la La quadrature du net

source: la La quadrature du net

Première sanction contre Google suite à nos plaintes collectives

Mon, 21 Jan 2019 16:13:22 +0000 - (source)

Le 28 mai dernier, La Quadrature du Net déposait devant la CNIL, au nom de 12 000 personnes, cinq plaintes contre Google, Apple, Facebook, Amazon et Microsoft. Depuis, la CNIL a décidé de traiter elle-même la plainte contre Google, alors que les autres sont parties devant les autorités irlandaise et luxembourgeoise (lire notre explication). À cela s’ajoutait une autre plainte déposée elle aussi devant la CNIL par nos amis de l’association autrichienne NOYB contre Android.

Aujourd’hui, la CNIL vient de sanctionner Google à hauteur de 50 millions d’euros, considérant que le ciblage publicitaire qu’il réalise sur son système d’exploitation Android n’est pas conforme au règlement général pour la protection des données (RGPD), la nouvelle loi européenne entrée en application le 25 mai 2018. Cependant, cette sanction n’est qu’une toute première partie de la réponse à notre plainte contre Google, qui dénonçait surtout le ciblage publicitaire imposé sur Youtube, Gmail et Google Search en violation de notre consentement.

Ainsi, la CNIL explique notamment le montant de sa sanction, très faible en comparaison du chiffre d’affaire annuel de près de 110 milliards de dollars de Google, du fait que le périmètre de son contrôle s’est limité aux « traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte à l’occasion de la configuration de son téléphone mobile sous Android » (par. 78). Nous attendons donc de la CNIL qu’elle réponde rapidement au reste de notre plainte, au sujet de Youtube, Gmail et Google Search, en imposant cette fois-ci une sanction d’un montant proportionné à cette entreprise ainsi qu’à l’ampleur et à la durée de la violation de nos droits (le montant maximal possible, que nous espérons, est de plus de 4 milliards d’euros, 4% du chiffre d’affaire mondial).

Par ailleurs, sur le fond, la CNIL a aujourd’hui sanctionné Android sur des arguments dont l’enjeu est assez faible : elle considère, à juste titre, que les informations que nous donne Google au moment de créer un compte ne sont pas clairement accessibles et que notre consentement n’est pas recueilli de façon explicite (par un acte positif de notre part) mais notamment au moyen de cases pré-cochées, ce que le RGPD interdit explicitement.

Certes, ce dernier argument était bien un de ceux que nous avions soulevés dans nos plaintes, mais nos plaintes visaient avant tout à trancher un autre débat, bien plus fondamental : que la CNIL reconnaisse que notre consentement n’est valide que s’il est librement donné. Que la CNIL explique clairement que Google ne peut pas nous obliger à accepter son ciblage publicitaire afin de pouvoir utiliser ses services.

Contrairement aux décisions rendues récemment par la CNIL au sujet d’entreprises françaises, la CNIL est aujourd’hui parfaitement muette à ce sujet, et nous le déplorons. Nous attendons donc d’elle qu’elle aborde frontalement ce sujet dans les décisions qu’elle doit rendre prochainement au sujet de Youtube, Gmail et Google Search.

Au passage, toutefois, notons que Google, au cours de la procédure, a prétendu qu’il exigeait systématiquement notre consentement pour nous cibler à des fins publicitaires, et ne se reposait pas sur une autre base légale (tel que « l’intérêt légitime » – voir notre plainte, p.10). Ces prétentions sont intéressantes, premièrement parce qu’elles contredisent le contenu même de la politique de confidentialité de Google (qui prétend pouvoir nous cibler sans notre consentement), mais aussi parce qu’elles laissent envisager un repli stratégique de la part de Google qui, dos au mur, pourrait enfin cesser de feindre d’ignorer entièrement le droit européen.

Un risque majeur demeure toutefois : pour échapper à des sanctions, Google a récemment modifié ses conditions d’utilisation. Celles-ci prétendent, à partir du 22 janvier, établir l’entreprise comme étant située en Irlande dans l’espoir d’empêcher la CNIL française de rendre des décisions telle que celle d’aujourd’hui (l’autorité irlandaise étant en sous-effectif et débordée de plaintes, Google peut espérer y faire traîner sa procédure pendant des années). Nous attendons de la CNIL qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre Youtube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise.

En conclusion, même si nous nous réjouissons d’une première sanction sur le fondement de nos plaintes collectives, notamment car la décision d’aujourd’hui vient couper court à la tentative de fuite en Irlande de Google, nous attendons surtout de la CNIL qu’elle prononce très prochainement la suite des décisions auxquelles notre plainte appelle. Ces décisions devront aborder frontalement la question du « consentement libre » et prévoir une sanction d’un montant proportionné à la situation, bien au delà de 50 millions d’euros.

Surtout, un grand merci au 12 000 personnes avec qui nous avons engagé ces plaintes contre les GAFAM et leur monde <3


La Quadrature du Net a encore besoin de vos dons

Wed, 19 Dec 2018 15:33:31 +0000 - (source)

Nous voici à la fin de la campagne de dons annuelle de La Quadrature du Net : cinq semaines que nous avons vécues au rythme des évènements thématiques organisés et des belles rencontres qu’ils nous ont permis de faire.

Nous y avons parlé des sujets qui sont au cœur de nos actions : la lutte contre la censure et la surveillance mais aussi contre l’emprise des GAFAM et de l’économie de l’attention sur nos vies.

Nous avons aussi parlé de ce qui nous guide au jour le jour : la vision d’un Internet libre, neutre et décentralisé, vision partagée par nombre de nos ami·es, à qui nous avons essayé de donner un peu la parole dans cette campagne, à travers diverses vidéos.1Pour voir, revoir ou diffuser autour de vous ces vidéos :
« Soutenons notre Internet »
« Contre la censure, la décentralisation »
« Notre Internet, nos câbles »
« Nos données ne sont pas des marchandises »
« Résistons à la surveillance »

Nous avons enfin beaucoup parlé d’un sujet crucial tant il menace l’Internet que nous aimons : la censure sécuritaire au prétexte de la lutte anti-terroriste.

Si la série d’évènements que nous avons organisés s’est achevée hier avec une inspirante soirée littéraire,2Pour retrouver les captations de plusieurs de ces soirées :
« Quel avenir juridique pour les hébergeurs ? »
« Capitalisme de surveillance »
« Soirée littéraire « le futur d’Internet »
les attaques contre nos libertés fondamentales se multiplient.
La lutte ne s’arrête donc pas là : ce dossier « censure sécuritaire » mais aussi les projets de « smart cities » technopolicières qui fleurissent partout dans le monde, et notamment en France, dessineront ce que seront les combats de La Quadrature du Net pour l’année à venir.

C’est pourquoi La Quadrature du Net a besoin de vous encore une fois. Notre objectif de campagne est loin d’être atteint : nous en sommes aujourd’hui à 45%, et la vie de l’association est assurée jusqu’en juin 2019. Ensuite, c’est flou. Les années précédentes, des événements d’actualité très forts, comme l’état d’urgence contre lequel nous étions très impliqués ou comme notre action collective contre les GAFAM ont relancé les dons en cours d’année, ce qui nous avait permis de boucler le budget. En 2019, nous partons en campagne contre la volonté de la France et de l’Union européenne d’augmenter la censure du Web sous prétexte de lutter contre le terrorisme. L’année sera difficile. Et sans votre aide nous ne pourrons pas mener à bien ce pour quoi nous sommes là : défendre au quotidien les libertés de chacune et chacun !

References   [ + ]


Reconnaissance faciale au lycée : l’expérimentation avant la généralisation

Wed, 19 Dec 2018 13:44:14 +0000 - (source)

Le 14 décembre dernier, le Conseil Régional de PACA a voté une mesure visant à faire installer, à partir de 2019, des dispositifs de reconnaissance faciale à l’entrée de deux lycées de Nice et de Marseille. Dès le mois d’octobre, La Quadrature du Net avait demandé à la CNIL la communication des documents en sa possession sur ce dossier, cette dernière ayant été consultée par la région pour la mise en place de ces dispositifs. L’analyse de ces documents, ainsi que les précisions apportées par Christian Estrosi, confirment l’impuissance de la CNIL à enrayer la banalisation d’une technologie particulièrement liberticide et qui vise ici à s’étendre à l’ensemble des établissements scolaires de la région.

