrature du Net, la légitimité et le rôle du législateur deviennent parfaitement illusoires. Le 20 mars, les Sénateurs devront arrêter de nier et de saper leur fonction. Pour ce faire, ils peuvent déposer et soutenir les amendements que nous proposons (PDF, 6 pages).

Lire nos amendements (PDF, 8 pages)
]]>
14 mars 2017 - Ce matin, la commission du Sénat en charge d'examiner le projet de loi données personnelles a rendu sa version du texte. Comme à l'Assemblée nationale (voir notre article), la commission des lois a refusé de déposer le moindre amendement visant à encadrer les activités du renseignement français, tel que le droit européen l'exige pourtant. Le texte sera examiné par l'ensemble des sénateurs le 20 mars prochain : ils devront déposer et soutenir tout amendement visant à nous protéger des abus des services de renseignement.

Lire nos amendements (PDF, 8 pages)

Le projet de loi données personnelles a deux buts : préparer le droit français à l'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain et — nos parlementaires l'oublient presque systématiquement — transposer en droit français la directive 2016/680, qui a pour objectif d'encadrer les traitements de données personnelles en matière de prévention, de détection et de sanction des infractions pénales.

Lire notre article présentant les enjeux de cette directive.

Contrairement à ce que prétend le gouvernement, cette directive s'applique aux activités de renseignement, dès lors que celles-ci visent précisément à détecter et prévenir des infractions (terrorisme, délinquance et criminalité organisées, manifestations interdites, etc.) et que ces infractions ne concernent pas la « sécurité nationale » (l'Union européenne légiférant de longue date en matière de lutte contre le terrorisme, par exemple) et n'échappent donc en aucun cas au champ de cette directive.

Lire notre analyse (PDF, 4 pages) sur la notion de « sécurité nationale » dans la directive.

Or, la loi française n'encadre pas les activités de renseignement avec les garanties imposées par la directive : elle ne prévoit aucune information des personnes surveillées (afin que celles-ci puissent, une fois la menace écartée, contester une mesure illicite) ; elle interdit aux autorités de contrôle d'accéder aux renseignements collectés par les services français auprès de services étrangers ; elle ne prévoit aucune voie de recours juridictionnelle en matière de surveillance internationale.

Ces trois manquements sont frontalement contraires aux exigences de la directive 2016/680. Le Sénat doit corriger la loi française en ce sens. Autrement, La Quadrature du Net devra, encore un fois, agir en justice pour faire modifier la loi (avec les Exégètes amateurs, nous avons déjà fait censurer deux fois la loi renseignement devant le Conseil constitutionnel, en plus d'avoir participé à la censure de nombreuses dispositions lors de l'examen préalable du texte par le Conseil).

Si la conformité du droit français au droit européen n'est plus assurée par le législateur mais par des associations telles que La Quadrature du Net, la légitimité et le rôle du législateur deviennent parfaitement illusoires. Le 20 mars, les Sénateurs devront arrêter de nier et de saper leur fonction. Pour ce faire, ils peuvent déposer et soutenir les amendements que nous proposons (PDF, 6 pages).

Lire nos amendements (PDF, 8 pages)
]]>
La Quadrature du Net s'ouvre à de nouveaux membres10443 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180312_113517_La_Quadrature_du_Net_s_ouvre_a_de_nouveaux_membresMon, 12 Mar 2018 10:35:17 +0000Paris, le 12 mars 2018 - Comme annoncé en novembre 2017 dans les conclusions du bilan de ses dix premières années, La Quadrature du Net a intégré formellement en tant que membres une trentaine de ses proches. La plupart bénévoles de longue date, ces membres ont rejoint l'association début janvier 2018, sur invitation du bureau et de l'équipe salariée.

piloupe
Cet élargissement amorce une nouvelle dynamique et un renforcement de l'association. Grâce à la multiplication des sensibilités et des expertises, diverses questions au cœur de l'action de la Quadrature bénéficient d'un nouvel éclairage. Plusieurs membres ont déjà pris la parole au nom de l'association dans les médias ou dans le cadre de conférences et d'ateliers.

Il reste encore beaucoup à mettre en place, notamment en termes d'organisation et de processus, mais La Quadrature du Net tient à prendre le temps de cette discussion, loin de l'urgence habituelle que connait l'association. Nous comptons profiter de notre assemblée générale annuelle, qui aura lieu du 31 mars au 2 avril, pour dessiner une feuille de route des prochaines actions militantes et réfléchir aux structures nécessaires pour les mener à bien. Un compte-rendu de ce premier rassemblement sera rendu public, comme le sera régulièrement le résultat des actions des membres.

L'engagement bénévole a toujours été au cœur du fonctionnement de La Quadrature du Net. Ce statut de membre souhaite progressivement reconnaitre celles et ceux qui donnent de leur temps et de leur énergie, pour leur donner du pouvoir sur les orientations de la structure. Cet élargissement n'est donc qu'un début. La construction politique et juridique d'un Internet libre et la défense des droits fondamentaux à l'ère numérique se poursuivent grâce à l'implication de toutes et tous !

]]>
Paris, le 12 mars 2018 - Comme annoncé en novembre 2017 dans les conclusions du bilan de ses dix premières années, La Quadrature du Net a intégré formellement en tant que membres une trentaine de ses proches. La plupart bénévoles de longue date, ces membres ont rejoint l'association début janvier 2018, sur invitation du bureau et de l'équipe salariée.

piloupe
Cet élargissement amorce une nouvelle dynamique et un renforcement de l'association. Grâce à la multiplication des sensibilités et des expertises, diverses questions au cœur de l'action de la Quadrature bénéficient d'un nouvel éclairage. Plusieurs membres ont déjà pris la parole au nom de l'association dans les médias ou dans le cadre de conférences et d'ateliers.

Il reste encore beaucoup à mettre en place, notamment en termes d'organisation et de processus, mais La Quadrature du Net tient à prendre le temps de cette discussion, loin de l'urgence habituelle que connait l'association. Nous comptons profiter de notre assemblée générale annuelle, qui aura lieu du 31 mars au 2 avril, pour dessiner une feuille de route des prochaines actions militantes et réfléchir aux structures nécessaires pour les mener à bien. Un compte-rendu de ce premier rassemblement sera rendu public, comme le sera régulièrement le résultat des actions des membres.

L'engagement bénévole a toujours été au cœur du fonctionnement de La Quadrature du Net. Ce statut de membre souhaite progressivement reconnaitre celles et ceux qui donnent de leur temps et de leur énergie, pour leur donner du pouvoir sur les orientations de la structure. Cet élargissement n'est donc qu'un début. La construction politique et juridique d'un Internet libre et la défense des droits fondamentaux à l'ère numérique se poursuivent grâce à l'implication de toutes et tous !

]]>
Pistage en ligne : le gouvernement va-t-il autoriser la marchandisation de nos données ?10438 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180307_143518_Pistage_en_ligne___le_gouvernement_va-t-il_autoriser_la_marchandisation_de_nos_donnees__Wed, 07 Mar 2018 13:35:18 +0000Paris, le 7 mars 2018 - Demain, les ministères de l'Économie, de la Culture et de la Justice, ainsi que le secrétariat d'État au numérique, devraient arrêter certaines des positions de la France sur le règlement ePrivacy, notamment en matière de pistage de nos comportements en ligne. Cette décision fera suite à un rapport du Conseil général de l'économie, rendu public le 20 février dernier et plaidant en faveur de la marchandisation de nos données, à contre-courant du règlement européen sur la protection des données (RGPD) et de la protection de nos libertés. La Quadrature publie ci-dessous la lettre ouverte qui leur est destinée.

L'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain affole tout l'écosystème de la publicité en ligne qui, depuis dix ans, s'est développé dans l'illégalité, grâce notamment au laisser-faire de la CNIL. Depuis dix ans, alors que le droit européen leur interdit de nous pister en ligne sans notre consentement préalable, libre et éclairé, ces acteurs ont systématiquement refusé de respecter nos droits.

À la veille de l'entrée en application du RGPD qui, enfin, ne devrait plus leur laisser de marge de manœuvre pour continuer de violer nos droits fondamentaux, l'ensemble de cette industrie (publicitaires, opérateurs télécoms, grands éditeurs de presse) publie une lettre ouverte suppliant le gouvernement de sauver leur activité illicite en la rendant légale au niveau européen dans le règlement ePrivacy (ce règlement est destiné à modifier la protection européenne de nos activités en ligne et présente donc pour cette industrie l'opportunité de réduire celle-ci à néant).

Revoir notre site de campagne exposant les enjeux du règlement ePrivacy
Relire notre article sur l'état des débats législatifs

Cette volonté a trouvé écho dans un rapport commandé en octobre dernier par le gouvernement au Conseil général de l'économie (CGE, service de conseil du ministère de l'économie), qui propose purement et simplement de mettre de côté le RGPD en matière de traçage en ligne, afin que nous puissions être contraints de donner notre consentement pour accéder à un service en ligne - ce qui revient à monnayer nos droits fondamentaux à la vie privée et à la protection de nos données, et ce que le GDPR, le Parlement européen et les CNIL européennes condamnent fermement.

Le gouvernement français doit prendre une position ferme et définitive pour rejeter ces incessantes tentatives de détruire les quelques avancées apportées par le RGPD. Et l'industrie doit comprendre qu'elle a déjà perdu la première bataille, il y a deux ans, lors de l'adoption par l'Union européenne du RGPD : elle doit maintenant amender son comportement. Si elle s'y refuse, qu'elle sache que La Quadrature du Net est maintenant habilitée à conduire des actions de groupe et attend de pied ferme le 25 mai prochain. Débattre aujourd'hui sur le règlement ePrivacy ne l'aidera alors en rien.

Notre lettre ouverte transmise au gouvernement : en PDF (2 pages) ou ci-dessous.

Madame, Monsieur,

Le 23 octobre dernier, les ministères de l'économie et de la culture et le secrétariat d'État au Numérique ont chargé le Conseil général de l'économie (CGE) de produire un rapport sur les articles 8 à 10 du projet de règlement ePrivacy.

Il faut d'abord s’inquiéter du fait que la mission confiée au CGE ne s'intéresse en aucune façon aux nouvelles dérogations au consentement permises par cet article 8 en matière de géolocalisation et de mesure d'audience, alors que ces dérogations restent encore strictement exclues par la directive 2002/58. La mission du CGE aurait pourtant été l'occasion d'évaluer l'impact de telles mesures sur la vie privée.

À la place, et à l’opposé, la mission vise surtout à évaluer les conséquences d'obligations déjà prévues depuis 2009 par la directive ePrivacy (s'agissant de « l'encadrement des cookies ») et depuis 2016 par le RGPD (s'agissant de « la définition du consentement »). Le souhait d'évaluer les conséquences d'obligations actuelles laisse craindre une volonté de remettre celles-ci en cause. Il s'agit malheureusement de la direction adoptée par le CGE dans son rapport publié le 20 février.

Un consentement forcé

L'article 7, §4, du RGPD, accompagné par son considérant 43, prévoit qu'un consentement n'est pas valide s'il est donné sous la menace de ne pas accéder à un service ou de n’accéder qu’à un service dégradé. Dans sa proposition n°5, le CGE invite le gouvernement à prévoir dans le règlement ePrivacy une dérogation au RGPD afin de rendre un tel consentement valide. Ce faisant, le CGE s'oppose :

  • au groupe de l'article 29 qui, dans ses lignes directrices WP259 du 28 novembre 2017, donne une explication détaillée du caractère libre du consentement exigé par le RGPD :
  • à la CNIL, qui a donné une application concrète de ce principe dans sa mise en demeure de Whatsapp le 18 décembre dernier ;
  • au Parlement européen, qui a détaillé l’application sectorielle de ce principe dans le règlement ePrivacy, en interdisant les tracking-wall ;
  • au souhait majoritaire de la population qui, en France, et selon l'Eurobaromètre de 2017, refuserait à 82% de payer afin de ne pas être surveillée en visitant un site Internet (p. 63) et refuserait à 60% de voir ses activités en ligne surveillées en échange d'un accès non restreint à un site Internet (p. 59) ;
  • au principe démocratique élémentaire selon lequel nul ne peut renoncer au bénéfice d'un droit fondamental en contre-partie d'un bien ou d'un service, sans quoi ce droit ne serait plus garanti que par le niveau de fortune de chaque personne.

Des conséquences erronées

Le rapport du CGE se fondant sur l'idée que le consentement doit pouvoir être forcé, il en tire plusieurs conclusions aussi erronées que son postulat de départ.

En premier lieu, le CGE prétend que bloquer par défaut les outils de pistage favoriserait les grandes plateformes, car celles-ci pourraient obtenir le consentement de leurs utilisateurs plus facilement que d'autres sites.

Ceci n’aurait un sens que si ces plateformes avaient un moyen de négociation envers leurs utilisateurs plus important que n’en auraient d’autres sites. Or, le principe de la liberté du consentement interdit précisément toute forme de négociation en matière de données personnelles : peu importe la taille ou la structure d’un site, il ne peut pas limiter son accès aux seuls utilisateurs acceptant d'y être surveillés.

En deuxième lieu, le CGE justifie plusieurs de ses positions par l’idée que les internautes accepteraient eux-mêmes de céder leurs données pour avoir du « tout gratuit », or :

  • le CGE n’explique pas en quoi, en vérité, cette « acceptation » n’est pas forcée, tel qu’il souhaite lui-même le permettre ;
  • la gratuité n’est pas synonyme d’exploitation de données, tel que le démontre l’existence de nombreux sites et logiciels véritablement « gratuits » (Wikipédia, Firefox, VLC, Linux, LibreOffice, etc.) ;
  • Internet n’est pas synonyme de gratuit, tel que le démontre le succès de nombreuses offres payantes (Netflix, Spotify, Mediapart, etc.).
  • En troisième lieu, le CGE insiste sur la nécessité de ne pas rendre la navigation plus difficile du fait de demandes de consentement, mais passe complètement sous silence l’effet de sa propre proposition : les tracking-wall visent précisément à rendre la navigation plus difficile, voire impossible.

    Des solutions ignorées

    La mission du CGE visait aussi le recueil du consentement « via le paramétrage du navigateur » qui, par défaut, serait configuré pour bloquer les traceurs. Si le CGE rend un avis négatif sur cette nouvelle garantie introduite par le projet de règlement, ce n’est qu’en omettant plusieurs réalités techniques.

    En premier lieu, le CGE prétend que bloquer des traceurs au moyen d’une liste noire ne peut reposer techniquement que sur l’établissement par des tiers d’une telle liste, ce qui causerait des problèmes de gouvernance.