Mise à jour (20 décembre 2018) – nous publions les documents suivants :

  • La réponse de la CNIL à notre demande
  • La lettre de Renaud Muselier présentant le projet à la CNIL
  • L’exposé détaillé du projet par la région
  • La demande de renseignements complémentaires par la CNIL à la région et la réponse de cette dernière

De quoi s’agit-il ? En octobre 2017, Renaud Muselier, président de la région PACA, demande les conseils de la CNIL pour la mise en place dans deux lycées de Nice et de Marseille de dispositifs de « portiques virtuels » associant « des moyens classiques d’identification (…) à un dispositif biométrique utilisant des technologies de comparaison faciale, seuls à même d’après nos premières investigations, d’apporter une solution fiable et rapide dans un contexte de contrôle d’accès portant sur un nombre potentiellement élevé de personnes ». Cette nouvelle étape est la suite logique de sa politique sécuritaire ayant conduit, entre 2016 et 2017, à ce que plus de 1 300 caméras de vidéosurveillance soient installées dans l’ensemble des lycées de la région. La technologisation à outrance est également présentée par la région comme une réponse au contexte d’austérité budgétaire :

Ce dispositif constitue une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs dans la fonction publique.

La région PACA présente ainsi à la CNIL son projet visant à « sanctuariser » les entrées et les sorties dans les établissements secondaires. Il s’agit non seulement de reconnaissance faciale mais également d’un dispositif de « suivi de trajectoire » de certains des visiteurs : un logiciel installé couplé à une caméra permet de détecter des points de comparaison faciale déterminés par un algorithme et de le comparer avec ceux stockés dans une base de données. Un écran mis à la disposition des agents de contrôle permet alors de visualiser trois types de profils : « vert » pour les personnes autorisées à pénétrer dans l’enceinte du lycée, « jaune » pour les personnes non identifiées et invitées à se présenter à l’accueil et « rouge » pour les personnes non identifiées et qui ne se sont pas dirigées dès leur entrée vers l’accueil.

Il est par ailleurs précisé qu’il s’agit pour l’instant d’une « expérimentation limitée dans le temps » et fondée sur le consentement explicite de volontaires au sein des établissements visés.

La CNIL impuissante face au développement de la reconnaissance faciale

Alors qu’elle avait appelé en septembre 2018 à un débat urgent sur ces nouveaux usages des caméras vidéo et qu’elle souligne elle-même les risques considérables d’atteinte aux libertés individuelles que cette technologie entraîne, la CNIL n’a opéré ici qu’un suivi très souple – voire accommodant – du projet.

Soulignons d’abord que, depuis l’entrée en vigueur du RGPD en mai 2018, les responsables de traitement de données personnelles n’ont en principe plus à réaliser de formalités auprès de la CNIL avant la mise en œuvre du traitement, tel qu’obtenir son autorisation dans certains cas. Le contrôle de l’autorité ne se fait qu’a posteriori, conformément au principe de responsabilisation des acteurs prévu dans le règlement. Tout au plus certains traitements, et c’est le cas pour la reconnaissance faciale, doivent-ils faire l’objet d’une analyse d’impact. Le consentement des utilisateurs est désormais censé fournir une base légale suffisante pour le déploiement de ces systèmes qui font pourtant entrer la surveillance dans une nouvelle ère. En supprimant le pouvoir d’autorisation de la CNIL s’agissant de ce type de dispositifs, le RGPD marque donc un recul pour les libertés.

Selon les documents qui nous ont été communiqués, la CNIL s’est donc contentée de demander des précisions complémentaires à la Région sur le dispositif envisagé et, sur certains points, de fournir des recommandations. C’est d’ailleurs suite à l’une de ces recommandations que la Région a décidé que le stockage des données biométriques ne se ferait pas sur une base de données mais sur un support individuel, sous le contrôle exclusif de la personne (en l’espèce, un badge) (comme c’est le cas pour ce qui existe déjà dans plusieurs aéroports où la photographie n’est stockée que dans le microprocesseur du passeport biométrique).

Ainsi, et contrairement à ce qui a été annoncé par une partie de la presse et par Christian Estrosi lui-même, la CNIL n’a pas donné son « feu vert » à ce dispositif mais a simplement accompagné la région dans sa mise en place.

Pourtant, en laissant se développer ce type de technologies à des buts sécuritaires, sans qu’il ne soit apporté à un seul moment la preuve de la pertinence d’un tel dispositif par rapport au système existant,1Il est ainsi seulement précisé dans les documents produits par la région, et cela sans aucune preuve ou réelle analyse, que « les nombreux incidents et agressions constatés aussi bien dans l’enceinte du lycée qu’à ses abords, ainsi que le contexte sécuritaire existant depuis les attentats terroristes de 2016, conduisent également à tenter de limiter les temps d’attente et les attroupements à l’extérieur des établissements aux moments de forte affluence (rentrées matinales notamment) » ou que « ce dispositif constitue une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs de la fonction publique. Il apporte une assistance aux personnels du lycée, qui peuvent ainsi mieux se concentrer sur les cas nécessitant une intervention humaine, et reporter leur vigilance sur les multiples situations menaçant la sécurité, en augmentant la présence humaine dans les lieux de vie de l’établissement. » sans même une réelle réflexion sur la nature du consentement que peuvent donner des mineurs à l’égard d’une expérimentation au sein de leur lycée,2Le courrier de la région précise à ce titre que « Les personnes volontaires (ou leur représentant légal pour les mineurs) doivent signer préalablement un formulaire de recueil de consentement expliquant la finalité de l’expérimentation, la durée de conservation des donnée ainsi que la manière d’exercer les droits Informatique et Libertés » la CNIL participe à la banalisation de ces technologies. Elle devient l’alibi au développement d’une surveillance généralisée qui sera au cœur des « Safe City » qui commencent à essaimer sur le territoire.

Un dispositif qui a vocation à s’étendre à toute la région

Car, sous le qualificatif faussement tranquillisant d’ « expérimentation » mis en exergue par Renaud Muselier et Christian Estrosi, ces derniers souhaitent en réalité, comme ils l’ont eux-mêmes énoncé lors de l’assemblée plénière du Conseil Régional, étendre ce dispositif de reconnaissance faciale à l’ensemble des lycées de la région :

Avec ces deux expériences, une fois que nous l’aurons démontré, nous irons très vite sur la généralisation, à partir du réseau de vidéosurveillance déjà existant, sur lequel il ne nous restera plus qu’à mettre le logiciel qui correspond à l’usage de la reconnaissance faciale par rapport aux caméras déjà installées dans nos établissements scolaires.

L’expérimentation des lycées de Nice et de Marseille s’inscrit donc en réalité parfaitement dans les divers projets que La Quadrature du Net dénonce depuis près d’un an, et qui sont d’ailleurs particulièrement avancés dans ces deux villes : « Observatoire Big Data de la tranquillité publique » à Marseille, « Safe City » à Nice… Cette actualité apparaît alors comme une nouvelle briqueau développement, toujours plus rapide et incontrôlable, de ces nouvelles technologies de surveillance (« Big Data », caméras « intelligentes », reconnaissance faciale…) au profit des municipalités et de leurs polices.

Un tel projet profitera par ailleurs pleinement à son maître d’œuvre, la société CISCO, qui finance entièrement cette expérimentation et qui s’occupera « dans un premier temps » de former les professeurs des lycées à ces nouvelles technologies. Cisco, acteur américain central de la « Safe City », et avec qui le gouvernement français avait déjà signé un partenariat important pour mener un projet de « Smart City » dans une ville française, se positionne dans un marché en plein essor. Il pourra pleinement tirer parti de cette occasion que lui donne la région de tester ses nouvelles technologies de surveillance dans nos établissements scolaires pour mieux la revendre plus tard, dans le cadre de marchés publics à vocation sécuritaire.

Alors qu’il y a plus d’un mois, nous appelions déjà la CNIL à imposer un moratoire sur le développement de ces technologies, cette dernière semble s’en tenir à une posture attentiste. Nous appelons les syndicats de lycéens et d’enseignants ainsi que les parents d’élèves et toutes celles et ceux révulsés par ces évolutions à s’organiser pour les tenir en échec.

References   [ + ]

1. Il est ainsi seulement précisé dans les documents produits par la région, et cela sans aucune preuve ou réelle analyse, que « les nombreux incidents et agressions constatés aussi bien dans l’enceinte du lycée qu’à ses abords, ainsi que le contexte sécuritaire existant depuis les attentats terroristes de 2016, conduisent également à tenter de limiter les temps d’attente et les attroupements à l’extérieur des établissements aux moments de forte affluence (rentrées matinales notamment) » ou que « ce dispositif constitue une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs de la fonction publique. Il apporte une assistance aux personnels du lycée, qui peuvent ainsi mieux se concentrer sur les cas nécessitant une intervention humaine, et reporter leur vigilance sur les multiples situations menaçant la sécurité, en augmentant la présence humaine dans les lieux de vie de l’établissement. »
2. Le courrier de la région précise à ce titre que « Les personnes volontaires (ou leur représentant légal pour les mineurs) doivent signer préalablement un formulaire de recueil de consentement expliquant la finalité de l’expérimentation, la durée de conservation des donnée ainsi que la manière d’exercer les droits Informatique et Libertés »

Résumé de nos arguments contre la surveillance française devant les juges européens

Thu, 13 Dec 2018 13:05:32 +0000 - (source)

La semaine dernière, nous avons déposé devant la Cour de justice de l’Union européenne nos dossiers contre le régime de surveillance français. Cet événement marque l’aboutissement de trois années d’analyses, de débats et de rédaction menés par La Quadrature du Net, FFDN et FDN, principalement au travers des Exégètes amateurs (un groupe de bénévoles qui, depuis quelques mois, ont intégré ces différentes associations pour y poursuivre leurs activités).

Depuis quatre ans que nous menons ce genre d’action, ce dossier contentieux est clairement celui qui aura mobilisé le plus d’énergie de notre part. Dans l’attente de la plaidoirie qui se tiendra dans plusieurs mois, et d’une décision qui pourrait bouleverser le droit français l’année prochaine ou la suivante, faisons le bilan de nos arguments.

En juillet dernier, nous vous faisions le récit de nos trois années de procédure devant les juges français. Depuis, tel que nous l’espérions, le Conseil d’État a accepté de poser à la Cour de justice de l’Union européenne cinq questions portant sur la conformité du régime français de surveillance au regard du droit de l’Union européenne (ces cinq questions ont été transmises par deux décisions rendues le 26 juillet 2018, une première portant sur la loi renseignement et une seconde sur la conservation généralisée des données de connexion).

Pour aider la CJUE à répondre à ces cinq questions, nous avons préparé deux dossiers avec FFDN et igwan.net. Il y a 15 jours, nous vous invitions à venir les relire pour les améliorer. Vous avez été des dizaines à le faire, rendant nos écritures plus claires et plus précises. Nous vous en remercions infiniment. Sincèrement !

Vous pouvez lire ces deux dossiers, ici (PDF, 20 pages) et ici (PDF, 17 pages). Ils ne sont pas très longs, mais leur prose reste assez technique. Nous en faisons donc ici un résumé que nous espérons plus accessible.

Contre la loi renseignement

Notre premier dossier, déposé par La Quadrature du Net, souhaite démontrer que la loi renseignement, adoptée en 2015, est largement contraire au droit de l’Union européenne et devrait donc être drastiquement modifiée pour ne plus permettre les abus qu’elle permet aujourd’hui.

Avant de rentrer dans le détail de nos arguments, rappelons brièvement ce à quoi nous nous attaquons.

Concrètement, la loi renseignement (codifiée au livre VIII du code de la sécurité intérieure) permet aux services de renseignement de réaliser les mesures suivantes :

Toutes ces mesures peuvent être réalisées sur simple autorisation du Premier ministre, sans autorisation préalable d’un juge ou d’une autorité indépendante. Pour être autorisées, il suffit qu’elles soient utiles à la défense de l’un des très nombreux « intérêts fondamentaux de la Nation » dont la loi dresse la liste (et qui ne se résument pas du tout à la seule lutte contre le terrorisme) – nous y reviendrons plus tard. De plus, ces mesures peuvent être prises contre n’importe quelle personne (suspectée ou non) du moment que sa surveillance est susceptible de révéler des informations utiles pour défendre ces « intérêts fondamentaux ».

Enfin, et cette fois-ci pour la seule finalité de lutte contre le terrorisme, l’administration peut aussi recueillir en temps réel des données de connexion et placer sur les réseaux des dispositifs (les fameuses « boites noires », détaillées ci-dessous) interceptant et traitant automatiquement les données acheminées afin de « détecter des connexions susceptibles de révéler une menace terroriste ».

Voilà pour ce que nous attaquons.

Quant à nos arguments, pour aller au plus simple, nous les résumerons à 5 idées : les « intérêts fondamentaux » pouvant justifier une mesure sont trop larges (1) ; les données collectées sont excessives comparées aux objectifs poursuivis (2) ; la loi n’encadre que la collecte des données, mais pas leur utilisation (3) ; les mesures de renseignement ne sont pas soumises à un contrôle indépendant efficace (4) ; nous ne pouvons pas vraiment agir en justice pour contester une mesure illicite (5).

1. Des « intérêt fondamentaux » trop larges

Les services de renseignement peuvent réaliser les mesures listées ci-dessus pour de nombreux « intérêts fondamentaux », que la loi définit comme comprenant la lutte contre le terrorisme mais aussi :
– la défense des « intérêts majeurs de la politique étrangère », ces intérêts étant discrétionnairement définis par le Gouvernement ;
– « l’exécution des engagement européens et internationaux de la France », notamment l’application des normes de l’Union européenne sur l’agriculture, la pêche, les transports, l’emploi, la culture ou le tourisme ainsi que les accords internationaux tels que l’accord de Paris de 2015 sur le climat ou la Convention de Genève de 1931 sur le droit de timbre en matière de chèque (pourquoi pas, après tout !) ;
– la défense des « intérêts économiques, industriels et scientifiques de la France », qui permet l’espionnage industriel et scientifique ;
– la prévention des « violences collectives de nature à porter gravement atteinte à la paix publique », couvrant notamment la lutte contre les manifestations, même non violentes, n’ayant pas été déclarées ou ayant fait l’objet d’une déclaration incomplète ;
– « la prévention de la criminalité et de la délinquance organisée », notamment la lutte contre l’acquisition illicite de stupéfiants, même par un individu seul qui n’agit pas en groupe.

Surveiller la population pour ces finalités est contraire au droit de l’Union européenne. D’abord, le contour de certaines de ces finalités peut être arbitrairement défini par le gouvernement (politique étrangère, engagements internationaux, intérêts économiques…), sans limite prévue dans la loi. De plus, le gouvernement se permet de surveiller la population pour des infractions mineures (par exemple des manifestations non déclarées ou achat à titre individuel de stupéfiants) alors que le droit de l’Union prévoit que, en matière de lutte contre les infractions, la surveillance n’est autorisée que pour lutter contre des crimes graves.

2. Des données excessives

Le droit de l’Union pose comme principe que seules les personnes présentant un lien avec une menace peuvent être surveillées. De plus, il interdit radicalement toute forme de surveillance de masse.

En droit français, comme vu plus haut, la règle est de surveiller n’importe qui pouvant fournir des informations utiles, peu importe que les personnes soient ou non en lien avec une menace. Surtout, la loi renseignement a autorisé deux mesures de surveillance de masse.

Premièrement, les services peuvent intercepter l’ensemble des « communications internationales » – il s’agit de communications dont l’émetteur et/ou le récepteur est situé en dehors du territoire français. Une fois les communications interceptées, toutes les données de connexion y afférentes (qui parle à qui, quand, etc.) peuvent être analysées au moyen de « traitements automatisés », et cela de façon « non individualisée » (donc en masse). De plus, le Premier ministre peut aussi autoriser l’analyse du contenu des communications internationales pour les « zones géographiques » ou les « groupes de personnes » qu’il désigne. Rien ne l’empêche de désigner un ou plusieurs pays comme « zones géographiques » ciblées.

Secondement, les « boites noires » peuvent intercepter et analyser des données (dont certaines sont particulièrement intimes – telle que l’adresse des sites visités) sur l’ensemble des populations utilisant les réseaux de télécommunication où elles sont déployées. Par exemple, rien n’empêche techniquement que le gouvernement pose des boites noires en divers points du réseau d’une grande ville pour analyser automatiquement qui parle avec qui, quand, qui consulte quoi, etc. Le but de ces dispositifs est de « détecter des connexions susceptibles de révéler une menace terroriste » : il s’agit donc d’une surveillance « exploratoire » qui, par nature, vise des personnes sur qui ne pèse aucun soupçon (le but étant de révéler des soupçons). Ces dispositifs sont couramment appelés « boites noires » car ce sont des machines fonctionnant de façon autonome, selon des critères et des méthodes informatiques gardées secrètes.

3. Des renseignements en libre-service

Le droit de l’Union européenne n’encadre pas que la collecte des données. Il exige aussi que l’utilisation ultérieure des données ne puisse être réalisée que pour des finalités légitimes, de façon proportionnée et selon une procédure adaptée.

En France, la loi renseignement ne s’est pas encombrée de telles règles, qui sont donc entièrement absentes, tout simplement ! Une fois que les renseignements ont été mis en fiches et en dossiers, plus aucune règle n’encadre leur utilisation. Ces informations peuvent même être transmises librement à des puissances étrangères qui, elles même, peuvent fournir à la France d’autres renseignements, sans aucune limite ou procédure prévues par la loi.

4. Un contrôle indépendant sans effet

La loi renseignement a prétendu confier à la Commission nationale de contrôle des techniques de renseignement (CNCTR) le soin de veiller à ce que les services de renseignement respectent la loi – ce que le droit de l’Union exige.