    Ceci revient à mettre de côté le fait que les listes établies par des tiers le sont en pratique de façon parfaitement transparente et laissées au choix des utilisateurs (tel que sur uBlock Origin, où des dizaines de listes différentes sont proposées).

    Ensuite, ceci revient aussi à passer sous silence la méthode développée par l’Electronic Frontier Foundation et déployée sur son extension Privacy Badger, qui ne repose pas sur une liste pré-établie. L'extension au navigateur construit seule et progressivement une liste noire en analysant les requêtes récurrentes rencontrées par l’utilisateur sur la multitude des sites qu’il visite (durant plusieurs semaines, mois, années) afin de détecter celles qui le pistent. Aucune contrainte technique ne s’oppose à intégrer dans chaque navigateur cette méthode aussi efficace que transparente et indépendante d’autorités tiers.

    En deuxième lieu, le CGE prétend qu’un blocage par défaut des traceurs par le navigateur empêcherait les sites web de communiquer avec les internautes pour leur demander efficacement leur consentement.

    Ceci revient à passer sous silence la pratique déjà déployée par de nombreux sites pour faire face aux bloqueurs de traceurs : l’accès au contenu du site (site de presse, typiquement, tel que celui des Echos) est bloqué (dès la première consultation ou après lecture de quelques articles) et un texte est affiché à l’internaute, l’invitant à désactiver son bloqueur et lui exposant les raisons pour ce faire.

    Bien que cette pratique soit illicite lorsqu’elle conduit à bloquer l’accès (car niant la liberté du consentement), elle démontre combien il est simple pour chaque site d’exposer sa propre demande de consentement.

    En troisième lieu, le CGE prétend qu’il serait dangereux de confier le blocage des traceurs à des éditeurs de navigateur et de système d’exploitation qui occupent une place dominante sur le marché du pistage en ligne.

    Ceci revient à nier que ces éditeurs bénéficient déjà de cette situation : ils mettent en œuvre des politiques de blocages (détaillées par le CGE) dont le but est de rendre plus attractifs leurs propres outils de pistage (l’identifiant unique attribué sur Android et iOS, typiquement). Seule la loi peut, en imposant des mécanismes de blocage s’appliquant pareillement à leurs propres outils et à ceux de tiers, corriger ce déséquilibre déjà présent et dommageable.

    Conclusion

    Pour ces raisons, nous vous invitons :

    • à ne pas introduire de dérogation au principe de liberté du consentement prévu par le RGPD ;
    • à ne pas supprimer l’obligation pour les navigateurs de bloquer les traceurs par défaut ;
    • à supprimer les exceptions au consentement en matière de géolocalisation et de mesure d’audience, sans en rajouter aucune autre (telle la pseudonymisation, qui est une mesure de sécurité déjà imposée par le RGPD et qui n’aurait donc aucun sens à devenir ici une condition de licéité).

    Si le projet de règlement ePrivacy devait évoluer autrement, nous devrions renoncer aux quelques avancées qu’il apporte pour nous opposer à son adoption, afin de ne pas voir la protection actuellement offerte par la directive ePrivacy être amoindrie à ce point.

    Cordialement,

    La Quadrature du Net

]]>
Paris, le 7 mars 2018 - Demain, les ministères de l'Économie, de la Culture et de la Justice, ainsi que le secrétariat d'État au numérique, devraient arrêter certaines des positions de la France sur le règlement ePrivacy, notamment en matière de pistage de nos comportements en ligne. Cette décision fera suite à un rapport du Conseil général de l'économie, rendu public le 20 février dernier et plaidant en faveur de la marchandisation de nos données, à contre-courant du règlement européen sur la protection des données (RGPD) et de la protection de nos libertés. La Quadrature publie ci-dessous la lettre ouverte qui leur est destinée.

L'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain affole tout l'écosystème de la publicité en ligne qui, depuis dix ans, s'est développé dans l'illégalité, grâce notamment au laisser-faire de la CNIL. Depuis dix ans, alors que le droit européen leur interdit de nous pister en ligne sans notre consentement préalable, libre et éclairé, ces acteurs ont systématiquement refusé de respecter nos droits.

À la veille de l'entrée en application du RGPD qui, enfin, ne devrait plus leur laisser de marge de manœuvre pour continuer de violer nos droits fondamentaux, l'ensemble de cette industrie (publicitaires, opérateurs télécoms, grands éditeurs de presse) publie une lettre ouverte suppliant le gouvernement de sauver leur activité illicite en la rendant légale au niveau européen dans le règlement ePrivacy (ce règlement est destiné à modifier la protection européenne de nos activités en ligne et présente donc pour cette industrie l'opportunité de réduire celle-ci à néant).

Revoir notre site de campagne exposant les enjeux du règlement ePrivacy
Relire notre article sur l'état des débats législatifs

Cette volonté a trouvé écho dans un rapport commandé en octobre dernier par le gouvernement au Conseil général de l'économie (CGE, service de conseil du ministère de l'économie), qui propose purement et simplement de mettre de côté le RGPD en matière de traçage en ligne, afin que nous puissions être contraints de donner notre consentement pour accéder à un service en ligne - ce qui revient à monnayer nos droits fondamentaux à la vie privée et à la protection de nos données, et ce que le GDPR, le Parlement européen et les CNIL européennes condamnent fermement.

Le gouvernement français doit prendre une position ferme et définitive pour rejeter ces incessantes tentatives de détruire les quelques avancées apportées par le RGPD. Et l'industrie doit comprendre qu'elle a déjà perdu la première bataille, il y a deux ans, lors de l'adoption par l'Union européenne du RGPD : elle doit maintenant amender son comportement. Si elle s'y refuse, qu'elle sache que La Quadrature du Net est maintenant habilitée à conduire des actions de groupe et attend de pied ferme le 25 mai prochain. Débattre aujourd'hui sur le règlement ePrivacy ne l'aidera alors en rien.

Notre lettre ouverte transmise au gouvernement : en PDF (2 pages) ou ci-dessous.

Madame, Monsieur,

Le 23 octobre dernier, les ministères de l'économie et de la culture et le secrétariat d'État au Numérique ont chargé le Conseil général de l'économie (CGE) de produire un rapport sur les articles 8 à 10 du projet de règlement ePrivacy.

Il faut d'abord s’inquiéter du fait que la mission confiée au CGE ne s'intéresse en aucune façon aux nouvelles dérogations au consentement permises par cet article 8 en matière de géolocalisation et de mesure d'audience, alors que ces dérogations restent encore strictement exclues par la directive 2002/58. La mission du CGE aurait pourtant été l'occasion d'évaluer l'impact de telles mesures sur la vie privée.

À la place, et à l’opposé, la mission vise surtout à évaluer les conséquences d'obligations déjà prévues depuis 2009 par la directive ePrivacy (s'agissant de « l'encadrement des cookies ») et depuis 2016 par le RGPD (s'agissant de « la définition du consentement »). Le souhait d'évaluer les conséquences d'obligations actuelles laisse craindre une volonté de remettre celles-ci en cause. Il s'agit malheureusement de la direction adoptée par le CGE dans son rapport publié le 20 février.

Un consentement forcé

L'article 7, §4, du RGPD, accompagné par son considérant 43, prévoit qu'un consentement n'est pas valide s'il est donné sous la menace de ne pas accéder à un service ou de n’accéder qu’à un service dégradé. Dans sa proposition n°5, le CGE invite le gouvernement à prévoir dans le règlement ePrivacy une dérogation au RGPD afin de rendre un tel consentement valide. Ce faisant, le CGE s'oppose :

  • au groupe de l'article 29 qui, dans ses lignes directrices WP259 du 28 novembre 2017, donne une explication détaillée du caractère libre du consentement exigé par le RGPD :
  • à la CNIL, qui a donné une application concrète de ce principe dans sa mise en demeure de Whatsapp le 18 décembre dernier ;
  • au Parlement européen, qui a détaillé l’application sectorielle de ce principe dans le règlement ePrivacy, en interdisant les tracking-wall ;
  • au souhait majoritaire de la population qui, en France, et selon l'Eurobaromètre de 2017, refuserait à 82% de payer afin de ne pas être surveillée en visitant un site Internet (p. 63) et refuserait à 60% de voir ses activités en ligne surveillées en échange d'un accès non restreint à un site Internet (p. 59) ;
  • au principe démocratique élémentaire selon lequel nul ne peut renoncer au bénéfice d'un droit fondamental en contre-partie d'un bien ou d'un service, sans quoi ce droit ne serait plus garanti que par le niveau de fortune de chaque personne.

Des conséquences erronées

Le rapport du CGE se fondant sur l'idée que le consentement doit pouvoir être forcé, il en tire plusieurs conclusions aussi erronées que son postulat de départ.

En premier lieu, le CGE prétend que bloquer par défaut les outils de pistage favoriserait les grandes plateformes, car celles-ci pourraient obtenir le consentement de leurs utilisateurs plus facilement que d'autres sites.

Ceci n’aurait un sens que si ces plateformes avaient un moyen de négociation envers leurs utilisateurs plus important que n’en auraient d’autres sites. Or, le principe de la liberté du consentement interdit précisément toute forme de négociation en matière de données personnelles : peu importe la taille ou la structure d’un site, il ne peut pas limiter son accès aux seuls utilisateurs acceptant d'y être surveillés.

En deuxième lieu, le CGE justifie plusieurs de ses positions par l’idée que les internautes accepteraient eux-mêmes de céder leurs données pour avoir du « tout gratuit », or :

  • le CGE n’explique pas en quoi, en vérité, cette « acceptation » n’est pas forcée, tel qu’il souhaite lui-même le permettre ;
  • la gratuité n’est pas synonyme d’exploitation de données, tel que le démontre l’existence de nombreux sites et logiciels véritablement « gratuits » (Wikipédia, Firefox, VLC, Linux, LibreOffice, etc.) ;
  • Internet n’est pas synonyme de gratuit, tel que le démontre le succès de nombreuses offres payantes (Netflix, Spotify, Mediapart, etc.).
  • En troisième lieu, le CGE insiste sur la nécessité de ne pas rendre la navigation plus difficile du fait de demandes de consentement, mais passe complètement sous silence l’effet de sa propre proposition : les tracking-wall visent précisément à rendre la navigation plus difficile, voire impossible.

    Des solutions ignorées

    La mission du CGE visait aussi le recueil du consentement « via le paramétrage du navigateur » qui, par défaut, serait configuré pour bloquer les traceurs. Si le CGE rend un avis négatif sur cette nouvelle garantie introduite par le projet de règlement, ce n’est qu’en omettant plusieurs réalités techniques.

    En premier lieu, le CGE prétend que bloquer des traceurs au moyen d’une liste noire ne peut reposer techniquement que sur l’établissement par des tiers d’une telle liste, ce qui causerait des problèmes de gouvernance.

    Ceci revient à mettre de côté le fait que les listes établies par des tiers le sont en pratique de façon parfaitement transparente et laissées au choix des utilisateurs (tel que sur uBlock Origin, où des dizaines de listes différentes sont proposées).

    Ensuite, ceci revient aussi à passer sous silence la méthode développée par l’Electronic Frontier Foundation et déployée sur son extension Privacy Badger, qui ne repose pas sur une liste pré-établie. L'extension au navigateur construit seule et progressivement une liste noire en analysant les requêtes récurrentes rencontrées par l’utilisateur sur la multitude des sites qu’il visite (durant plusieurs semaines, mois, années) afin de détecter celles qui le pistent. Aucune contrainte technique ne s’oppose à intégrer dans chaque navigateur cette méthode aussi efficace que transparente et indépendante d’autorités tiers.

    En deuxième lieu, le CGE prétend qu’un blocage par défaut des traceurs par le navigateur empêcherait les sites web de communiquer avec les internautes pour leur demander efficacement leur consentement.

    Ceci revient à passer sous silence la pratique déjà déployée par de nombreux sites pour faire face aux bloqueurs de traceurs : l’accès au contenu du site (site de presse, typiquement, tel que celui des Echos) est bloqué (dès la première consultation ou après lecture de quelques articles) et un texte est affiché à l’internaute, l’invitant à désactiver son bloqueur et lui exposant les raisons pour ce faire.

    Bien que cette pratique soit illicite lorsqu’elle conduit à bloquer l’accès (car niant la liberté du consentement), elle démontre combien il est simple pour chaque site d’exposer sa propre demande de consentement.

    En troisième lieu, le CGE prétend qu’il serait dangereux de confier le blocage des traceurs à des éditeurs de navigateur et de système d’exploitation qui occupent une place dominante sur le marché du pistage en ligne.

    Ceci revient à nier que ces éditeurs bénéficient déjà de cette situation : ils mettent en œuvre des politiques de blocages (détaillées par le CGE) dont le but est de rendre plus attractifs leurs propres outils de pistage (l’identifiant unique attribué sur Android et iOS, typiquement). Seule la loi peut, en imposant des mécanismes de blocage s’appliquant pareillement à leurs propres outils et à ceux de tiers, corriger ce déséquilibre déjà présent et dommageable.

    Conclusion

    Pour ces raisons, nous vous invitons :

    • à ne pas introduire de dérogation au principe de liberté du consentement prévu par le RGPD ;
    • à ne pas supprimer l’obligation pour les navigateurs de bloquer les traceurs par défaut ;
    • à supprimer les exceptions au consentement en matière de géolocalisation et de mesure d’audience, sans en rajouter aucune autre (telle la pseudonymisation, qui est une mesure de sécurité déjà imposée par le RGPD et qui n’aurait donc aucun sens à devenir ici une condition de licéité).

    Si le projet de règlement ePrivacy devait évoluer autrement, nous devrions renoncer aux quelques avancées qu’il apporte pour nous opposer à son adoption, afin de ne pas voir la protection actuellement offerte par la directive ePrivacy être amoindrie à ce point.

    Cordialement,

    La Quadrature du Net

]]>
Conseil constitutionnel : La Quadrature plaide contre l'obligation de livrer ses clefs de chiffrement10436 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180306_182134_Conseil_constitutionnel___La_Quadrature_plaide_contre_l_obligation_de_livrer_ses_clefs_de_chiffrementTue, 06 Mar 2018 17:21:34 +0000Paris, le 7 mars 2018 - La Quadrature du Net est intervenue avec Les Exégètes amateurs dans une affaire devant le Conseil constitutionnel mettant en cause une disposition du code pénal obligeant la remise de la convention secrète de déchiffrement d'un moyen de cryptologie.

Le 10 janvier dernier, la chambre criminelle de la Cour de cassation a renvoyé une question prioritaire de constitutionnalité (QPC) devant le Conseil constitutionnel, qui concerne la conformité aux droits et libertés que la Constitution garantit de l'article 434-15-2 du code pénal.