Pourtant, dès qu’on regarde un peu en détail, la CNCTR manque de tout pouvoir pour nous protéger effectivement contre des abus politiques. Elle n’est jamais que « avertie » pour pouvoir émettre des « avis non contraignants » sur les mesures prises contre la population. Si ses avis ne sont pas suivis – le gouvernement étant parfaitement libre de passer outre -, la CNCTR peut seulement saisir le Conseil d’État qui, plusieurs semaines ou plusieurs mois après qu’une personne ait été surveillée illégalement, pourra ordonner que la surveillance prenne fin – trop tard, donc.

De plus, symbole parfait de son manque de pouvoir, la CNCTR n’est pas autorisée à accéder aux renseignements fournis à la France par des puissances étrangères. Le gouvernement peut ainsi organiser tous les échanges imaginables avec ses alliés (du type « je surveille ton pays et tu surveilles le mien ») pour échapper à tout semblant de contrôle indépendant.

5. Une défense impossible

Le droit de l’Union prévoit que, pour pouvoir se défendre en justice contre une surveillance illégale, les personnes soient au moins prévenues des mesures qu’elles ont subies lorsque cela ne peut plus nuire aux enquêtes. Encore une fois, le droit français nous refuse parfaitement ce droit, pourtant indispensable au droit fondamental de contester en justice les actes du gouvernement pris contre nous.

Ce droit fondamental exige aussi, toujours d’après le droit de l’Union, que nous disposions des informations nécessaires pour contester la légalité d’une surveillance (pour quel motif avons-nous été surveillé, quand, pendant combien de temps, comment ?). Là, le gouvernement français a les pleins pouvoir pour classer les informations de son choix comme étant « secret-défense », nous empêcher d’y accéder pour nous défendre, et ce sans que le juge ne puisse les déclassifier – ce qui viole encore le droit de l’Union.

Enfin, et c’est sans doute la pire des atteintes à nos droits, nous ne disposons tout simplement d’aucune possibilité de contester en justice la légalité des mesures de surveillance internationale (la surveillance de masse des communications émises vers ou reçues depuis l’étranger).

Bref, sans pouvoir prédire lesquels de nos arguments seront retenus par la Cour de justice de l’Union européenne, il nous semblerait aberrant que des parties importantes de la loi renseignement ne soient pas déclarées comme violant le droit européen.

Contre la conservation généralisée des données de connexion

Notre second dossier (moins dense juridiquement), a été déposé par FFDN et igwan.net, représentant chacun des fournisseurs d’accès à Internet soumis à l’obligation de conserver pendant un an les données de connexion de l’ensemble de la population. Cette obligation s’impose aussi aux opérateurs téléphoniques et aux hébergeurs Web (pour savoir qui a publié quel contenu en ligne, à quelle heure, etc.).

L’argumentation juridique est ici plus simple : le régime français de conservation est frontalement contraire aux exigences européennes qui, tel que précisé par la Cour de justice depuis 2014, interdisent clairement aux États membre d’imposer aux acteurs du numérique de conserver des données de connexion sur l’ensemble de leurs utilisateurs, quelque soit la durée de cette conservation. D’autres États (Suède et Royaume-Uni) ont déjà été explicitement dénoncés par la Cour de justice comme ne respectant par le droit de l’Union sur ce point, en 2016. Mais la France et le Conseil d’État ont cru utile de reposer la question…

Leur argument principal est que la menace terroriste (qui justifierait la conservation généralisée des données de connexion) aurait augmenté depuis 2016. Sauf que, entre la période de 2015-2016 et celle de 2017-2018, le nombre de victimes du terrorisme en Europe a presque été divisé par quatre. De plus, les usages du numérique, ainsi que la loi, ont largement évolués, rendant encore moins utile l’obligation de conserver des données pendant un an.

Si la France veux amadouer la Cour de justice de l’UE afin que ses pouvoirs de surveillance soient épargnés, elle aurait mieux fait de commencer par réformer son droit qui, depuis quatre ans, viole frontalement celui de l’Union européenne.

Ce combat est celui qu’a initié la formation des Exégètes amateurs. Il a aussi marqué le début des actions de La Quadrature du Net devant les juges. Nous espérons connaître le même succès que celui obtenu par nos amis Digital Rights Ireland et Maximilian Schrems qui ont respectivement obtenu en 2014 et 2015 des décisions fondamentales de la Cour de justice de l’Union européenne en faveur de nos libertés et contre la surveillance de masse.


Le Parlement européen appelle à la censure automatisée et privatisée du Web à des fins sécuritaires

Wed, 12 Dec 2018 16:04:18 +0000 - (source)

Comme nous le redoutions lundi dernier, le Parlement européen vient d’adopter un rapport proposant, au prétexte de la lutte contre le terrorisme, de déléguer la censure du Web européen à Facebook et Google.

Pour rappel, ce rapport indique, parmi de nombreuses recommandations, qu’il serait nécessaire « de parvenir à la détection automatique et à la suppression systématique, rapide, permanente et complète des contenus terroristes en ligne » et d’empêcher « le rechargement de contenus déjà supprimés ». Le texte précise à ce titre qu’il se « félicite de la proposition législative de la Commission visant à empêcher la diffusion de contenus terroristes en ligne », « invite les co-législateurs à engager rapidement les travaux sur cette proposition » et « invite les États membres à mettre en place des mesures nationales si l’adoption de la législation en la matière est retardée » (§ 47).

Trois amendements auraient permis au Parlement européen de se démarquer de la volonté d’Emmanuel Macron et de la Commission européenne de soumettre l’ensemble du Web aux outils de censure automatisée développés par Google et Facebook, tel que nous le dénoncions avec 58 autres organisations.

Un premier amendement proposait que la censure des « contenus terroristes » ne se fasse pas de façon « automatique » ; cet amendement a été rejeté à 311 voix contre 269 (77 abstentions). Un deuxième amendement proposait que cette censure n’implique pas une activité de « détection » active des contenus, ni une suppression « systématique et rapide » ; il a été rejeté à 533 voix contre 119 (4 abstentions). Un troisième amendement proposait de ne pas imposer aux plateformes une obligation de « supprimer complètement » les contenus ; il a été rejeté à 534 voix contre 105 (14 abstentions).

La majorité des députés européens rejoint donc la volonté exprimée la semaine dernière par les gouvernements européens d’imposer une censure généralisée, privée et automatisée de l’Internet (lire notre article).

Le rapport adopté aujourd’hui ne prévoit que de simples « recommandations » : ce n’est qu’une sorte de déclaration de principe sans effet juridique. Toutefois, il laisse craindre que le Parlement ait déjà abandonné toute ambition de défendre nos libertés face aux arguments sécuritaires qui ont motivé la Commission européenne à proposer son règlement de censure anti-terroriste, que le Parlement européen examinera dans les semaines à venir.

Le vote d’aujourd’hui est d’autant plus inquiétant qu’il intervient à la suite d’une fusillade survenue hier à Strasbourg, dans la ville où siégeait le Parlement. Plutôt que de reporter ce vote1Nathalie Griesbeck (ALDE), présidente de la commission TERR, a expliqué avoir envisagé de reporter le vote suite à l’attaque d’hier mais avoir finalement considéré que cette occasion justifiait l’adoption du texte., les députés ont préféré adopter immédiatement le texte. Certains ont même évoqué l’attaque d’hier pour justifier leur volonté sécuritaire2Parmi les députés ayant fait un lien entre l’attaque d’hier à Strasbourg et le rapport adopté aujourd’hui, nous pouvons citer : Monika Hohlmeier (EPP), co-rapporteure sur le texte, qui a déclaré après le vote : « Yesterday’s attack on the Christmas market in Strasbourg was an attack on European citizens and the common EU values and principles in the worst possible way. The incident has shown us again that we need to leave empty slogans and unrealistic measures behind and concentrate our activities on what really makes Europe safe. […] This means […] more prevention measures against radicalisation […] ». Frédérique Ries (ALDE), sur Twitter : « C’est un Parlement bouleversé par l’attaque du marché de Noël #strasbourg d’hier soir qui adopte les recommendations de la commission spéciale sur le #terrorisme. Du choc aux votes, l’UE doit se protéger contre cette haine si destructrice. », « Renforcement d’Europol, des mesures concrètes pour la lutte contre la #radicalisation et l’apologie du terrorisme, un système européen de surveillance de financement du #terrorisme figurent parmi les recommendations phares de ce rapport ». De son côté, Julian King, commissaire européen à la Sécurité de l’Union, commentait sur Twitter : « Solidarity this morning with all those affected by the odious attack in #Strasbourg. The work we’re doing to support the authorities to tackle radicalisation, help victims and reinforce security is as relevant as ever. », invoquant un « risque de terrorisme islamiste » alors que l’auteur des violences n’a pas encore été arrêté et que l’enquête en est à peine à ses débuts.