Cet article prévoit que :

« Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.
 »

Cette affaire met en cause des procédés intrusifs et attentatoires aux libertés mis en œuvre par les forces de police dans le cadre de leurs enquêtes. Ces procédés, permis par la loi renforçant la lutte contre le terrorisme et le crime organisé, sont très inquiétants notamment parce qu'ils s'appliquent indifféremment à tout type de crimes et délits.
C'est également l'occasion de rouvrir les multiples débats autour du chiffrement.

Clef

Il y a tout juste un an, l'Observatoire des Libertés du Numérique (OLN) dont La Quadrature fait partie, publiait son positionnement sur les questions liées au chiffrement et rappelait notamment son rôle dans la préservation des droits et libertés fondamentales notamment en réponse aux moyens croissants de la surveillance d'État.

L'argumentation principale repose sur le droit reconnu à chacun de ne pas s'auto-incriminer, et de garder le silence dans le cadre d'une enquête. Car révéler la clé de déchiffrement d'une communication qui constituerait une preuve de culpabilité revient directement à cela.

De plus, ce droit au silence doit être absolu - sans condition procédurale : il doit à la fois être garanti pour une personne visée par une enquête, mais aussi pour tous les tiers avec qui cette personne serait entrée en communication. En effet, ces tiers ne doivent pas pouvoir être « contraints » à s'auto-incriminer eux-aussi en déchiffrant les échanges tenus avec la personne poursuivie.

Le Conseil constitutionnel rendra sa décision le 21 mars 2018.

La vidéo de l'audience est disponible sur le site du Conseil constitutionnel.

Retrouvez ici la requête en intervention de La Quadrature du Net.

Nous publions aussi le texte de la plaidoirie de Maître Alexis Fitzjean O Cobhthaigh :

Merci, Monsieur le Président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

1. Les « pères fondateurs » des États-Unis tels Benjamin Franklin, James Madison ou encore Thomas Jefferson, chiffraient leurs correspondances. C’est d’ailleurs dans un courrier partiellement codé que, le 27 mai 1789, Madison exposera à Jefferson son idée d’ajouter une Déclaration des droits à la Constitution américaine.

Le chiffrement prend racine dans les fondements de notre civilisation. Homère mentionne déjà plusieurs exemples mythiques dans l’Illiade.

Les techniques de chiffrement constellent notre histoire : carré de Polybe, palindrome de Sator, les sémagrammes grecs, les marquages de lettres, la scytale spartiate, le chiffre de César, le carré de Vigenère, le cadran d’Alberti, le télégraphe de Chappe, ou encore la réglette de Saint-Cyr.

Par le passé, les moyens de cryptologies ont été largement mobilisés.

Aujourd’hui, ils le sont tout autant pour sécuriser des échanges indispensables dans le fonctionnement actuel de la société.

M. Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, l’a fermement réaffirmé dans une note en date du 24 mars 2016 à travers laquelle il explique que :

« Parmi les outils de protection indispensables, figurent au premier rang les moyens de cryptographie, et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité au juste niveau lors de la transmission, du stockage et de l’accès aux données numériques sensibles. Les applications sont très nombreuses : échanges couverts par le secret de la défense nationale, données de santé ou de profession réglementée, données techniques, commerciales et stratégiques des entreprises, données personnelles des citoyens. Le développement et l’usage généralisé de ces moyens défensifs doivent par conséquent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques. »

Cette extension caractérisée du champ d’application du chiffrement à des domaines nouveaux implique, symétriquement, une protection juridique renforcée.

2. J’en viens donc à présent au droit.

L’article 434-15-2 du code pénal méconnaît le droit de se taire et le droit de ne pas s’auto-incriminer, notamment en ce que la convention secrète de déchiffrement relève du for interne de la personne poursuivie.

En outre, ces dispositions sont de nature à vicier le consentement libre de la communication d’éléments susceptibles de faire reconnaître la culpabilité d’une personne.

Dans ces conditions, la reconnaissance par une personne de sa propre culpabilité ne saurait être exprimée « volontairement, consciemment et librement » (cf. « commentaire autorisé » de la décision n° 2004-492 DC du 2 mars 2004, Loi portant adaptation de la justice aux évolutions de la criminalité, présent sur le site du Conseil constitutionnel), dès lors que les dispositions querellées viennent exercer une contrainte forte sur la liberté du consentement de la personne en cause.

Du reste, les dispositions contestées portent également atteinte, en toute hypothèse, au droit au respect à la vie privée, au droit au secret des correspondances, à la liberté d’expression, aux droits de la défense et au droit à un procès équitable.

De toute évidence, non seulement l’ensemble de ces atteintes à des droits et libertés constitutionnellement protégés ne sont en rien justifiées par un intérêt général suffisant, mais surtout, ce délit n’est nullement nécessaire, radicalement inadapté et manifestement disproportionné.

Sur l’absence de nécessité, d’abord.

Force est de constater qu’à aucun moment il n’est montré, ni même allégué, qu’un délit ou un crime aurait pu être empêché si un contenu avait été décrypté. Dans ces conditions, où se trouve la nécessité ?

En outre, le chiffrement n’empêche nullement les services de disposer de quantité croissante de données.

C’est ce que souligne très justement le Conseil national du numérique, dans un avis intitulé « prédictions, chiffrement et libertés » publié en septembre dernier :

« Le chiffrement des données n’est pas un obstacle insurmontable pour accéder aux informations nécessaires aux enquêtes. Il existe de nombreux moyens de le contourner, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. En outre, si les contenus sont chiffrés, les métadonnées y afférant restent généralement en clair, dans la mesure où elles sont indispensables au fonctionnement du système.
Et ces métadonnées sont bien souvent suffisantes pour cartographier un réseau ou localiser des individus, sans qu’il y ait besoin pour cela d’entrer dans le contenu des communications. »

Une telle analyse suffit à démontrer l’inutilité de ce procédé.

Mais ces dispositions sont encore radicalement inadaptées.

C’est d’autant plus manifeste concernant le champ personnel de la disposition attaquée.

Dans ses écritures le gouvernement fait valoir que celui-ci ne saurait concerner la personne soupçonnée.

Pourtant, le cas d’espèce démontre qu’elle peut bel et bien être appliquée en ce sens.

Or, en ce cas, le droit de ne pas s’incriminer ne saurait être plus ouvertement bafoué.

Pour ce qui est des tiers, deux hypothèses retiennent notre attention.

Les tiers ordinaires tout d’abord.

Face à un cas de complicité insoupçonnée, il n’est pas exclu que cette disposition aboutisse in fine à contraindre une personne à s’auto-incriminer, sans lui laisser l’occasion de garder le silence.

Concernant les professions protégées, la disposition attaquée pourrait, de façon indiscriminée, porter atteinte aux secrets de correspondances qui nécessitent un degré de protection particulièrement élevé. C’est le cas des sources journalistiques, du secret professionnel des avocats, ou encore, du secret médical.

Imagine-t-on, un journaliste, un avocat, un médecin contraint de révéler des secrets sur ses sources, ses clients, ses patients ?

A ce titre, les garanties apportées par la loi sont manifestement insuffisantes.

Du reste, on demeure quelque peu perplexe quant à la possibilité de prouver, de manière suffisamment certaine, la connaissance d’une telle convention de déchiffrement.

Les tiers intermédiaires ensuite.

Le standard de chiffrement actuel dit, asymétrique de bout en bout, implique que seul le destinataire d’une communication détienne la clé permettant de la déchiffrer. Il s’agit du protocole recommandé par l’ensemble des experts du secteur, au premier rang desquels se trouve, tel qu’il a été dit, l’ANSSI.

Cette information est donc, en principe, indéchiffrable par des tiers, et notamment par les intermédiaires. Ne détenant pas lui-même la clé de déchiffrement, le tiers est donc dans l’incapacité de répondre aux réquisitions dont il est l’objet.

Dans ces conditions, on peine encore à déceler l’intérêt d’une telle disposition.

Enfin, et surtout, ces dispositions sont manifestement disproportionnées.

A peine est-il besoin de relever, que ces dispositions ont un champ d’application qui s’étend sur l’ensemble des délits et des crimes. Même les délits les plus mineurs. Sans chercher à se limiter à ceux d’une particulière gravité.

En outre, on ne peut qu’être effrayé qu’une telle ingérence, dans des droits et libertés aussi fondamentaux que le droit au silence, le droit de ne pas s’auto-incriminer, mais aussi, la liberté d’expression, le droit à la vie privée, le droit au secret des correspondances et le droit à un procès équitable, puissent être tolérée pour de simples éventualités.

Et c’est pourquoi, j’ai l’honneur de vous demander, au nom de La Quadrature du Net, de censurer les dispositions attaquées, et ce sans effet différé.

]]>
Paris, le 7 mars 2018 - La Quadrature du Net est intervenue avec Les Exégètes amateurs dans une affaire devant le Conseil constitutionnel mettant en cause une disposition du code pénal obligeant la remise de la convention secrète de déchiffrement d'un moyen de cryptologie.

Le 10 janvier dernier, la chambre criminelle de la Cour de cassation a renvoyé une question prioritaire de constitutionnalité (QPC) devant le Conseil constitutionnel, qui concerne la conformité aux droits et libertés que la Constitution garantit de l'article 434-15-2 du code pénal.

Cet article prévoit que :

« Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.
 »

Cette affaire met en cause des procédés intrusifs et attentatoires aux libertés mis en œuvre par les forces de police dans le cadre de leurs enquêtes. Ces procédés, permis par la loi renforçant la lutte contre le terrorisme et le crime organisé, sont très inquiétants notamment parce qu'ils s'appliquent indifféremment à tout type de crimes et délits.
C'est également l'occasion de rouvrir les multiples débats autour du chiffrement.

Clef

Il y a tout juste un an, l'Observatoire des Libertés du Numérique (OLN) dont La Quadrature fait partie, publiait son positionnement sur les questions liées au chiffrement et rappelait notamment son rôle dans la préservation des droits et libertés fondamentales notamment en réponse aux moyens croissants de la surveillance d'État.

L'argumentation principale repose sur le droit reconnu à chacun de ne pas s'auto-incriminer, et de garder le silence dans le cadre d'une enquête. Car révéler la clé de déchiffrement d'une communication qui constituerait une preuve de culpabilité revient directement à cela.

De plus, ce droit au silence doit être absolu - sans condition procédurale : il doit à la fois être garanti pour une personne visée par une enquête, mais aussi pour tous les tiers avec qui cette personne serait entrée en communication. En effet, ces tiers ne doivent pas pouvoir être « contraints » à s'auto-incriminer eux-aussi en déchiffrant les échanges tenus avec la personne poursuivie.

Le Conseil constitutionnel rendra sa décision le 21 mars 2018.

La vidéo de l'audience est disponible sur le site du Conseil constitutionnel.

Retrouvez ici la requête en intervention de La Quadrature du Net.

Nous publions aussi le texte de la plaidoirie de Maître Alexis Fitzjean O Cobhthaigh :

Merci, Monsieur le Président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

1. Les « pères fondateurs » des États-Unis tels Benjamin Franklin, James Madison ou encore Thomas Jefferson, chiffraient leurs correspondances. C’est d’ailleurs dans un courrier partiellement codé que, le 27 mai 1789, Madison exposera à Jefferson son idée d’ajouter une Déclaration des droits à la Constitution américaine.

Le chiffrement prend racine dans les fondements de notre civilisation. Homère mentionne déjà plusieurs exemples mythiques dans l’Illiade.

Les techniques de chiffrement constellent notre histoire : carré de Polybe, palindrome de Sator, les sémagrammes grecs, les marquages de lettres, la scytale spartiate, le chiffre de César, le carré de Vigenère, le cadran d’Alberti, le télégraphe de Chappe, ou encore la réglette de Saint-Cyr.

Par le passé, les moyens de cryptologies ont été largement mobilisés.

Aujourd’hui, ils le sont tout autant pour sécuriser des échanges indispensables dans le fonctionnement actuel de la société.

M. Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, l’a fermement réaffirmé dans une note en date du 24 mars 2016 à travers laquelle il explique que :

« Parmi les outils de protection indispensables, figurent au premier rang les moyens de cryptographie, et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité au juste niveau lors de la transmission, du stockage et de l’accès aux données numériques sensibles. Les applications sont très nombreuses : échanges couverts par le secret de la défense nationale, données de santé ou de profession réglementée, données techniques, commerciales et stratégiques des entreprises, données personnelles des citoyens. Le développement et l’usage généralisé de ces moyens défensifs doivent par conséquent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques. »

Cette extension caractérisée du champ d’application du chiffrement à des domaines nouveaux implique, symétriquement, une protection juridique renforcée.

2. J’en viens donc à présent au droit.

L’article 434-15-2 du code pénal méconnaît le droit de se taire et le droit de ne pas s’auto-incriminer, notamment en ce que la convention secrète de déchiffrement relève du for interne de la personne poursuivie.

En outre, ces dispositions sont de nature à vicier le consentement libre de la communication d’éléments susceptibles de faire reconnaître la culpabilité d’une personne.

Dans ces conditions, la reconnaissance par une personne de sa propre culpabilité ne saurait être exprimée « volontairement, consciemment et librement » (cf. « commentaire autorisé » de la décision n° 2004-492 DC du 2 mars 2004, Loi portant adaptation de la justice aux évolutions de la criminalité, présent sur le site du Conseil constitutionnel), dès lors que les dispositions querellées viennent exercer une contrainte forte sur la liberté du consentement de la personne en cause.

Du reste, les dispositions contestées portent également atteinte, en toute hypothèse, au droit au respect à la vie privée, au droit au secret des correspondances, à la liberté d’expression, aux droits de la défense et au droit à un procès équitable.

De toute évidence, non seulement l’ensemble de ces atteintes à des droits et libertés constitutionnellement protégés ne sont en rien justifiées par un intérêt général suffisant, mais surtout, ce délit n’est nullement nécessaire, radicalement inadapté et manifestement disproportionné.

Sur l’absence de nécessité, d’abord.

Force est de constater qu’à aucun moment il n’est montré, ni même allégué, qu’un délit ou un crime aurait pu être empêché si un contenu avait été décrypté. Dans ces conditions, où se trouve la nécessité ?

En outre, le chiffrement n’empêche nullement les services de disposer de quantité croissante de données.

C’est ce que souligne très justement le Conseil national du numérique, dans un avis intitulé « prédictions, chiffrement et libertés » publié en septembre dernier :

« Le chiffrement des données n’est pas un obstacle insurmontable pour accéder aux informations nécessaires aux enquêtes. Il existe de nombreux moyens de le contourner, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. En outre, si les contenus sont chiffrés, les métadonnées y afférant restent généralement en clair, dans la mesure où elles sont indispensables au fonctionnement du système.
Et ces métadonnées sont bien souvent suffisantes pour cartographier un réseau ou localiser des individus, sans qu’il y ait besoin pour cela d’entrer dans le contenu des communications. »

Une telle analyse suffit à démontrer l’inutilité de ce procédé.

Mais ces dispositions sont encore radicalement inadaptées.

C’est d’autant plus manifeste concernant le champ personnel de la disposition attaquée.

Dans ses écritures le gouvernement fait valoir que celui-ci ne saurait concerner la personne soupçonnée.

Pourtant, le cas d’espèce démontre qu’elle peut bel et bien être appliquée en ce sens.

Or, en ce cas, le droit de ne pas s’incriminer ne saurait être plus ouvertement bafoué.

Pour ce qui est des tiers, deux hypothèses retiennent notre attention.

Les tiers ordinaires tout d’abord.

Face à un cas de complicité insoupçonnée, il n’est pas exclu que cette disposition aboutisse in fine à contraindre une personne à s’auto-incriminer, sans lui laisser l’occasion de garder le silence.

Concernant les professions protégées, la disposition attaquée pourrait, de façon indiscriminée, porter atteinte aux secrets de correspondances qui nécessitent un degré de protection particulièrement élevé. C’est le cas des sources journalistiques, du secret professionnel des avocats, ou encore, du secret médical.

Imagine-t-on, un journaliste, un avocat, un médecin contraint de révéler des secrets sur ses sources, ses clients, ses patients ?

A ce titre, les garanties apportées par la loi sont manifestement insuffisantes.

Du reste, on demeure quelque peu perplexe quant à la possibilité de prouver, de manière suffisamment certaine, la connaissance d’une telle convention de déchiffrement.

Les tiers intermédiaires ensuite.

Le standard de chiffrement actuel dit, asymétrique de bout en bout, implique que seul le destinataire d’une communication détienne la clé permettant de la déchiffrer. Il s’agit du protocole recommandé par l’ensemble des experts du secteur, au premier rang desquels se trouve, tel qu’il a été dit, l’ANSSI.

Cette information est donc, en principe, indéchiffrable par des tiers, et notamment par les intermédiaires. Ne détenant pas lui-même la clé de déchiffrement, le tiers est donc dans l’incapacité de répondre aux réquisitions dont il est l’objet.

Dans ces conditions, on peine encore à déceler l’intérêt d’une telle disposition.

Enfin, et surtout, ces dispositions sont manifestement disproportionnées.

A peine est-il besoin de relever, que ces dispositions ont un champ d’application qui s’étend sur l’ensemble des délits et des crimes. Même les délits les plus mineurs. Sans chercher à se limiter à ceux d’une particulière gravité.

En outre, on ne peut qu’être effrayé qu’une telle ingérence, dans des droits et libertés aussi fondamentaux que le droit au silence, le droit de ne pas s’auto-incriminer, mais aussi, la liberté d’expression, le droit à la vie privée, le droit au secret des correspondances et le droit à un procès équitable, puissent être tolérée pour de simples éventualités.

Et c’est pourquoi, j’ai l’honneur de vous demander, au nom de La Quadrature du Net, de censurer les dispositions attaquées, et ce sans effet différé.

]]>
« Fake news » : ramenons le débat européen à la source du problème10425 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180302_123430____Fake_news______ramenons_le_debat_europeen_a_la_source_du_problemeFri, 02 Mar 2018 11:34:30 +0000Paris, le 2 mars 2018 - La Commission européenne a récemment lancé une consultation sur les « fausses nouvelles et la désinformation en ligne », à laquelle La Quadrature vient de répondre. Le débat actuel autour de ces phénomènes se distingue par la confusion qui y règne et le risque qu'il pose de conduire à des mesures portant atteinte à la liberté d'expression et au droit d'accès à l'information. Pourtant, le système de surveillance publicitaire des grandes plateformes basées sur l'économie de l'attention, ayant un effet destructeur sur le débat public, mérite un traitement sérieux.

Comme aux États-Unis, les leaders politiques en Europe sont hantés par le spectre des « fake news ». Début janvier, Emmanuel Macron a annoncé une future loi contre la propagation des « fausses informations », notamment en période électorale, qui est supposée arriver à l'Assemblée nationale fin mars.

La Commission européenne a ouvert une consultation, qui a pris fin le 23 février, afin de décider avant l'été s'il est nécessaire de légiférer à ce sujet. La Commission a également mis sur pied un groupe d'experts [EN], tenu de soumettre un rapport en mars. Ces deux actions de la Commission européenne visent uniquement la propagation des contenus en ligne qui sont « licites mais faux », sans donner de définition de « faux ».

Pour un débat constructif autour des « fausses nouvelles et la désinformation en ligne », nous voudrions rappeler cinq constats fondamentaux :

  1. Le problème de la désinformation existe [EN] depuis que le pouvoir existe : l'influence des grands médias historiques sur le pouvoir politique, ainsi que leur tendance au sensationnalisme ne sont pas des phénomènes récents ;
  2. aucun critère ne peut définir de façon satisfaisante et générale ce qu'est une information « fausse », la véracité d'une information ne pouvant être raisonnablement interrogée que dans le cadre factuel où elle cause un tort précis et concret à un individu ou à la société ;
  3. Internet, dans sa conception même, a été pensé comme un réseau neutre [EN], se distinguant des autres médias par le fait qu'il offre à tous la possibilité de s'exprimer et laisse aux usagers du réseau le soin de contrôler les informations qu'ils reçoivent ;
  4. Internet pourrait être un outil d'élargissement considérable du débat public, mais la régulation automatisée de ce débat, guidée par des critères purement marchands, lui nuit aujourd'hui grandement : pour vendre plus cher leurs espaces publicitaires, les plateformes dominantes favorisent la diffusion des informations les plus utiles au ciblage de leurs utilisateurs ;
  5. Le système de surveillance publicitaire des grandes plateformes, basé sur « le temps de cerveau disponible »1, a ainsi transformé les utilisateurs d'Internet, ainsi que les lecteurs des médias historiques, en des produits marchands. En ce sens, ce ne sont pas les utilisateurs mais les services qui sont responsables de la sur-diffusion de certaines informations pouvant nuire à l'équilibre du débat public.

Pour approcher le problème de la désinformation face à la régulation automatisée du débat public, il convient de prendre en compte les éléments suivants :

  1. Dans une démocratie, seule la société elle-même peut construire ses propres vérités2 (peu importe d'ailleurs que celles-ci forment un ensemble cohérent) ;
  2. La régulation automatisée du débat public par les plateformes dominantes nuit profondément à ce mécanisme de construction démocratique, la valeur d'une information n'y étant plus fixée qu'à partir du nombre de clics qu'elle peut générer ;
  3. Le fait que la société ne puisse plus efficacement construire ses propres vérités, à cause de cette régulation automatisée, ne doit pas être une excuse pour lui enlever ce rôle et confier celui-ci, grâce à la censure, à un gouvernement en perte de légitimité ou à des plateformes prédatrices.

Au lieu de combattre le mal par le mal (en incitant les plateformes à la censure sans même prendre en compte leur fonctionnement économique), il faut contraindre celles-ci à permettre leur interopérabilité avec d'autres plateformes alternatives et à respecter la réglementation sur les données personnelles (qui freinerait leur influence néfaste sur les débats).

En effet, la sur-diffusion d'un certain type d'informations, selon des critères opaques, purement économiques et ne prenant donc aucunement en compte l'intérêt public, est la conséquence inévitable de la surveillance imposée par les plateformes centralisées à leurs utilisateurs. Or, le règlement général sur la protection des données (RGPD) prévoit qu'aucun service ne peut être refusé à une personne du seul fait que celle-ci refuse que son comportement y soit analysé (voir la définition du caractère libre du consentement en droit européen).

L'entrée en application du RGPD le 25 mai prochain est en cela une très bonne nouvelle, qui laisse espérer pouvoir limiter drastiquement la toute puissance du monde publicitaire en matière de surveillance des utilisateurs et rendrait beaucoup moins intéressante la mise en avant de contenus « à clics », dont les « fake news » font partie.

La Quadrature du Net publie ici sa réponse à la consultation.

  • 1. Selon l'expression célèbre de Patrick Le Lay, ancien PDG de TF1.
  • 2. Les échanges entre Socrate et Protagoras, rapportés dans Le Protagoras de Platon, offrent une approche intéressante pour s'interroger sur l'origine de nos « vérités » : il peut s'agir d'une source absolue, telle que la nature ou le divin (comme le propose Socrate), ou bien, dans une approche qu'on qualifierait aujourd'hui de relativiste (celle de Protagoras), de l'Humanité elle-même, qui serait alors « la mesure de toute chose », selon la célèbre formule.
]]>
Paris, le 2 mars 2018 - La Commission européenne a récemment lancé une consultation sur les « fausses nouvelles et la désinformation en ligne », à laquelle La Quadrature vient de répondre. Le débat actuel autour de ces phénomènes se distingue par la confusion qui y règne et le risque qu'il pose de conduire à des mesures portant atteinte à la liberté d'expression et au droit d'accès à l'information. Pourtant, le système de surveillance publicitaire des grandes plateformes basées sur l'économie de l'attention, ayant un effet destructeur sur le débat public, mérite un traitement sérieux.

Comme aux États-Unis, les leaders politiques en Europe sont hantés par le spectre des « fake news ». Début janvier, Emmanuel Macron a annoncé une future loi contre la propagation des « fausses informations », notamment en période électorale, qui est supposée arriver à l'Assemblée nationale fin mars.

La Commission européenne a ouvert une consultation, qui a pris fin le 23 février, afin de décider avant l'été s'il est nécessaire de légiférer à ce sujet. La Commission a également mis sur pied un groupe d'experts [EN], tenu de soumettre un rapport en mars. Ces deux actions de la Commission européenne visent uniquement la propagation des contenus en ligne qui sont « licites mais faux », sans donner de définition de « faux ».

Pour un débat constructif autour des « fausses nouvelles et la désinformation en ligne », nous voudrions rappeler cinq constats fondamentaux :

  1. Le problème de la désinformation existe [EN] depuis que le pouvoir existe : l'influence des grands médias historiques sur le pouvoir politique, ainsi que leur tendance au sensationnalisme ne sont pas des phénomènes récents ;
  2. aucun critère ne peut définir de façon satisfaisante et générale ce qu'est une information « fausse », la véracité d'une information ne pouvant être raisonnablement interrogée que dans le cadre factuel où elle cause un tort précis et concret à un individu ou à la société ;
  3. Internet, dans sa conception même, a été pensé comme un réseau neutre [EN], se distinguant des autres médias par le fait qu'il offre à tous la possibilité de s'exprimer et laisse aux usagers du réseau le soin de contrôler les informations qu'ils reçoivent ;
  4. Internet pourrait être un outil d'élargissement considérable du débat public, mais la régulation automatisée de ce débat, guidée par des critères purement marchands, lui nuit aujourd'hui grandement : pour vendre plus cher leurs espaces publicitaires, les plateformes dominantes favorisent la diffusion des informations les plus utiles au ciblage de leurs utilisateurs ;
  5. Le système de surveillance publicitaire des grandes plateformes, basé sur « le temps de cerveau disponible »1, a ainsi transformé les utilisateurs d'Internet, ainsi que les lecteurs des médias historiques, en des produits marchands. En ce sens, ce ne sont pas les utilisateurs mais les services qui sont responsables de la sur-diffusion de certaines informations pouvant nuire à l'équilibre du débat public.

Pour approcher le problème de la désinformation face à la régulation automatisée du débat public, il convient de prendre en compte les éléments suivants :

  1. Dans une démocratie, seule la société elle-même peut construire ses propres vérités2 (peu importe d'ailleurs que celles-ci forment un ensemble cohérent) ;
  2. La régulation automatisée du débat public par les plateformes dominantes nuit profondément à ce mécanisme de construction démocratique, la valeur d'une information n'y étant plus fixée qu'à partir du nombre de clics qu'elle peut générer ;
  3. Le fait que la société ne puisse plus efficacement construire ses propres vérités, à cause de cette régulation automatisée, ne doit pas être une excuse pour lui enlever ce rôle et confier celui-ci, grâce à la censure, à un gouvernement en perte de légitimité ou à des plateformes prédatrices.

Au lieu de combattre le mal par le mal (en incitant les plateformes à la censure sans même prendre en compte leur fonctionnement économique), il faut contraindre celles-ci à permettre leur interopérabilité avec d'autres plateformes alternatives et à respecter la réglementation sur les données personnelles (qui freinerait leur influence néfaste sur les débats).

En effet, la sur-diffusion d'un certain type d'informations, selon des critères opaques, purement économiques et ne prenant donc aucunement en compte l'intérêt public, est la conséquence inévitable de la surveillance imposée par les plateformes centralisées à leurs utilisateurs. Or, le règlement général sur la protection des données (RGPD) prévoit qu'aucun service ne peut être refusé à une personne du seul fait que celle-ci refuse que son comportement y soit analysé (voir la définition du caractère libre du consentement en droit européen).

L'entrée en application du RGPD le 25 mai prochain est en cela une très bonne nouvelle, qui laisse espérer pouvoir limiter drastiquement la toute puissance du monde publicitaire en matière de surveillance des utilisateurs et rendrait beaucoup moins intéressante la mise en avant de contenus « à clics », dont les « fake news » font partie.

La Quadrature du Net publie ici sa réponse à la consultation.

  • 1. Selon l'expression célèbre de Patrick Le Lay, ancien PDG de TF1.
  • 2. Les échanges entre Socrate et Protagoras, rapportés dans Le Protagoras de Platon, offrent une approche intéressante pour s'interroger sur l'origine de nos « vérités » : il peut s'agir d'une source absolue, telle que la nature ou le divin (comme le propose Socrate), ou bien, dans une approche qu'on qualifierait aujourd'hui de relativiste (celle de Protagoras), de l'Humanité elle-même, qui serait alors « la mesure de toute chose », selon la célèbre formule.
]]>
La Quadrature du Net et FFDN répondent à la consultation sur la 5G10418 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180220_154344_La_Quadrature_du_Net_et_FFDN_repondent_a_la_consultation_sur_la_5GTue, 20 Feb 2018 14:43:44 +0000Paris, le 20 février 2018 - La direction générale des entreprises (DGE)1 a lancé récemment une consultation intitulée : « Feuille de route sur la 5G : Consultation des acteurs du marché ». La Quadrature et la Fédération des fournisseurs d'accès à Internet associatifs (FFDN) ont décidé de répondre conjointement. La 5G est en effet un argument trop souvent utilisé par les opérateurs contre la neutralité du Net et les usages libres.