Comme d’habitude, malheureusement, le temps de l’apaisement et de la réflexion, et même du deuil, a été écarté pour avancer à marche forcée sur les voies sécuritaires et destructrices que nos dirigeants poursuivent depuis des années en prétendant défendre la démocratie contre le totalitarisme. Tout en faisant l’inverse.

Désormais, les débats au Parlement européen concerneront directement le règlement de censure antiterroriste. Vous pouvez lire notre dernière analyse plus complète sur ce texte, qui sera notre dossier principal dans les mois à venir.

References   [ + ]

1. Nathalie Griesbeck (ALDE), présidente de la commission TERR, a expliqué avoir envisagé de reporter le vote suite à l’attaque d’hier mais avoir finalement considéré que cette occasion justifiait l’adoption du texte.
2. Parmi les députés ayant fait un lien entre l’attaque d’hier à Strasbourg et le rapport adopté aujourd’hui, nous pouvons citer : Monika Hohlmeier (EPP), co-rapporteure sur le texte, qui a déclaré après le vote : « Yesterday’s attack on the Christmas market in Strasbourg was an attack on European citizens and the common EU values and principles in the worst possible way. The incident has shown us again that we need to leave empty slogans and unrealistic measures behind and concentrate our activities on what really makes Europe safe. […] This means […] more prevention measures against radicalisation […] ». Frédérique Ries (ALDE), sur Twitter : « C’est un Parlement bouleversé par l’attaque du marché de Noël #strasbourg d’hier soir qui adopte les recommendations de la commission spéciale sur le #terrorisme. Du choc aux votes, l’UE doit se protéger contre cette haine si destructrice. », « Renforcement d’Europol, des mesures concrètes pour la lutte contre la #radicalisation et l’apologie du terrorisme, un système européen de surveillance de financement du #terrorisme figurent parmi les recommendations phares de ce rapport ». De son côté, Julian King, commissaire européen à la Sécurité de l’Union, commentait sur Twitter : « Solidarity this morning with all those affected by the odious attack in #Strasbourg. The work we’re doing to support the authorities to tackle radicalisation, help victims and reinforce security is as relevant as ever. »

Le Parlement européen s’opposera-t-il à la censure sécuritaire ?

Mon, 10 Dec 2018 14:26:01 +0000 - (source)

Le 12 décembre, le Parlement européen votera le « rapport sur les observations et les recommandations de la commission spéciale sur le terrorisme ». S’il est adopté, ce texte, sans avoir l’effet d’une loi, recommandera l’adoption de mesures prévues dans le règlement de censure antiterroriste : la sous-traitance de la censure aux géants de l’Internet et le contournement des juges nationaux (lire notre dernière analyse).

La Quadrature du Net envoie aux députés du Parlement européen le message suivant, leur demandant de voter le rejet de ce rapport :

Chers députés du Parlement européen,

Le mercredi 12 décembre prochain, vous voterez le « rapport sur les observations et les recommandations de la commission spéciale sur le terrorisme ».

Ces recommandations prônent des mesures sécuritaires absurdes qui porteraient atteinte aux libertés fondamentales. De manière plus précise, ce rapport prône l’adoption des mêmes mesures que celles prévues dans le règlement de censure antiterroriste, qui sera débattu dans quelques semaines au Parlement : la remise en cause du chiffrement de bout en bout, la délégation de la censure aux géants de l’Internet et le pouvoir donné aux polices européennes de contourner les juges nationaux (points BD, BH, 47, 113 et 125). Pour l’ensemble de ces raisons, nous vous demandons de voter le rejet de ce rapport.

Utilisant le prétexte de la lutte contre la radicalisation en ligne, ces mesures suggérées par le rapport et inscrites dans le règlement de censure antiterroriste imposeront de nouvelles obligations à l’ensemble des acteurs de l’Internet : hébergeurs de site, de blog et de vidéo, forum et réseaux sociaux, sites de presse, fournisseurs de mail et de messagerie, etc.

Alors que la Commission européenne et les gouvernements européens ne démontrent de façon étayée ni l’efficacité ni la nécessité de ces obligations pour lutter contre le terrorisme, vous souhaitez imposer aux acteurs d’Internet d’agir sur des contenus dont la dangerosité n’aura été évaluée par aucun juge et ce dans des délais extrêmement courts.

Ces obligations sont porteuses de graves dangers pour l’ensemble de l’écosystème numérique européen. En effet, les moyens économiques, humains et techniques requis pour exécuter les obligations envisagées sont tout simplement hors de portée de la quasi-totalité des acteurs : très peu sont ceux qui seront en mesure de répondre 24h/24h, 7j/7 et en moins d’une heure aux demandes de retrait de contenu provenant de n’importe quelle autorité d’un État membre de l’Union. De la même manière, les mesures de surveillance et de censure automatisées que les autorités nationales pourraient imposer en vertu du texte seront totalement impraticables.

Ainsi, pour se plier à ces nouvelles contraintes, les acteurs économiques de petites et moyennes tailles ne pourront que sous-traiter l’exécution des demandes de retrait et la censure automatisée aux quelques grandes entreprises qui, en raison de leur puissance financière, seront capables de les prendre en charge, Google et Facebook en tête, cette sous-traitance étant porteuse d’une dépendance économique et technique gravement préjudiciable à l’économie numérique européenne.

Quant aux acteurs associatifs et collaboratifs à but non lucratif, ils n’auront d’autres choix que de cesser leurs activités.

Ce règlement appauvrira donc radicalement la diversité numérique européenne et soumettra ce qu’il en reste à une poignée d’entreprises qui sont déjà en situation de quasi-monopole et dont il faudrait au contraire remettre en cause l’hégémonie (lire notre dernière analyse).

Enfin, ce règlement conduirait à une surveillance généralisée de nos échanges en ligne et une censure privée et automatisée de l’information.

Pour l’ensemble de ces raisons, La Quadrature du Net, avec 58 autres acteurs de cet écosystème et défenseurs des libertés fondamentales, avons déjà demandé à Emmanuel Macron de renoncer à son projet de règlement de censure antiterroriste.

Nous vous demandons donc de rejeter ce rapport pour mettre dès maintenant un frein à cette volonté absurde de déléguer la censure de l’Internet aux géants du Web et de permettre à toutes les polices de l’Union européenne de contourner les juges nationaux.

Les parlementaires qui refuseront de protéger les libertés fondamentales et l’écosystème numérique européen seront affichés publiquement.


Not Safe For (sex)Work

Mon, 10 Dec 2018 12:32:07 +0000 - (source)

Tribune de okhin

Les dirigeants de Tumblr ont publié le 3 Décembre 2018 un communiqué de presse annonçant une mise à jour de leurs conditions générales d’utilisation, signifiant qu’ils retirent tout contenu classifié comme adulte. Ils justifient leur décision par la décision unilatérale et sans appel d’Apple de supprimer l’application de leur AppStore. Décision motivée par le fait que Tumblr n’ait pas réussi à détecter des images de pédopornographie, en dépit des filtres automatisés déjà existant.

J’ai voulu rédiger quelque chose de construit, essayant de donner le contexte dans lequel cette suppression de contenu s’opère, hors de tout cadre légal (autre que celui des conditions générales d’utilisation d’Apple). J’ai voulu essayer de donner des arguments, de faire les liens entre sexualité, pornographie et identité de genre, mais au final ce n’est pas ce qui est important. Et énormément de monde — y compris sur Tumblr — a déjà écrit à ce sujet, et bien mieux que je ne pourrais le faire ici. Je vous invite d’ailleurs à aller lire ce que les premières concernées en disent comme, par exemple, cette Lettre d’amour à Tumblr écrite par Vex ou ce coup de gueule par Romy Alizée.

Voilà Tumblr qui supprime le contenu qui a fait son intérêt, sa spécificité, détruisant le travail fait par de nombreuses personnes minorisées, que ce soit par racisme, homophobie, misogynie, transphobie et/ou un mélange de tout cela. Ce travail permet à ces communautés d’exister, de vivre, de s’éduquer et d’échanger dans un cadre dans lequel elles ne sont pas mises en danger (notamment grâce au pseudonymat et au multi compte). Il permet aussi à de nombreuses personnes de travailler, qu’il s’agisse d’acteurs ou d’actrices cherchant à faire ce qu’elles ont envie hors des gros studios de porno hétéronormés, d’escort ou d’autres formes de travail sexuel. Il permet enfin de parler de sexualité, de permettre aux personnes en questionnement de se poser ces questions, d’essayer de comprendre comment se positionner dans ce monde, d’explorer leur corps, leur sexualité ou de poser des questions pratiques. Ou juste de se faire des amies qui partagent un bout de leurs galères quotidiennes… face à tout ce que Tumblr s’apprête à détruire, je me suis naïvement dit que cela ferait réagir, que le débat irait plus loin que la seule question du porno.