5G
Le déploiement d'une nouvelle technologie amène régulièrement les opérateurs déjà en situation d'oligopole à essayer d'en profiter pour asseoir encore plus leur position dominante. Parmi les enjeux abordés dans notre réponse à la consultation :

  • Neutralité du Net : La 5G est un argument récurrent pour créer des brèches dans la réglementation sur la neutralité du Net. C'est la voiture autonome que les opérateurs brandissent systématiquement en chiffon rouge. Or le règlement européen sur l'Internet ouvert permet actuellement, via notamment les services gérés, de mettre en place des services nécessitant une qualité de service spécifique ;
  • Couverture du territoire : Malgré tous les avantages que présentent la 5G, son développement ne doit pas être un moyen pour les opérateurs de retarder encore l'accès à la fibre dans les zones blanches ;
  • Durée d'allocation des fréquences : Les opérateurs continuent leur lobbying pour obtenir une très longue durée d'attribution des fréquences, avec le moins de moyens possibles aux régulateurs nationaux pour contrôler l'usage fait du spectre. Cette situation ne permet pas d'assurer une utilisation optimale du spectre. Une durée limitée, une révision périodique et des pouvoirs réels aux autorités de régulation sont au contraire nécessaires ;
  • Libération du spectre : Le manque de volonté politique pour libérer le spectre partagé et non soumis à licence2 limite fortement l'accès au spectre à des petits acteurs, et donc l'innovation et le développement de nouveaux usages ;
  • Accès au spectre : D'une manière générale, le spectre soumis à licence n'est pas assez accessible aux petits acteurs, ce qui nuit à l'émergence de nouveaux usages et à l'innovation ;
  • Logiciel libre : Des obstacles réglementaires ou techniques sont souvent mis à l'utilisation de logiciels libres. Or, afin d'assurer une meilleure maîtrise par les utilisateurs et un bon niveau de sécurité, la promotion du logiciel libre et à défaut la possibilité pour chacun d'utiliser les équipements et les logiciels de son choix est un enjeu majeur.

Pour lire la réponse à la consultation.

  • 1. Il s'agit d'une des directions générales du Ministère de l'Économie et des Finances.
  • 2. Voir aussi les fiches élaborées conjointement avec netCommons, et notamment celle sur le spectre.
]]>
Paris, le 20 février 2018 - La direction générale des entreprises (DGE)1 a lancé récemment une consultation intitulée : « Feuille de route sur la 5G : Consultation des acteurs du marché ». La Quadrature et la Fédération des fournisseurs d'accès à Internet associatifs (FFDN) ont décidé de répondre conjointement. La 5G est en effet un argument trop souvent utilisé par les opérateurs contre la neutralité du Net et les usages libres.

5G
Le déploiement d'une nouvelle technologie amène régulièrement les opérateurs déjà en situation d'oligopole à essayer d'en profiter pour asseoir encore plus leur position dominante. Parmi les enjeux abordés dans notre réponse à la consultation :

  • Neutralité du Net : La 5G est un argument récurrent pour créer des brèches dans la réglementation sur la neutralité du Net. C'est la voiture autonome que les opérateurs brandissent systématiquement en chiffon rouge. Or le règlement européen sur l'Internet ouvert permet actuellement, via notamment les services gérés, de mettre en place des services nécessitant une qualité de service spécifique ;
  • Couverture du territoire : Malgré tous les avantages que présentent la 5G, son développement ne doit pas être un moyen pour les opérateurs de retarder encore l'accès à la fibre dans les zones blanches ;
  • Durée d'allocation des fréquences : Les opérateurs continuent leur lobbying pour obtenir une très longue durée d'attribution des fréquences, avec le moins de moyens possibles aux régulateurs nationaux pour contrôler l'usage fait du spectre. Cette situation ne permet pas d'assurer une utilisation optimale du spectre. Une durée limitée, une révision périodique et des pouvoirs réels aux autorités de régulation sont au contraire nécessaires ;
  • Libération du spectre : Le manque de volonté politique pour libérer le spectre partagé et non soumis à licence2 limite fortement l'accès au spectre à des petits acteurs, et donc l'innovation et le développement de nouveaux usages ;
  • Accès au spectre : D'une manière générale, le spectre soumis à licence n'est pas assez accessible aux petits acteurs, ce qui nuit à l'émergence de nouveaux usages et à l'innovation ;
  • Logiciel libre : Des obstacles réglementaires ou techniques sont souvent mis à l'utilisation de logiciels libres. Or, afin d'assurer une meilleure maîtrise par les utilisateurs et un bon niveau de sécurité, la promotion du logiciel libre et à défaut la possibilité pour chacun d'utiliser les équipements et les logiciels de son choix est un enjeu majeur.

Pour lire la réponse à la consultation.

  • 1. Il s'agit d'une des directions générales du Ministère de l'Économie et des Finances.
  • 2. Voir aussi les fiches élaborées conjointement avec netCommons, et notamment celle sur le spectre.
]]>
Campagne de dons 2017 : un grand merci à toutes et tous !10417 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180219_135518_Campagne_de_dons_2017___un_grand_merci_a_toutes_et_tous__Mon, 19 Feb 2018 12:55:18 +0000Paris, 19 février 2018 - La campagne de dons annuelle de La Quadrature du Net n'a certes pas atteint l'objectif que nous nous étions fixé, mais les soutiens sont toujours présents et nous permettront cette année encore de poursuivre notre travail. Fin janvier cette campagne nous avait permis de collecter 220 758€ de dons individuels, soit 68% de notre objectif. Notre budget pour 2018 est estimé à 380 000€, et est actuellement couvert à environ 90%, dont 66% de dons individuels1. Merci donc encore une fois à toutes celles et à tous ceux qui nous soutiennent <3

L'aventure continue, et les chantiers seront nombreux en cette nouvelle année, entre débats législatifs et discussions politiques, techniques et même philosophiques, sur des thèmes variés mais rarement nouveaux : surveillance et renseignement, protection des données personnelles, liberté d'expression, neutralité du Net... Notre prochaine assemblée générale, prévue début avril, sera l'occasion d'affiner cette liste et de faire le point sur les directions que La Quadrature du Net sera amenée à prendre dans les mois qui viennent.

Pour être plus pertinente dans le nouveau moment charnière de l'histoire de l'informatique que nous traversons, La Quadrature du Net va continuer son ouverture et travailler à l'évolution de son organisation, dans la lignée du document de revue stratégique que nous avions publié à l'automne. Si nous poursuivrons notre travail de plaidoyer juridique et nos actions contentieuses, nous souhaitons en parallèle développer encore nos actions visant à l'appropriation de ces débats par le plus grand nombre. Nous allons de même repenser notre rôle et nos outils pour l'émancipation numérique, afin de contribuer à faire se rencontrer des militants issus de causes diverses et les bâtisseurs de l'Internet libre, usagers et développeurs.

Vous l'aurez compris, nous continuerons cette année encore à travailler à la défense politique et juridique d'un Internet libre et des droits fondamentaux à l'ère numérique. Et pour cela nous aurons encore et toujours besoin de vous et de votre soutien. Et nous en profitons pour rappeler que si vous décidez de soutenir La Quadrature du Net, un petit don récurrent vaut mieux qu'un don ponctuel même un peu plus important :-)

La Quadrature du Net

  • 1. Dans ce chiffre sont aussi intégrés les dons individuels de l'an passé restant en trésorerie à la date de démarrage de cette nouvelle campagne.
]]>
Paris, 19 février 2018 - La campagne de dons annuelle de La Quadrature du Net n'a certes pas atteint l'objectif que nous nous étions fixé, mais les soutiens sont toujours présents et nous permettront cette année encore de poursuivre notre travail. Fin janvier cette campagne nous avait permis de collecter 220 758€ de dons individuels, soit 68% de notre objectif. Notre budget pour 2018 est estimé à 380 000€, et est actuellement couvert à environ 90%, dont 66% de dons individuels1. Merci donc encore une fois à toutes celles et à tous ceux qui nous soutiennent <3

L'aventure continue, et les chantiers seront nombreux en cette nouvelle année, entre débats législatifs et discussions politiques, techniques et même philosophiques, sur des thèmes variés mais rarement nouveaux : surveillance et renseignement, protection des données personnelles, liberté d'expression, neutralité du Net... Notre prochaine assemblée générale, prévue début avril, sera l'occasion d'affiner cette liste et de faire le point sur les directions que La Quadrature du Net sera amenée à prendre dans les mois qui viennent.

Pour être plus pertinente dans le nouveau moment charnière de l'histoire de l'informatique que nous traversons, La Quadrature du Net va continuer son ouverture et travailler à l'évolution de son organisation, dans la lignée du document de revue stratégique que nous avions publié à l'automne. Si nous poursuivrons notre travail de plaidoyer juridique et nos actions contentieuses, nous souhaitons en parallèle développer encore nos actions visant à l'appropriation de ces débats par le plus grand nombre. Nous allons de même repenser notre rôle et nos outils pour l'émancipation numérique, afin de contribuer à faire se rencontrer des militants issus de causes diverses et les bâtisseurs de l'Internet libre, usagers et développeurs.

Vous l'aurez compris, nous continuerons cette année encore à travailler à la défense politique et juridique d'un Internet libre et des droits fondamentaux à l'ère numérique. Et pour cela nous aurons encore et toujours besoin de vous et de votre soutien. Et nous en profitons pour rappeler que si vous décidez de soutenir La Quadrature du Net, un petit don récurrent vaut mieux qu'un don ponctuel même un peu plus important :-)

La Quadrature du Net

  • 1. Dans ce chiffre sont aussi intégrés les dons individuels de l'an passé restant en trésorerie à la date de démarrage de cette nouvelle campagne.
]]>
Après la décision Chambord, comment sortir d’un domaine public « résiduel » ?10415 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180215_145403_Apres_la_decision_Chambord__comment_sortir_d___un_domaine_public____residuel_____Thu, 15 Feb 2018 13:54:03 +0000Paris, le 16 février 2018 - Nous publions ci-dessous une tribune de Lionel Maurel, membre fondateur de La Quadrature du Net, au sujet de la décision du Conseil constitutionnel sur la question prioritaire de constitutionnalité (QPC) que nous avions déposée avec Wikimédia France au sujet de la création d'un nouveau droit sur l'image des monuments des domaines nationaux.

Le 2 février dernier, le Conseil constitutionnel a rendu sa décision dans ce qu'il est convenu d'appeler « l'affaire Chambord », à savoir la contestation par Wikimedia France et La Quadrature du Net du nouveau « droit à l'image » mis en place en 2016 par la loi Création, Architecture et Patrimoine sur les monuments des domaines nationaux (Château de Chambord, Le Louvre, l’Élysée, etc.).

Le château de Chambord vu du ciel. Image par Elementerre. CC-BY-SA. Source : Wikimedia Commons.

Les deux associations ont vu leurs principaux arguments rejetés, ce qui va laisser la possibilité aux gestionnaires des domaines nationaux de contrôler l'image de ces bâtiments et de lever des redevances sur son exploitation commerciale. Mais le Conseil constitutionnel n'en a pas moins assorti sa décision de plusieurs réserves d'interprétation qui vont limiter assez sérieusement la portée de ce dispositif.

Cependant l'essentiel est ailleurs, car ce jugement va surtout avoir l'effet de valider a contrario une conception du domaine public en France tendant à en faire un concept « résiduel », pouvant facilement être remis en cause par voie législative. C'est la nature même de ce que les militants des Communs de la connaissance appellent le « copyfraud » qui est modifiée par cette décision, car une grande partie des couches de droits surajoutées sur le domaine public s'en trouvent validées. Malgré cette décision, ce n'est pourtant pas une fatalité impossible à conjurer, mais il convient à présent d'adapter la stratégie à suivre pour arriver à garantir à nouveau les libertés culturelles matérialisées par le domaine public.

Le domaine public, un Principe Fondamental Reconnu par les Lois de la République ?

Tous les monuments des domaines nationaux correspondent à des bâtiments qui ne sont pas protégés par le droit d'auteur (ils ne l'ont même jamais été, vu leur époque de construction) et ils appartiennent à ce titre au domaine public, au sens de la propriété intellectuelle. A ce titre, leur image devrait donc être librement réutilisable, étant donné qu'il n'y a pas de droits patrimoniaux (reproduction, représentation) opposables, y compris à des fins commerciales. Quand un roman entre dans le domaine public, on peut le rééditer pour vendre des ouvrages et un cinéaste peut adapter l'histoire pour en faire un film : l'usage commercial fait intrinsèquement partie du domaine public et le limiter revient donc à ruiner le sens même de cette notion.

Dans cette affaire cependant, on était en présence d'un « conflit de lois » : d'un côté, si l'on suit le Code de Propriété Intellectuelle, l'utilisation de l'image de ces monuments devait être libre, tandis que la loi Création de son côté a instauré de l'autre un droit spécifique permettant d'en contrôler l'exploitation commerciale et de la faire payer. Les deux associations requérantes ont demandé au Conseil constitutionnel de sortir de cette situation contradictoire en procédant à une « hiérarchisation » entre les textes. Elles estimaient en effet que le domaine public, au sens de la propriété intellectuelle, devait prévaloir en vertu d'un Principe Fondamental Reconnu par les Lois de la République (PFRLR) dont il serait l'incarnation.

Renvoyant à une expression figurant dans le Préambule de la Constitution de 1946, les PFRLR se définissent comme :

des principes fondamentaux [qui] doivent être tirés d’une législation républicaine antérieure à la IVe République et la législation en question ne doit pas avoir été démentie par une autre législation républicaine (nécessité de constance et de répétition).

Or le domaine public est bien né au moment de la Révolution française, lorsque les révolutionnaires ont créé le droit d'auteur par voie législative, mais en fixant aux droits patrimoniaux une durée limitée dans le temps (10 ans après la mort de l'auteur à l'époque). Au fil du temps, différentes lois sont intervenues pour allonger cette durée (jusqu'à 70 ans après la mort de l'auteur aujourd'hui), mais sans remettre en cause le principe même de cette limitation dans le temps.