Mais la plupart des sites d’informations, quand ils en parlent, ne parlent pas de sexualité. Ou de travail sexuel. Le porno y est indiqué comme étant scanné pour lutter contre la pédopornographie. Reprenant donc les arguments de Christine Albanel en 2005, lors des débats HADOPI, ou ceux des associations familiales catholiques voulant défendre et protéger les enfants du grand méchant pornographe, celui-ci étant de toutes façons lié au puissant lobby LGBT d’après elles.
Pas de remise en contexte. Pas de liens effectués avec des actions similaires menées par Alphabet, Patreon, Kickstarter ou la plupart des plateformes de financement participatif qui, sous couvert de lutter contre la pornographie, empêchent des actrices de financer des soins dont elles ont besoin et qui n’ont aucun rapport avec leur travail, les mettant ainsi délibérément en danger.

Et quand, avec La Quadrature, on essaye de dire que l’on ne peut pas traiter les plateformes géantes telles que Tumblr de la même manière que les initiatives libres et distribuées, parce qu’elles effectuent de fait une sélection éditoriale et suppriment de l’espace public toute forme d’expression ne correspondant pas à leurs cibles commerciales ou à leur vision puritaine du monde — les deux étant apparemment compatibles, nous ne sommes pas à un paradoxe près — on nous dit que l’on veut abandonner les utilisateur·rice·s de ces plateformes.

Pourtant ce sont ces plateformes qui, non seulement invisibilisent et suppriment de l’espace public ces utilisateur·rice·s que nous « abandonnons », utilisant des systèmes arbitraires et ayant de nombreux faux positifs, tout en empêchant tout recours effectif contre la suppression de contenus, ou en coupant une source de revenus pour certaines activistes queer, féministe ou afroféministes. Ce sont ces plateformes qui nous imposent leur ordre moral hétérosexuel, patriarcal, blanc.
À en lire la presse, c’est juste un problème de filtrage d’Internet.

Et j’en ai marre. Je suis énervé. Je suis énervé de devoir justifier que j’existe, que mes ami·e·s existent, que nous avons le droit d’exister dans l’espace public. Je suis fatigué de devoir encore et toujours expliquer l’effet de réseau rendant socialement impossible la migration vers d’autres plateformes et donc l’importance de pouvoir socialiser sur ces plateformes pour des personnes souvent isolé·e·s dans un milieu hostile. Je suis fatigué que l’obligation de s’identifier, avec une seule identité, correspondant à votre état civil, ne soit pas débattue et que l’on se contente de vouloir distribuer. Je suis fatigué de lire « t’as qu’à aller sur mastodon » ou que c’est juste un effet de bord pour lutter contre la pédophilie, assimilant éducation sexuelle et pédophilie.

Après tout si, pour protéger les enfants, il est acceptable de taper un peu large et de supprimer toute forme de contenu parlant de sexualité, il devrait être acceptable de supprimer tout le contenu d’incitation à la haine raciale, au génocide, à l’appel aux meurtres de femmes et de queers, quitte à ce que tout contenu politique disparaisse ? Au delà du fait qu’il reste à prouver que la suppression de contenu est effectivement une méthode efficace de lutte contre la pédocriminalité organisée, ou du fait qu’on ne parle que des enfants victimes de ces crimes, et non de n’importe quelle personne victimes de violence sexuelle, s’il est acceptable de supprimer automatiquement tout contenu adulte pour lutter contre la pédophilie, alors il est acceptable de supprimer tout contenu politique pour lutter contre la haine de l’autre, non ?

C’est d’ailleurs ce qui se produit sur de nombreuses plateformes. Les comptes de personnes minorisées et militantes sont régulièrement fermés alors qu’elles sont victimes de harcèlement, les auteurs de ces harcèlement profitant d’une impunité de fait fournie par ces plateformes. Ces plateformes qui s’excusent régulièrement, promis, la prochaine fois, elles feront tout pour que leur communauté puisse s’exprimer sereinement. Quitte à récupérer sans aucune gène les luttes de ces personnes afin de se donner une image cool, respectable. Alphabet qui empêche les queers de monétiser leur contenu mais qui, dans le même temps, lors des marches des fiertés, affiche son soutien à la communauté LGBT en est l’exemple parfait.

Suppressions justifiées, une fois encore, non pas par des décisions de justice, mais par un principe de précaution. Suppressions effectuées en amont, par des filtres à l’upload, donnant à ces plateformes un rôle éditorial. Suppressions effectuées par des machines, entraînées à distinguer les tétons d’apparence féminine des autres. Suppressions qui, inévitablement, amènent à la disparition du corps des femmes de l’espace public. Suppressions qui, à cause des biais sexistes et racistes, se fera en utilisant une référence définissant ce qu’est une femme, ce qui est une représentation acceptable d’une femme en ligne, effaçant encore et toujours les femmes non blanches, ou ne correspondant pas au canon établi par ces filtres pseudo-intelligents.

On entend beaucoup de gens dire qu’il est inacceptable de supprimer du contenu incitant à la haine, du contenu posté par des personnes se définissant elles-mêmes comme des nazis. Je suis d’accord, parce que supprimer ce contenu est une tâche complexe, nécessitant entre autre des mises en contexte rigoureuses de propos tenus. C’est un travail nécessitant aussi une part d’archivage, et encore une fois, il n’est pas prouvé que la suppression du contenu seul ait un effet quelconque sur la diffusion des idées.

Les néo nazis, les réacs, les pro-BREXIT ou la Manif Pour Tous ont le droit aussi d’exister en ligne. Oui. Absolument. Notamment parce que cela facilite le travail de la police et de la justice. Mais ce que font les GAFAMs et les principaux sites de médias en ligne, n’est pas assimilable au simple fait d’exister. Ce que font les GAFAMs, c’est choisir quels contenus sont mis en avant, permettant même à chaque personne de les sponsoriser pour les diffuser vers un plus grand nombre de personnes. Ce que font les GAFAMs, ce n’est pas vivre et laisser vivre. C’est s’assurer que certains contenus soient vus par le plus grand nombre. C’est s’assurer que certains contenus ne soient jamais vus par personne. Ces entreprises, qui récupèrent petit à petit le contrôle sur l’ensemble des infrastructures, des contenus, des standards de communication, qui n’ont aucune légitimité pour décider du contenu qui a le droit d’exister, n’ont pas un simple rôle passif d’hébergement, mais un rôle actif d’éditorialisation du contenu.

Ces décisions de supprimer tel ou tel contenu, de classifier, d’empêcher certaines personnes de financer leurs projets ou de gagner un peu mieux leur vie, ces décisions sont politiques. Elles définissent le discours acceptable, elles définissent la seule culture devant exister, leur positions hégémonique empêchant toute existence hors de leur sphère d’influence. Ces décisions politiques doivent être considérées comme telles, et ces entreprises doivent etre responsables de leurs décisions, de même qu’un journal, et non ses auteurs individuels, est responsable du contenu qu’il publie.

Donc je suis énervé. Pas tellement contre Tumblr ou Apple au final, ils ne sont que le reflet de notre société. J’entends des « Apple protège ma vie privée ». Mais uniquement si vous ne parlez pas de cul, de sexualité, que vous ne travaillez pas autour de le sexualité, que vous n’êtes pas queer. Parce qu’à ce moment-là, vous n’existez plus.

Je vais donc le dire, encore une fois : le problème ce n’est pas le filtrage automatisé. Le problème ce n’est pas qu’aucun juge ne prenne plus de décisions, permettant au moins de contextualiser le contenu. Le problème c’est de considérer l’invisibilisation des minorités sexuelles, des femmes, des noirs, des musulmans, etc … du simple point de vue du filtrage et de la responsabilité des plateformes sans remettre tout cela dans un contexte politique.

Du coup, que faire ? est-ce qu’on a des choses à proposer ? En l’état des choses, pas vraiment. La solution de la distribution est un premier pas, mais ne résout pas le problème sous-jacent de la gestion d’un espace public commun. Au lieu de déléguer le pouvoir à une entreprise multinationale, on le délègue à une communauté de personnes. Effectivement, n’importe qui peut monter un service ActivityPub, mais tout le monde ne le fait pas. Et est-ce que vous pouvez vraiment faire confiance à des « amis » sur le fait qu’ils résisteront à toute forme de pression policière ? La réponse est non, même si ils sont les mieux intentionnés. Au mieux, ils suspendront le service, vous forçant à trouver une autre plateforme et recommençant encore une fois le même cycle.