On pourrait dire que cette référence au droit d'auteur est hors-sujet, car la loi Création ne se place pas sur ce terrain et instaure sur ces monuments un droit d'une autre nature. Mais le texte a pourtant bien pour conséquence de faire naître l'« équivalent fonctionnel » d'un droit patrimonial au profit des gestionnaires de domaine, qui va leur permettre de venir « neutraliser » l'effet utile du domaine public en restreignant l'usage commercial. Or si on se réfère à la vision des Révolutionnaires, on constate que leur intention, en limitant la durée des droits patrimoniaux, était de créer un « droit du public » sur la Culture. C'est notamment ce qui ressort très clairement des propos du député Isaac Le Chapelier, qui fut rapporteur de la loi sur le droit d'auteur en 1791 :

Quand un auteur a livré son ouvrage au public, quand cet ouvrage est dans les mains de tout le monde, que les hommes instruits le connaissent, qu'ils se sont emparés des beautés qu’il contient, qu’ils ont confié à leur mémoire les traits les plus heureux ; il semble que dès ce moment, l’écrivain a associé le public à sa propriété, ou plutôt la lui a transmise toute entière ; cependant comme il est extrêmement juste que les hommes qui cultivent le domaine de la pensée, tirent quelques fruits de leur travail, il faut que pendant toute leur vie et quelques années après leur mort, personne ne puisse sans leur consentement disposer du fruit de leur génie. Mais aussi après le délai fixé, la propriété du public commence et tout le monde doit pouvoir imprimer, publier les ouvrages qui ont contribué à éclairer l’esprit humain.

Le Chapelier parle d'une « propriété du public », mais on voit bien à ses propos qu'il s'agir en réalité d'une liberté de réutilisation et que celle-ci doit être complète, c'est-à-dire incluant l'usage commercial, vu qu'elle englobe dans son esprit la possibilité de « publier les ouvrages ». Or il est bien clair que ces libertés ou ces droits du public sont vidés de leur sens si le législateur instaure des mécanismes d'une autre nature que le droit d'auteur qui viennent entraver leur exercice. C'est pourtant ce qu'il a fait avec la loi Création qui utilise ce que l'on peut appeler un « droit connexe » pour porter atteinte à l'intégrité du domaine public et donc, à ces droits droits du public que les Révolutionnaires voulaient instaurer.

Tel était donc le sens de l'argument principal porté dans cette affaire par les deux associations qui demandaient au Conseil constitutionnel deux choses : 1) reconnaître l'existence du domaine public comme un PFRLR et 2) déclarer une prééminence du domaine public sur les droits connexes que le législateur établit pour le neutraliser.

La réduction à un domaine public « résiduel »

Le Conseil constitutionnel n'a pas répondu à la première question, au sens où il ne s'est pas prononcé sur l'existence du PFRLR. Mais quelque part, il a fait pire que s'il avait jugé que ce principe n'existait pas, car sa décision signifie que même si ce PFRLR existait, il ne pourrait pas être invoqué pour censurer la loi. C'est ce que l'on peut déduire de ce passage du jugement :

[...] en accordant au gestionnaire d'un domaine national le pouvoir d'autoriser ou de refuser certaines utilisations de l'image de ce domaine, le législateur n'a ni créé ni maintenu des droits patrimoniaux attachés à une œuvre intellectuelle. Dès lors et en tout état de cause, manque en fait le grief tiré de la méconnaissance d'un principe fondamental reconnu par les lois de la République que les associations requérantes demandent au Conseil constitutionnel de reconnaître.

Le Conseil constitutionnel dit ici que le moyen soulevé par les deux associations est inopérant : même si l'existence du domaine public relevait d'un Principe Fondamental Reconnu par les Lois de la République, celui-ci s'opposerait simplement à ce que le législateur fasse renaître des droits patrimoniaux rattachés au droit d'auteur. Or ce n'est pas ce qu'a fait ici le législateur, puisqu'il fait certes renaître une couche de droits exclusifs sur le domaine domaine, mais d'une autre nature que le droit d'auteur. Donc implicitement, le Conseil constitutionnel nous dit que le législateur a bien la faculté de créer des « droits connexes » neutralisant l'effet du domaine public, mais à condition qu'il se place sur d'autres terrains juridiques que le droit d'auteur.

Il en résulte que le domaine public, au sens de la propriété intellectuelle, n'a donc plus qu'une existence « résiduelle ». Il peut exister et produire des effets, mais il faudra auparavant vérifier qu'aucune autre « couche de droits connexes », issus d'une autre législation, n'est applicable. Or cette hypothèse est loin d'être rare aujourd'hui en droit français, car on peut compter six ou sept dispositifs juridiques différents susceptibles d'interférer avec le domaine public. Pour donner un exemple, la loi Valter a conféré en 2015 aux établissements culturels (bibliothèques, musées, archives) la possibilité de faire payer les réutilisations commerciales des reproductions numériques qu'elles produisent à partir des œuvres de leurs collections, quand bien même celles-ci appartiennent au domaine public. Tout comme le droit à l'image des domaines nationaux de la loi Création, on sait à présent que cette nouvelle couche de droits verrouillant le domaine public ne pourra sans doute plus être contestée.

Ce qui est surprenant, c'est que le Conseil constitutionnel a choisi « d'inférioriser » le domaine public, alors même que des juges avaient développé une jurisprudence pour régler autrement les « conflits de lois ». Par exemple, dans une affaire impliquant la bande dessinée Les Pieds Nickelés, le tribunal de Grande Instance de Paris a jugé que l'on ne peut pas utiliser le droit des marques pour contourner l'extinction des droits patrimoniaux sur une œuvre. Il avait été jusqu'à déclarer le dépôt d'une marque sur le nom Les Pieds Nickelés comme « frauduleux », parce qu'il visait à empêcher une exploitation commerciale de l’œuvre passée dans le domaine public. Dans cette situation, le TGI a donc bien procédé à une hiérarchisation entre les différents droits en donnant la prééminence au domaine public.

Une portée néanmoins limitée

Tout n'est quand même pas complètement négatif dans la décision du Conseil constitutionnel, car il a assorti son jugement de plusieurs réserves d'interprétation, qui vont limiter la portée de ce nouveau droit à l'image.

La première concerne l'articulation avec les licences libres, sujet qui concerne au premier chef les wikipédiens. L'un des « dommages collatéraux » du dispositif est qu'il est susceptible d'empêcher de placer sous licences libres des photographies des monuments des domaines nationaux, car celles-ci autorisent par définition l'usage commercial. La loi Création instaure ainsi de manière paradoxale une sorte « d'anti-liberté de panorama » qui risquait d'empêcher d'illustrer les articles de Wikipédia relatif à ces monuments avec des images sous licence libre. Wikimedia France et La Quadrature ont donc également soutenu devant le Conseil que cette loi portait une atteinte disproportionnée à la liberté contractuelle et au droit des auteurs de photographies, en les empêchant d'utiliser des licences libres pour la diffusion. À cet argument, le Conseil constitutionnel a répondu ceci :

en l'absence de disposition expresse contraire, les dispositions contestées n'affectent pas les contrats légalement conclus avant leur entrée en vigueur. Par conséquent, le grief tiré de la méconnaissance du droit au maintien des contrats légalement conclus doit être écarté.

Cela signifie en substance que la loi Création ne remettra pas en cause la validité des licences libres déjà apposées sur des photographies de monuments des domaines nationaux et que le nouveau droit à l'image n’interférera qu'à partir de la date d'entrée en vigueur du texte. C'est une solution en demi-teinte, qui va constituer à l'avenir une entrave à l'usage des licences libres, mais il faut néanmoins prendre en considération qu'il existe déjà plusieurs centaines de photographiques de ces bâtiments sur Wikimedia Commons et des milliers si l'ont étend la recherche à l'ensemble du web (cliquez sur l'image ci-dessous pour le Château de Chambord par exemple).

Une simple recherche sur Google Images montre qu'il existe déjà des centaines et des centaines d'images du Château de Chambord sous licence libre sur laquelle la loi Création n'aura aucune prise.

Rappelons que toute cette affaire est née parce que les gestionnaires du domaine de Chambord voulaient trouver un moyen de faire payer la société Kronenbourg pour l'usage d'une photo du château dans une publicité. Mais suite à la décision du Conseil, Kronenbourg n'aura qu'à utiliser une des milliers de photos de l'édifice publiées avant 2016 sous licence libre et les gestionnaires ne pourront rien faire pour s'y opposer. C'est dire, si l'on prend en compte l'ensemble des domaines, que cette loi est déjà quasiment vidée de son sens et qu'elle ira sans doute grossir les rangs des textes inutiles - mais néanmoins ultra-nocifs - que le législateur français semble prendre un malin plaisir à accumuler en matière culturelle.

Par ailleurs, le Conseil a aussi tenu à limiter la possibilité pour les gestionnaires des domaines de refuser la réutilisation de l'image des bâtiments :

Compte tenu de l'objectif de protection poursuivi par le législateur, l'autorisation ne peut être refusée par le gestionnaire du domaine national que si l'exploitation commerciale envisagée porte atteinte à l'image de ce bien présentant un lien exceptionnel avec l'histoire de la Nation. Dans le cas contraire, l'autorisation est accordée dans les conditions, le cas échéant financières, fixées par le gestionnaire du domaine national, sous le contrôle du juge.

Contrairement à ce que l'on pouvait craindre, les gestionnaires ne pourront donc pas refuser arbitrairement la réutilisation de l'image des monuments, car le Conseil précise qu'il leur faudra apporter la preuve que cet usage porte atteinte à l'image de ce bien. C'est une forme de limitation non-négligeable à l'exercice de ce dispositif, mais cela va aussi avoir l'effet étrange de créer une sorte de « pseudo-droit moral » que les gestionnaires de domaines vont désormais pouvoir exercer. Il y a néanmoins une différence de taille, car normalement en droit d'auteur, les titulaires du droit moral ne peuvent le monnayer. Or ici, on voit qu'un mélange des genres peu ragoûtant va immanquablement s'opérer.

En effet, les gestionnaires des domaines ont le choix entre considérer qu'il y a une atteinte à l'image du monument et refuser la réutilisation ou bien ne pas voir l'usage comme une atteinte et le faire payer. En pratique, les gestionnaires de Chambord ont déjà montré que cette alternative induirait une appréciation à géométrie variable de l'intégrité, pour des raisons purement financières. S'ils ont estimé la réutilisation dans une publicité Kronenbourg incompatible avec l'intégrité de l'image du château, ils n'ont en revanche pas hésité à organiser une chasse aux œufs Kinder dans l'édifice pour une opération promotionnelle à Pâques... Il y a tout lieu de penser que ce qui a fait varier l'appréciation des gestionnaires, ce n'est pas le souci de préserver l'intégrité de l'image du domaine, mais le fait que Kinder a bien voulu sortir son chéquier, alors que Kronenbourg ne l'a pas fait.

La décision du Conseil nous permettra donc d'apprécier à l'avenir la tartuferie éhontée sur laquelle repose tout ce dispositif et on voit bien au passage que le législateur a bien entendu recréer une forme de droit patrimonial sur ces monuments.

Agir pour le domaine public au niveau législatif

Au final, cette décision du Conseil constitutionnel condamne-t-elle définitivement le domaine public à ne rester qu'un concept « résiduel » qui pourra être enseveli peu à peu sous des droits connexes par le législateur ?

Heureusement non, mais c'est précisément à l'échelon législatif qu'il faut à présent agir pour essayer de renverser cette tendance. En 2013, la députée Isabelle Attard avait déposé une loi visant à consacrer le domaine public, à élargir son périmètre et à garantir son intégrité. Ce texte garde aujourd'hui toute sa pertinence, et même davantage encore depuis la décision du Conseil constitutionnel, car l'un de ses buts était justement d'organiser - au niveau législatif - la reconnaissance et la prééminence du domaine public sur les droits connexes qui peuvent le neutraliser. Par ailleurs en 2016, lors des débats autour de la loi République numérique, une autre proposition avait été portée en vue de créer un « domaine commun informationnel » dont le but était de donner une définition positive du domaine public en renforçant sa protection.

Le Conseil constitutionnel a refusé de dire si l'existence du domaine public relevait ou non d'un Principe Fondamental Reconnu par les Lois de la République, mais qu'à cela ne tienne ! Une ou plusieurs lois peuvent renouer avec l'esprit initial des Révolutionnaires et reconnaître ces « droits du public » sur la Culture qui constituent l'essence du domaine public. En agissant de la sorte, la « malédiction de Chambord » pourra être conjurée et le domaine public redeviendra ce principe régulateur qu'il n'aurait jamais dû cesser d'être.

]]>
Paris, le 16 février 2018 - Nous publions ci-dessous une tribune de Lionel Maurel, membre fondateur de La Quadrature du Net, au sujet de la décision du Conseil constitutionnel sur la question prioritaire de constitutionnalité (QPC) que nous avions déposée avec Wikimédia France au sujet de la création d'un nouveau droit sur l'image des monuments des domaines nationaux.

Le 2 février dernier, le Conseil constitutionnel a rendu sa décision dans ce qu'il est convenu d'appeler « l'affaire Chambord », à savoir la contestation par Wikimedia France et La Quadrature du Net du nouveau « droit à l'image » mis en place en 2016 par la loi Création, Architecture et Patrimoine sur les monuments des domaines nationaux (Château de Chambord, Le Louvre, l’Élysée, etc.).

Le château de Chambord vu du ciel. Image par Elementerre. CC-BY-SA. Source : Wikimedia Commons.

Les deux associations ont vu leurs principaux arguments rejetés, ce qui va laisser la possibilité aux gestionnaires des domaines nationaux de contrôler l'image de ces bâtiments et de lever des redevances sur son exploitation commerciale. Mais le Conseil constitutionnel n'en a pas moins assorti sa décision de plusieurs réserves d'interprétation qui vont limiter assez sérieusement la portée de ce dispositif.

Cependant l'essentiel est ailleurs, car ce jugement va surtout avoir l'effet de valider a contrario une conception du domaine public en France tendant à en faire un concept « résiduel », pouvant facilement être remis en cause par voie législative. C'est la nature même de ce que les militants des Communs de la connaissance appellent le « copyfraud » qui est modifiée par cette décision, car une grande partie des couches de droits surajoutées sur le domaine public s'en trouvent validées. Malgré cette décision, ce n'est pourtant pas une fatalité impossible à conjurer, mais il convient à présent d'adapter la stratégie à suivre pour arriver à garantir à nouveau les libertés culturelles matérialisées par le domaine public.

Le domaine public, un Principe Fondamental Reconnu par les Lois de la République ?

Tous les monuments des domaines nationaux correspondent à des bâtiments qui ne sont pas protégés par le droit d'auteur (ils ne l'ont même jamais été, vu leur époque de construction) et ils appartiennent à ce titre au domaine public, au sens de la propriété intellectuelle. A ce titre, leur image devrait donc être librement réutilisable, étant donné qu'il n'y a pas de droits patrimoniaux (reproduction, représentation) opposables, y compris à des fins commerciales. Quand un roman entre dans le domaine public, on peut le rééditer pour vendre des ouvrages et un cinéaste peut adapter l'histoire pour en faire un film : l'usage commercial fait intrinsèquement partie du domaine public et le limiter revient donc à ruiner le sens même de cette notion.