D’autant qu’avoir un nom de domaine identifié, public, connoté, associé à une activité peut poser plus de problèmes qu’aller sur facebook et peut, dans malheureusement trop d’endroits, avoir des conséquences très concrètes sur notre sécurité. Et la plupart des alternatives nécessitent en plus une identification forte. Prenons le cas de Signal par exemple. Si je ne veux pas que quelqu’un puisse me joindre au-delà d’une conversation, je suis obligé de changer de numéro de téléphone. Et donc de devoir prévenir tous mes contacts avec qui je veux maintenir un contact que j’ai changé de numéro de téléphone.

Il n’y a pas, à ce jour, de plateformes logicielles et grand public permettant à des enfants, adolescents, jeunes adultes et adultes de se questionner sur leur orientation sexuelle sans être immédiatement détectés soit par leur FAI, soit par l’hébergeur de l’application — et donc Amazon, étant donné qu’une part de plus en plus grande d’applications et de systèmes de communications est hébergée chez eux. Il n’existe aucune plateforme ne nécessitant pas de compte ou d’informations pouvant identifier l’utilisateur·ice, aucune plateforme permettant d’effectuer des transactions bancaires entre deux personnes sans intermédiaire technique ou sans révéler l’identité des deux parties, il n’existe pas non plus d’applications sur lesquelles on peut envoyer des photos de nus et garantir que l’image ne soit pas facilement republiable en ligne.

Il y a du travail dans cette direction, mais on en est au stade de la recherche, encore loin d’avoir quelque chose de fonctionnel. Des applications telles que Briar, ou Cwtch, vont dans la bonne direction à mon sens, mais j’aimerais que les personnes qui développent les futures infrastructures de communications qui remplaceront les GAFAMs quand on aura fini par les mettre à terre, se posent la question de pouvoir répondre aux problèmes auxquels nous, membres de minorités, faisont face quotidiennement pour avoir simplement eu l’outrecuidance d’exister.


Alors que la contestation nourrie par le mouvement des gilets jaunes grandit, alors qu’enflent les rumeurs d’une possible censure du mouvement par Facebook1Précision : nous n’avons actuellement connaissance d’aucun élément factuel indiquant que Facebook mettrait ou non en œuvre une censure visant spécifiquement les gilets jaunes. Cet article est une simple analyse juridique., livrons-nous à un peu de politique-fiction : comment la future loi de censure antiterroriste que la France cherche à imposer à l’Union européenne s’appliquerait-elle à des mouvement sociaux tels que celui des gilets jaunes ?

C’est un texte dont personne ne parle ou presque, et il est pourtant fondamental pour l’avenir des libertés publiques à l’échelle de l’Europe entière. Présenté au mois de septembre, il s’agit du règlement européen dédié à « la prévention de la diffusion de contenus à caractère terroriste en ligne ».

L’article 4 du règlement permet aux autorités publiques de demander directement à n’importe quel hébergeur le retrait d’un contenu relevant de l’apologie du terrorisme. En pratique, cela entérine la situation qui prévaut dans tous les pays réprimant l’apologie ou la provocation au terrorisme. Ainsi en France, depuis 2015, le ministère de l’Intérieur est compétent pour censurer la provocation ou l’apologie du terrorisme sur Internet (si l’hébergeur n’empêche pas l’accès au contenu visé sous 24 heures, alors le blocage de l’ensemble du site peut être mis en place par les fournisseurs d’accès à Internet français). Le tout sans aucun contrôle judiciaire préalable, dans le cadre d’une procédure secrète. Ainsi, en 2015, la France est devenue (devant l’Inde et la Turquie) le pays qui a obtenu le plus grand nombre de suppressions de pages Facebook (38 000 suppressions en un an, pendant que l’Allemagne ou Israël n’en obtenaient que 500).

Là où le règlement européen « innove » radicalement, c’est qu’il impose qu’un tel retrait par les hébergeurs intervienne en un délai record de une heure, sous peine de sanctions financières. Il prévoit aussi de passer par une voie encore plus discrète pour censurer ces contenus : les « mesures proactives », ces outils de censure automatique déjà développés par les grandes plateformes comme Facebook ou YouTube et qui pourront être paramétrés en concertation avec les autorités (article 6 du règlement). Comme nous l’avons déjà expliqué (lire notre analyse plus complète), le futur règlement européen prévoit de généraliser ces outils à l’ensemble des acteurs du Web (non seulement Facebook et YouTube mais aussi OVH, Gandi, NextCloud, Mastodon, etc.), voire même aux outils de messagerie (WhatsApp, Signal, Télégram, Protonmail, etc.)2Notons ici une légère évolution depuis notre dernière analyse concernant les risques pour la confidentialité de nos communications. Dans la version du règlement actée hier par le Conseil de l’UE, le considérant 10 a été modifié et semble tenter d’exclure du champ d’application de ce texte les services de communications interpersonnelles : « Interpersonal communication services that enable direct interpersonal and interactive exchange of information between a finite number of persons, whereby the persons initiating or participating in the communication determine its recipient(s), are not in scope ».
Cette précision est toutefois particulièrement hasardeuse et n’a rien de rassurante. D’abord, la précision n’est nullement reprise à l’article 2 du règlement qui définit les différentes notions du texte. Surtout, cette précision n’est pas cohérente : les « service de communications interpersonnelles » sont déjà définis par le code européen des communications électroniques (article 2 et considérant 17), comme pouvant alors couvrir certains services de Cloud (où un nombre limité d’utilisateurs peuvent échanger des documents, typiquement). Pourtant, la version du règlement actée aujourd’hui indique explicitement s’appliquer aux services de Cloud, tout en prétendant ne pas s’appliquer aux communications interpersonnelles. La confusion est totale.
. Concrètement, tous les acteurs du numérique devront développer des « mesures proactives pour protéger leurs services contre la diffusion de contenus à caractère terroriste ».

Mais du coup, c’est quoi, un « contenu à caractère terroriste » ?

L’article 2 du règlement explique que les contenus auxquels le texte s’appliquera sont des textes, images ou vidéos qui « provoquent à la commission », « font l’apologie », « encouragent la participation » ou « fournissent des instructions sur des méthodes ou techniques en vue de la commission d’infractions terroristes ». Tout repose donc sur ces « infractions terroristes », définies par le droit de l’Union à l’article 3 de la directive 2017/541.

La liste est longue. On y retrouve évidemment les meurtres visant à terroriser la population. Mais aussi des actes plus éloignés et moins attendus, tels que le fait de « provoquer une perturbation grave ou une interruption » d’un système informatique (un ordinateur, un site Web…) ou de « causer des destructions massives […] à un lieu public ou une propriété privée, susceptible […] de produire des pertes économiques considérables ». Pour être qualifiés d’infractions terroristes, ces actes doivent être commis dans le but de « contraindre indûment des pouvoirs publics ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque » (retirer un projet de loi, par exemple) ou dans le but de « gravement déstabiliser […] les structures politiques, constitutionnelles, économiques ou sociales fondamentales d’un pays ». La simple menace de commettre de tels actes entre aussi dans la définition.

Bref, en droit européen, le piratage ou la destruction massive de biens, ou la menace de le faire, sont des « infractions terroristes » dès lors qu’il s’agit d’influencer une décision politique ou de déstabiliser des institutions.

Maintenant que le cadre est posé, commençons la politique-fiction. Parmi les contenus susceptibles d’être publiés sur Internet par des gilets jaunes, quels sont ceux qui pourraient être considérés comme relevant du « terrorisme » (selon les très larges définitions européennes) par Facebook et Google (soumis à la menace de sanctions en cas d’échec) ou par la police ? Par exemple :

  • un appel à manifester sur les Champs-Élysées, alors que le rassemblement précédent a conduit à d’importantes détériorations matérielles et enfonce le gouvernement dans une crise politique ;
  • une vidéo qui, prise depuis le balcon d’en face, filmerait la destruction d’une banque ou d’un fast-food, accompagnée d’un commentaire audio du spectateur surpris, du type « ahahah, c’est bien fait pour eux » ;
  • une vidéo d’altercations agressives entre manifestants et CRS au prétexte qu’elle serait diffusée par une personne se réjouissant que les autorités publiques soient ainsi remises en cause ;
  • un texte menaçant le gouvernement de blocage généralisé de l’économie ou de grève générale ;
  • une invective orale du type « si Macron ne démissionne pas, on va venir mettre le feu à l’Élysée » ;
  • un communiqué justifiant le fait d’avoir détruit un véhicule de police ;
  • etc.

En appliquant le droit à la lettre, on pourrait se demander lequel de ces contenus ne devrait pas être censuré automatiquement par les plateformes du Web une fois que le règlement anti-terroriste sera entré en application. De même, en théorie, ces contenus pourraient être censurés sur simple demande de la police.