Dans cette affaire cependant, on était en présence d'un « conflit de lois » : d'un côté, si l'on suit le Code de Propriété Intellectuelle, l'utilisation de l'image de ces monuments devait être libre, tandis que la loi Création de son côté a instauré de l'autre un droit spécifique permettant d'en contrôler l'exploitation commerciale et de la faire payer. Les deux associations requérantes ont demandé au Conseil constitutionnel de sortir de cette situation contradictoire en procédant à une « hiérarchisation » entre les textes. Elles estimaient en effet que le domaine public, au sens de la propriété intellectuelle, devait prévaloir en vertu d'un Principe Fondamental Reconnu par les Lois de la République (PFRLR) dont il serait l'incarnation.

Renvoyant à une expression figurant dans le Préambule de la Constitution de 1946, les PFRLR se définissent comme :

des principes fondamentaux [qui] doivent être tirés d’une législation républicaine antérieure à la IVe République et la législation en question ne doit pas avoir été démentie par une autre législation républicaine (nécessité de constance et de répétition).

Or le domaine public est bien né au moment de la Révolution française, lorsque les révolutionnaires ont créé le droit d'auteur par voie législative, mais en fixant aux droits patrimoniaux une durée limitée dans le temps (10 ans après la mort de l'auteur à l'époque). Au fil du temps, différentes lois sont intervenues pour allonger cette durée (jusqu'à 70 ans après la mort de l'auteur aujourd'hui), mais sans remettre en cause le principe même de cette limitation dans le temps.

On pourrait dire que cette référence au droit d'auteur est hors-sujet, car la loi Création ne se place pas sur ce terrain et instaure sur ces monuments un droit d'une autre nature. Mais le texte a pourtant bien pour conséquence de faire naître l'« équivalent fonctionnel » d'un droit patrimonial au profit des gestionnaires de domaine, qui va leur permettre de venir « neutraliser » l'effet utile du domaine public en restreignant l'usage commercial. Or si on se réfère à la vision des Révolutionnaires, on constate que leur intention, en limitant la durée des droits patrimoniaux, était de créer un « droit du public » sur la Culture. C'est notamment ce qui ressort très clairement des propos du député Isaac Le Chapelier, qui fut rapporteur de la loi sur le droit d'auteur en 1791 :

Quand un auteur a livré son ouvrage au public, quand cet ouvrage est dans les mains de tout le monde, que les hommes instruits le connaissent, qu'ils se sont emparés des beautés qu’il contient, qu’ils ont confié à leur mémoire les traits les plus heureux ; il semble que dès ce moment, l’écrivain a associé le public à sa propriété, ou plutôt la lui a transmise toute entière ; cependant comme il est extrêmement juste que les hommes qui cultivent le domaine de la pensée, tirent quelques fruits de leur travail, il faut que pendant toute leur vie et quelques années après leur mort, personne ne puisse sans leur consentement disposer du fruit de leur génie. Mais aussi après le délai fixé, la propriété du public commence et tout le monde doit pouvoir imprimer, publier les ouvrages qui ont contribué à éclairer l’esprit humain.

Le Chapelier parle d'une « propriété du public », mais on voit bien à ses propos qu'il s'agir en réalité d'une liberté de réutilisation et que celle-ci doit être complète, c'est-à-dire incluant l'usage commercial, vu qu'elle englobe dans son esprit la possibilité de « publier les ouvrages ». Or il est bien clair que ces libertés ou ces droits du public sont vidés de leur sens si le législateur instaure des mécanismes d'une autre nature que le droit d'auteur qui viennent entraver leur exercice. C'est pourtant ce qu'il a fait avec la loi Création qui utilise ce que l'on peut appeler un « droit connexe » pour porter atteinte à l'intégrité du domaine public et donc, à ces droits droits du public que les Révolutionnaires voulaient instaurer.

Tel était donc le sens de l'argument principal porté dans cette affaire par les deux associations qui demandaient au Conseil constitutionnel deux choses : 1) reconnaître l'existence du domaine public comme un PFRLR et 2) déclarer une prééminence du domaine public sur les droits connexes que le législateur établit pour le neutraliser.

La réduction à un domaine public « résiduel »

Le Conseil constitutionnel n'a pas répondu à la première question, au sens où il ne s'est pas prononcé sur l'existence du PFRLR. Mais quelque part, il a fait pire que s'il avait jugé que ce principe n'existait pas, car sa décision signifie que même si ce PFRLR existait, il ne pourrait pas être invoqué pour censurer la loi. C'est ce que l'on peut déduire de ce passage du jugement :

[...] en accordant au gestionnaire d'un domaine national le pouvoir d'autoriser ou de refuser certaines utilisations de l'image de ce domaine, le législateur n'a ni créé ni maintenu des droits patrimoniaux attachés à une œuvre intellectuelle. Dès lors et en tout état de cause, manque en fait le grief tiré de la méconnaissance d'un principe fondamental reconnu par les lois de la République que les associations requérantes demandent au Conseil constitutionnel de reconnaître.

Le Conseil constitutionnel dit ici que le moyen soulevé par les deux associations est inopérant : même si l'existence du domaine public relevait d'un Principe Fondamental Reconnu par les Lois de la République, celui-ci s'opposerait simplement à ce que le législateur fasse renaître des droits patrimoniaux rattachés au droit d'auteur. Or ce n'est pas ce qu'a fait ici le législateur, puisqu'il fait certes renaître une couche de droits exclusifs sur le domaine domaine, mais d'une autre nature que le droit d'auteur. Donc implicitement, le Conseil constitutionnel nous dit que le législateur a bien la faculté de créer des « droits connexes » neutralisant l'effet du domaine public, mais à condition qu'il se place sur d'autres terrains juridiques que le droit d'auteur.

Il en résulte que le domaine public, au sens de la propriété intellectuelle, n'a donc plus qu'une existence « résiduelle ». Il peut exister et produire des effets, mais il faudra auparavant vérifier qu'aucune autre « couche de droits connexes », issus d'une autre législation, n'est applicable. Or cette hypothèse est loin d'être rare aujourd'hui en droit français, car on peut compter six ou sept dispositifs juridiques différents susceptibles d'interférer avec le domaine public. Pour donner un exemple, la loi Valter a conféré en 2015 aux établissements culturels (bibliothèques, musées, archives) la possibilité de faire payer les réutilisations commerciales des reproductions numériques qu'elles produisent à partir des œuvres de leurs collections, quand bien même celles-ci appartiennent au domaine public. Tout comme le droit à l'image des domaines nationaux de la loi Création, on sait à présent que cette nouvelle couche de droits verrouillant le domaine public ne pourra sans doute plus être contestée.

Ce qui est surprenant, c'est que le Conseil constitutionnel a choisi « d'inférioriser » le domaine public, alors même que des juges avaient développé une jurisprudence pour régler autrement les « conflits de lois ». Par exemple, dans une affaire impliquant la bande dessinée Les Pieds Nickelés, le tribunal de Grande Instance de Paris a jugé que l'on ne peut pas utiliser le droit des marques pour contourner l'extinction des droits patrimoniaux sur une œuvre. Il avait été jusqu'à déclarer le dépôt d'une marque sur le nom Les Pieds Nickelés comme « frauduleux », parce qu'il visait à empêcher une exploitation commerciale de l’œuvre passée dans le domaine public. Dans cette situation, le TGI a donc bien procédé à une hiérarchisation entre les différents droits en donnant la prééminence au domaine public.

Une portée néanmoins limitée

Tout n'est quand même pas complètement négatif dans la décision du Conseil constitutionnel, car il a assorti son jugement de plusieurs réserves d'interprétation, qui vont limiter la portée de ce nouveau droit à l'image.

La première concerne l'articulation avec les licences libres, sujet qui concerne au premier chef les wikipédiens. L'un des « dommages collatéraux » du dispositif est qu'il est susceptible d'empêcher de placer sous licences libres des photographies des monuments des domaines nationaux, car celles-ci autorisent par définition l'usage commercial. La loi Création instaure ainsi de manière paradoxale une sorte « d'anti-liberté de panorama » qui risquait d'empêcher d'illustrer les articles de Wikipédia relatif à ces monuments avec des images sous licence libre. Wikimedia France et La Quadrature ont donc également soutenu devant le Conseil que cette loi portait une atteinte disproportionnée à la liberté contractuelle et au droit des auteurs de photographies, en les empêchant d'utiliser des licences libres pour la diffusion. À cet argument, le Conseil constitutionnel a répondu ceci :

en l'absence de disposition expresse contraire, les dispositions contestées n'affectent pas les contrats légalement conclus avant leur entrée en vigueur. Par conséquent, le grief tiré de la méconnaissance du droit au maintien des contrats légalement conclus doit être écarté.

Cela signifie en substance que la loi Création ne remettra pas en cause la validité des licences libres déjà apposées sur des photographies de monuments des domaines nationaux et que le nouveau droit à l'image n’interférera qu'à partir de la date d'entrée en vigueur du texte. C'est une solution en demi-teinte, qui va constituer à l'avenir une entrave à l'usage des licences libres, mais il faut néanmoins prendre en considération qu'il existe déjà plusieurs centaines de photographiques de ces bâtiments sur Wikimedia Commons et des milliers si l'ont étend la recherche à l'ensemble du web (cliquez sur l'image ci-dessous pour le Château de Chambord par exemple).

Une simple recherche sur Google Images montre qu'il existe déjà des centaines et des centaines d'images du Château de Chambord sous licence libre sur laquelle la loi Création n'aura aucune prise.

Rappelons que toute cette affaire est née parce que les gestionnaires du domaine de Chambord voulaient trouver un moyen de faire payer la société Kronenbourg pour l'usage d'une photo du château dans une publicité. Mais suite à la décision du Conseil, Kronenbourg n'aura qu'à utiliser une des milliers de photos de l'édifice publiées avant 2016 sous licence libre et les gestionnaires ne pourront rien faire pour s'y opposer. C'est dire, si l'on prend en compte l'ensemble des domaines, que cette loi est déjà quasiment vidée de son sens et qu'elle ira sans doute grossir les rangs des textes inutiles - mais néanmoins ultra-nocifs - que le législateur français semble prendre un malin plaisir à accumuler en matière culturelle.

Par ailleurs, le Conseil a aussi tenu à limiter la possibilité pour les gestionnaires des domaines de refuser la réutilisation de l'image des bâtiments :

Compte tenu de l'objectif de protection poursuivi par le législateur, l'autorisation ne peut être refusée par le gestionnaire du domaine national que si l'exploitation commerciale envisagée porte atteinte à l'image de ce bien présentant un lien exceptionnel avec l'histoire de la Nation. Dans le cas contraire, l'autorisation est accordée dans les conditions, le cas échéant financières, fixées par le gestionnaire du domaine national, sous le contrôle du juge.

Contrairement à ce que l'on pouvait craindre, les gestionnaires ne pourront donc pas refuser arbitrairement la réutilisation de l'image des monuments, car le Conseil précise qu'il leur faudra apporter la preuve que cet usage porte atteinte à l'image de ce bien. C'est une forme de limitation non-négligeable à l'exercice de ce dispositif, mais cela va aussi avoir l'effet étrange de créer une sorte de « pseudo-droit moral » que les gestionnaires de domaines vont désormais pouvoir exercer. Il y a néanmoins une différence de taille, car normalement en droit d'auteur, les titulaires du droit moral ne peuvent le monnayer. Or ici, on voit qu'un mélange des genres peu ragoûtant va immanquablement s'opérer.

En effet, les gestionnaires des domaines ont le choix entre considérer qu'il y a une atteinte à l'image du monument et refuser la réutilisation ou bien ne pas voir l'usage comme une atteinte et le faire payer. En pratique, les gestionnaires de Chambord ont déjà montré que cette alternative induirait une appréciation à géométrie variable de l'intégrité, pour des raisons purement financières. S'ils ont estimé la réutilisation dans une publicité Kronenbourg incompatible avec l'intégrité de l'image du château, ils n'ont en revanche pas hésité à organiser une chasse aux œufs Kinder dans l'édifice pour une opération promotionnelle à Pâques... Il y a tout lieu de penser que ce qui a fait varier l'appréciation des gestionnaires, ce n'est pas le souci de préserver l'intégrité de l'image du domaine, mais le fait que Kinder a bien voulu sortir son chéquier, alors que Kronenbourg ne l'a pas fait.

La décision du Conseil nous permettra donc d'apprécier à l'avenir la tartuferie éhontée sur laquelle repose tout ce dispositif et on voit bien au passage que le législateur a bien entendu recréer une forme de droit patrimonial sur ces monuments.

Agir pour le domaine public au niveau législatif

Au final, cette décision du Conseil constitutionnel condamne-t-elle définitivement le domaine public à ne rester qu'un concept « résiduel » qui pourra être enseveli peu à peu sous des droits connexes par le législateur ?

Heureusement non, mais c'est précisément à l'échelon législatif qu'il faut à présent agir pour essayer de renverser cette tendance. En 2013, la députée Isabelle Attard avait déposé une loi visant à consacrer le domaine public, à élargir son périmètre et à garantir son intégrité. Ce texte garde aujourd'hui toute sa pertinence, et même davantage encore depuis la décision du Conseil constitutionnel, car l'un de ses buts était justement d'organiser - au niveau législatif - la reconnaissance et la prééminence du domaine public sur les droits connexes qui peuvent le neutraliser. Par ailleurs en 2016, lors des débats autour de la loi République numérique, une autre proposition avait été portée en vue de créer un « domaine commun informationnel » dont le but était de donner une définition positive du domaine public en renforçant sa protection.

Le Conseil constitutionnel a refusé de dire si l'existence du domaine public relevait ou non d'un Principe Fondamental Reconnu par les Lois de la République, mais qu'à cela ne tienne ! Une ou plusieurs lois peuvent renouer avec l'esprit initial des Révolutionnaires et reconnaître ces « droits du public » sur la Culture qui constituent l'essence du domaine public. En agissant de la sorte, la « malédiction de Chambord » pourra être conjurée et le domaine public redeviendra ce principe régulateur qu'il n'aurait jamais dû cesser d'être.

]]>
Loi données personnelles : dans l'apathie des débats, une envolée néo-libérale absurde10406 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180207_141003_Loi_donnees_personnelles___dans_l_apathie_des_debats__une_envolee_neo-liberale_absurdeWed, 07 Feb 2018 13:10:03 +0000Paris, 7 février 2018 - Hier soir, l'examen du projet de loi sur les données personnelles par l'ensemble des députés français a commencé. Après un premier passage très consensuel en commission de lois, les débats restent creux, animés seulement par quelques divagations néo-libérales absurdes.

Les députés En Marche semblent s'être entièrement soumis aux ordres du gouvernement : les principaux enjeux du débat - sur le renseignement administratif - ont été entièrement passés sous silence, niés. La gauche de l’hémicycle n'a d'ailleurs pas trouvé davantage de courage pour les traiter. Et il y a fort à craindre que la situation soit similaire au Sénat.

Le parlement s'en tient à des améliorations cosmétiques des nouvelles règles européennes, sans chercher à les renforcer pour leur donner toute leur envergure. Quant à les devancer pour garantir de nouveaux droits face à l'économie extractive de la donnée, il y a là un effort d'imagination et de détermination politique dont la plupart de nos représentants semblent tout bonnement incapables.

Quelques propositions utiles

Du côté des propositions utiles, on compte par exemple des amendements des députés En Marche qui entendent préciser la définition du « consentement » individuel à la collecte de données personnelles1, et notre amendement à ce sujet a été repris par les communistes et centristes2.

Ensuite et surtout, les communistes et la France insoumise proposent de supprimer de la loi une nouvelle autorisation donnée à l'administration lui permettant de prendre des décisions automatisées sur la base de traitement de données personnelles3. Cette nouvelle autorisation vient porter une remise en cause frontale d'un principe fondamental prévu dès ses origines par la loi informatique et libertés de 1978, et selon lequel aucune « décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé ». La France insoumise suggère également de soumettre à l'autorisation de la CNIL tout traitement réalisé pour une mission d'intérêt public4. Enfin, les communistes ont déposé notre amendement exigeant le chiffrement de bout en bout des communications5.

Des amendements absurdes

Des députés Républicains proposent d'empêcher radicalement la CNIL de rendre public le nom des entreprises qu'elle contrôle6 ou de mettre fin à un transfert de données vers un pays dont la loi ne protège pas suffisamment les données personnelles7.

Surtout, certains députés En Marche, perdus dans un délire libéral aussi extrémiste que lugubre, souhaitent transformer nos données personnelles en de simples marchandises, qu'il nous serait possible de céder pour accéder à un service sans avoir à payer en monnaie. Ainsi, nos droits fondamentaux à la vie privée et à la protection des données ne bénéficieraient plus qu'aux seules personnes qui, d'après eux, les méritent - les plus riches.

M. Bonnell, l'auteur de cet amendement, s'est empressé de faire publier au Monde, avec ses alliés ultra-libéraux également mus par une approche propriétariste, une tribune en soutien de son projet. Enchaînant les non-sens juridiques (en évoquant par exemple des « droits inaliénables » auxquels il faudrait pouvoir renoncer en échange de biens ou de services, ce qui revient pourtant précisément à les aliéner), les signataires de cette tribune espèrent simplement faire de chacun de nous les nouveaux ouvriers sous-payés de leur monde brutal et arrogant. Leur modèle est fondé sur une régulation de l'ensemble de la population, notamment grâce aux nouveaux moyens offerts par la technologie. En faisant de chacun le propriétaire de ses données, on essaye de convaincre « les masses » de consentir au grand jeu de dupe du capitalisme des plateformes. Mais la parodie de redistribution des richesses qu'ils proposent n'est qu'une pommade visant à occulter les maux profonds causés par ce modèle désormais dominant, dont la remise en cause radicale est à la fois urgente et nécessaire.

Heureusement, ni le Parlement européen, ni la CNIL, ni l'ensemble des CNIL européennes ne sont dupes, et s'opposent clairement à ce que l'accès à des biens ou services puisse être conditionné à la cession de données personnelles. Il faut donc y voir une tentative désespérée de semer la confusion avant l'arrivée, le 25 mai prochain, des changement majeurs que laisse espérer le règlement européen sur la protection des données. Mais en attendant, en France, ces inepties rétrogrades tendent à occulter les propositions positives visant à rétablir un contrôle démocratique sur nos libertés fondamentales.

  • 1. Voir les amendements 91 et 92.
  • 2. Voir les amendements 108 et 86.
  • 3. Voir les amendements 119 et 53.
  • 4. Voir l'amendement 63.
  • 5. Voir l'amendement 107.
  • 6. Voir l'amendement 161.
  • 7. Voir l'amendement 83.
]]>
Paris, 7 février 2018 - Hier soir, l'examen du projet de loi sur les données personnelles par l'ensemble des députés français a commencé. Après un premier passage très consensuel en commission de lois, les débats restent creux, animés seulement par quelques divagations néo-libérales absurdes.

Les députés En Marche semblent s'être entièrement soumis aux ordres du gouvernement : les principaux enjeux du débat - sur le renseignement administratif - ont été entièrement passés sous silence, niés. La gauche de l’hémicycle n'a d'ailleurs pas trouvé davantage de courage pour les traiter. Et il y a fort à craindre que la situation soit similaire au Sénat.

Le parlement s'en tient à des améliorations cosmétiques des nouvelles règles européennes, sans chercher à les renforcer pour leur donner toute leur envergure. Quant à les devancer pour garantir de nouveaux droits face à l'économie extractive de la donnée, il y a là un effort d'imagination et de détermination politique dont la plupart de nos représentants semblent tout bonnement incapables.

Quelques propositions utiles

Du côté des propositions utiles, on compte par exemple des amendements des députés En Marche qui entendent préciser la définition du « consentement » individuel à la collecte de données personnelles1, et notre amendement à ce sujet a été repris par les communistes et centristes2.

Ensuite et surtout, les communistes et la France insoumise proposent de supprimer de la loi une nouvelle autorisation donnée à l'administration lui permettant de prendre des décisions automatisées sur la base de traitement de données personnelles3. Cette nouvelle autorisation vient porter une remise en cause frontale d'un principe fondamental prévu dès ses origines par la loi informatique et libertés de 1978, et selon lequel aucune « décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé ». La France insoumise suggère également de soumettre à l'autorisation de la CNIL tout traitement réalisé pour une mission d'intérêt public4. Enfin, les communistes ont déposé notre amendement exigeant le chiffrement de bout en bout des communications5.

Des amendements absurdes

Des députés Républicains proposent d'empêcher radicalement la CNIL de rendre public le nom des entreprises qu'elle contrôle6 ou de mettre fin à un transfert de données vers un pays dont la loi ne protège pas suffisamment les données personnelles7.

Surtout, certains députés En Marche, perdus dans un délire libéral aussi extrémiste que lugubre, souhaitent transformer nos données personnelles en de simples marchandises, qu'il nous serait possible de céder pour accéder à un service sans avoir à payer en monnaie. Ainsi, nos droits fondamentaux à la vie privée et à la protection des données ne bénéficieraient plus qu'aux seules personnes qui, d'après eux, les méritent - les plus riches.

M. Bonnell, l'auteur de cet amendement, s'est empressé de faire publier au Monde, avec ses alliés ultra-libéraux également mus par une approche propriétariste, une tribune en soutien de son projet. Enchaînant les non-sens juridiques (en évoquant par exemple des « droits inaliénables » auxquels il faudrait pouvoir renoncer en échange de biens ou de services, ce qui revient pourtant précisément à les aliéner), les signataires de cette tribune espèrent simplement faire de chacun de nous les nouveaux ouvriers sous-payés de leur monde brutal et arrogant. Leur modèle est fondé sur une régulation de l'ensemble de la population, notamment grâce aux nouveaux moyens offerts par la technologie. En faisant de chacun le propriétaire de ses données, on essaye de convaincre « les masses » de consentir au grand jeu de dupe du capitalisme des plateformes. Mais la parodie de redistribution des richesses qu'ils proposent n'est qu'une pommade visant à occulter les maux profonds causés par ce modèle désormais dominant, dont la remise en cause radicale est à la fois urgente et nécessaire.

Heureusement, ni le Parlement européen, ni la CNIL, ni l'ensemble des CNIL européennes ne sont dupes, et s'opposent clairement à ce que l'accès à des biens ou services puisse être conditionné à la cession de données personnelles. Il faut donc y voir une tentative désespérée de semer la confusion avant l'arrivée, le 25 mai prochain, des changement majeurs que laisse espérer le règlement européen sur la protection des données. Mais en attendant, en France, ces inepties rétrogrades tendent à occulter les propositions positives visant à rétablir un contrôle démocratique sur nos libertés fondamentales.

  • 1. Voir les amendements 91 et 92.
  • 2. Voir les amendements 108 et 86.
  • 3. Voir les amendements 119 et 53.
  • 4. Voir l'amendement 63.
  • 5. Voir l'amendement 107.
  • 6. Voir l'amendement 161.
  • 7. Voir l'amendement 83.
]]>
Guide juridique : Internet en libre accès, quelles obligations ?10397 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180131_152813_Guide_juridique___Internet_en_libre_acces__quelles_obligations__Wed, 31 Jan 2018 14:28:13 +0000Paris, 31 janvier 2018 - Avec l'aide de La Quadrature du Net, le projet de recherche netCommons vient de publier un guide pratique destiné aux organisations qui fournissent un libre accès à Internet (bibliothèques, locaux associatifs, magasins...). Face aux zones d'ombre (parfois entretenues par les pouvoirs publics) qui entourent nos droits, c'est à chacune et chacun d'entre nous de les comprendre et de les faire respecter.

Nos droits à la liberté d'expression et à la protection des données ont dernièrement été l'objet de nombreux changements et débats. L'encadrement de la neutralité du Net, des données personnelles et des activités de surveillance, par les récentes lois et jurisprudences européennes, semblent être source de nombreux troubles et confusions.

L'actuel refus de l'Assemblée nationale de réviser la loi renseignement, ainsi que la lutte de longue haleine conduite par les Exégètes amateurs contre l'obligation de conserver les données de connexion en sont de saisissants exemples.

Ainsi, La Quadrature du Net travaille actuellement avec différents acteurs afin de proposer des guides juridiques cherchant tant à expliquer le droit qu'à en proposer une application constructive.

La première de ces collaborations a été avec le projet de recherche européen netCommons, qui vise à produire diverses analyses en faveur du développement de réseaux communautaires de télécommunications.

Télécharger le guide juridique Internet en libre accès (PDF, 4 pages)

Ce guide, initialement pensé pour répondre aux inquiétudes de bibliothécaires, aborde trois questions, concernant toute organisation qui fournit Internet en libre accès (par WiFi, câble ou poste fixe) :

  • Quels sites peuvent être bloqués ?
  • Quelles informations peuvent être collectées au sujet des utilisateurs et utilisatrices ?
  • Quelles informations doivent être collectées ?

Présenté avant-hier lors d'un événément organisé par l'Association des Bibliothécaires de France, ce guide compte s'enrichir des retours de celles et ceux amenés à répondre à ces questions sur le terrain (qui peuvent directement nous contacter). Il sera suivi d'autres guides, abordant d'autres sujets, vers d'autres publics.

Lutter pour changer la loi ne suffira jamais à protéger nos libertés. Il faut encore comprendre et faire respecter cette loi, et la défendre dès lors qu'elle nous protège. Ce devoir revient à toutes celles et ceux qui agissent au quotidien pour transmettre à tous les possibilités d’émancipation, de cohésion et de partage qu'Internet porte encore.

]]>
Paris, 31 janvier 2018 - Avec l'aide de La Quadrature du Net, le projet de recherche netCommons vient de publier un guide pratique destiné aux organisations qui fournissent un libre accès à Internet (bibliothèques, locaux associatifs, magasins...). Face aux zones d'ombre (parfois entretenues par les pouvoirs publics) qui entourent nos droits, c'est à chacune et chacun d'entre nous de les comprendre et de les faire respecter.

Nos droits à la liberté d'expression et à la protection des données ont dernièrement été l'objet de nombreux changements et débats. L'encadrement de la neutralité du Net, des données personnelles et des activités de surveillance, par les récentes lois et jurisprudences européennes, semblent être source de nombreux troubles et confusions.

L'actuel refus de l'Assemblée nationale de réviser la loi renseignement, ainsi que la lutte de longue haleine conduite par les Exégètes amateurs contre l'obligation de conserver les données de connexion en sont de saisissants exemples.

Ainsi, La Quadrature du Net travaille actuellement avec différents acteurs afin de proposer des guides juridiques cherchant tant à expliquer le droit qu'à en proposer une application constructive.

La première de ces collaborations a été avec le projet de recherche européen netCommons, qui vise à produire diverses analyses en faveur du développement de réseaux communautaires de télécommunications.

Télécharger le guide juridique Internet en libre accès (PDF, 4 pages)

Ce guide, initialement pensé pour répondre aux inquiétudes de bibliothécaires, aborde trois questions, concernant toute organisation qui fournit Internet en libre accès (par WiFi, câble ou poste fixe) :

  • Quels sites peuvent être bloqués ?
  • Quelles informations peuvent être collectées au sujet des utilisateurs et utilisatrices ?
  • Quelles informations doivent être collectées ?

Présenté avant-hier lors d'un événément organisé par l'Association des Bibliothécaires de France, ce guide compte s'enrichir des retours de celles et ceux amenés à répondre à ces questions sur le terrain (qui peuvent directement nous contacter). Il sera suivi d'autres guides, abordant d'autres sujets, vers d'autres publics.

Lutter pour changer la loi ne suffira jamais à protéger nos libertés. Il faut encore comprendre et faire respecter cette loi, et la défendre dès lors qu'elle nous protège. Ce devoir revient à toutes celles et ceux qui agissent au quotidien pour transmettre à tous les possibilités d’émancipation, de cohésion et de partage qu'Internet porte encore.

]]>
Le Conseil constitutionnel doit reconnaître l'existence du domaine public ! 10396 at https://www.laquadrature.nethttp://streisand.me.thican.net/laquadrature.net/index.php?20180126_113454_Le_Conseil_constitutionnel_doit_reconnaitre_l_existence_du_domaine_public___Fri, 26 Jan 2018 10:34:54 +0000Paris, le 26 janvier 2018 - Mardi 23 janvier, une audience s'est tenue au Conseil constitutionnel au sujet de la Question Prioritaire de Constitutionnalité (QPC) soulevée par les associations Wikimédia France et La Quadrature du Net pour faire annuler une des dispositions de la loi Création. C'est la création d'un nouveau droit sur l'image des monuments des domaines nationaux (Château de Chambord, Palais du Louvre, etc.) qui était ici contestée. Les deux associations soutiennent que cette mesure méconnaît plusieurs principes reconnus par la Constitution à commencer par l'existence du domaine public.

L'audience a été l'occasion pour Maître Alexis Fitzjean O Cobhthaigh, avocat des deux associations, de rappeler les arguments principaux déjà présentés devant le Conseil d'État1.

Le nouveau droit sur l'image des monuments des domaines nationaux doit en effet être censuré, car il méconnaît un Principe Fondamental Reconnu Par les Lois de la République (PFRLR) dont Wikimédia France et La Quadrature du Net demandent au Conseil c