Même si, pour l’heure, il s’agit encore de politique-fiction, le droit actuel en France va déjà en ce sens, comme l’illustre le type de discours qui ont pu passer pour de l’« apologie du terrorisme » ces dernières années. Par exemple, des peines de prison ferme pour des provocations lancées par certain·es au sujet des attentats de janvier 2015, ou l’injonction faite par le gouvernement fin 2016 à deux sites participatifs pour qu’ils censurent un article revendiquant l’incendie d’un hangar de gendarmerie commis en solidarité avec des personnes poursuivies en justice dans le cadre des manifestations contre la loi travail.

Censure privée, censure totale

Une censure de tels contenus pourrait donc intervenir de deux manières. C’est en quelque sorte « ceinture et bretelles » : quand les « mesures proactives » prises par un réseau social comme Facebook n’auront pas suffi à bloquer les contenus visés, la police pourra prendre le relais, pouvant exiger des services défaillants la suppression d’un contenu dans un délai d’une heure. Tout cela sans l’autorisation préalable d’un juge. Les acteurs concernés s’exposeront à des sanctions s’ils échouent trop souvent à censurer dans le délai d’une heure (article 18).

Bref, pour éviter d’avoir à répondre toute la journée aux demandes des polices des 28 États membres de l’Union européenne, et de subir des sanctions en cas d’échecs à y répondre dans l’heure, les services Web auront franchement intérêt à détecter à l’avance et le plus strictement possible tout ce qui ressemblera de près ou de loin à un « contenu à caractère terroriste », défini de façon extrêmement large.

Or, il est clair que les outils mis au point par Facebook et Google s’imposeront à l’ensemble du Web, même en dehors de leur plateforme, où certains pourraient chercher refuge. De ce que nous ont clairement expliqué des gens du gouvernement (revoir notre compte-rendu) et de ce qui apparaît dès 2017 dans les publications de la Commission européenne3Dès juin 2017, la Commission européenne
se félicite publiquement
d’« avoir travaillé depuis deux ans avec les plateformes clefs du Web au sein du Forum européen de l’Internet », qui regroupe Google, Facebook, Twitter et Microsoft depuis 2015, « pour s’assurer du retrait volontaire de contenus terroristes en ligne », notamment grâce à « l’initiative menée par l’industrie de créer une « base de données d’empreintes numériques » [« database of hashes »] qui garantit qu’un contenu terroriste retiré sur une plateforme ne soit pas remis en ligne sur une autre plateforme ».
Pour la Commission, déjà, « l’objectif est que les plateformes en fassent davantage, notamment en mettant à niveau la détection automatique de contenus terroristes, en partageant les technologies et les outils concernés avec de plus petites entreprises et en utilisant pleinement la « base de données d’empreintes numériques » » (toutes ces citations sont des traductions libres de l’anglais). Cette base de données est ce que nous appelons « listes noires » dans notre analyse.
, l’objectif de ce texte est au final d’imposer les filtres automatiques mis au point par les grosses plateformes à tous les acteurs du Web, petits ou grands, européens ou non. Ces derniers devront automatiquement respecter une large « liste noire » de contenus considérés comme illicites par les prétendues intelligences artificielles de Facebook et Google, qui décideront seuls et selon leurs propres critères s’il est autorisé ou non d’appeler à tel mouvement ou d’applaudir telle action contestataire.

Soyons clairs : notre analyse ne cherche pas à savoir quels propos devraient ou non être tenus en ligne, ni quelles revendications seraient ou non légitimes. Notre question est de savoir si nous acceptons de déléguer à la police et à une poignée d’entreprises privées hégémoniques, qui ne sont soumises à aucun contrôle démocratique, le rôle de juger nos actes et nos opinions, et de modeler le débat public en conséquence. Nous répondons résolument que non : seul un juge, indépendant des pouvoirs politiques et économiques, doit pouvoir censurer les propos qui, d’après des lois adoptées en bonne et due forme, seraient susceptibles de nuire de manière disproportionnée à autrui.

C’est tout l’inverse que propose Macron, principal promoteur du futur règlement européen : en cédant les pouvoirs de l’État aux géants du Web, il s’imagine pouvoir échapper à toute responsabilité politique en cas de censure abusive et massive du Web.

Ce règlement européen est une loi de censure que les gouvernements français et allemands souhaitent faire adopter d’ici aux prochaines élections européennes, en mai. Ils ont déjà réussi à faire accepter hier leur projet aux autres gouvernements européens, à une vitesse jamais vue au sein de l’Union européenne. Les eurodéputés et toutes celles et ceux qui entendent se présenter aux prochaines élections européennes doivent faire connaitre leur opposition à ce texte scélérat.

Nos autres articles sur le sujet :

References   [ + ]

1. Précision : nous n’avons actuellement connaissance d’aucun élément factuel indiquant que Facebook mettrait ou non en œuvre une censure visant spécifiquement les gilets jaunes. Cet article est une simple analyse juridique.
2. Notons ici une légère évolution depuis notre dernière analyse concernant les risques pour la confidentialité de nos communications. Dans la version du règlement actée hier par le Conseil de l’UE, le considérant 10 a été modifié et semble tenter d’exclure du champ d’application de ce texte les services de communications interpersonnelles : « Interpersonal communication services that enable direct interpersonal and interactive exchange of information between a finite number of persons, whereby the persons initiating or participating in the communication determine its recipient(s), are not in scope ».
Cette précision est toutefois particulièrement hasardeuse et n’a rien de rassurante. D’abord, la précision n’est nullement reprise à l’article 2 du règlement qui définit les différentes notions du texte. Surtout, cette précision n’est pas cohérente : les « service de communications interpersonnelles » sont déjà définis par le code européen des communications électroniques (article 2 et considérant 17), comme pouvant alors couvrir certains services de Cloud (où un nombre limité d’utilisateurs peuvent échanger des documents, typiquement). Pourtant, la version du règlement actée aujourd’hui indique explicitement s’appliquer aux services de Cloud, tout en prétendant ne pas s’appliquer aux communications interpersonnelles. La confusion est totale.
3. Dès juin 2017, la Commission européenne
se félicite publiquement
d’« avoir travaillé depuis deux ans avec les plateformes clefs du Web au sein du Forum européen de l’Internet », qui regroupe Google, Facebook, Twitter et Microsoft depuis 2015, « pour s’assurer du retrait volontaire de contenus terroristes en ligne », notamment grâce à « l’initiative menée par l’industrie de créer une « base de données d’empreintes numériques » [« database of hashes »] qui garantit qu’un contenu terroriste retiré sur une plateforme ne soit pas remis en ligne sur une autre plateforme ».
Pour la Commission, déjà, « l’objectif est que les plateformes en fassent davantage, notamment en mettant à niveau la détection automatique de contenus terroristes, en partageant les technologies et les outils concernés avec de plus petites entreprises et en utilisant pleinement la « base de données d’empreintes numériques » » (toutes ces citations sont des traductions libres de l’anglais). Cette base de données est ce que nous appelons « listes noires » dans notre analyse.

Pour le juriste Lionel Maurel, l’approche individualiste de la protection des données personnelles ne permet pas d’appréhender la dimension sociale qu’exploitent les grandes plateformes du Net. Il appelle à la mise en place d’un droit à la migration collective.

En 1978, la loi informatique et libertés introduisait dans le droit français la notion de « donnée à caractère personnel ». Quarante ans plus tard, l’entrée en application, en mai dernier, du règlement général sur la protection des données (RGPD) a marqué un renforcement des droits des citoyens européens en la matière. Mais nos données dites « personnelles » le sont-elles vraiment, surtout à l’ère du numérique ubiquitaire, des réseaux sociaux, de la puissance d’une poignée de grandes plateformes centralisées qui structurent largement nos vies en ligne ? A tout le moins, il est grand temps de les envisager aussi comme des données « sociales » et de trouver les instruments pour les défendre en tant que telles, répond le juriste Lionel Maurel, membre de l’association de défense des libertés la Quadrature du Net et du comité de prospective de la Commission nationale de l’informatique et des libertés (Cnil). Il intervient ce vendredi à 20 heures [NDLRP, le vendredi 30/11/2018], à la Gaîté lyrique à Paris, lors d’une table ronde au festival Persona non data, dont Libération est partenaire. […]

https://www.liberation.fr/debats/2018/11/29/lionel-maurel-on-doit-pouvoir-quitter-facebook-sans-perdre-les-liens-qu-on-y-a-crees_1695042


Il y a une semaine, nous faisions un point sur les dons récoltés depuis le lancement de notre campagne de soutien.
Pour rappel, pour continuer notre activité l’an prochain, nous avons besoin de 320.000€.
Aujourd’hui nous avons atteint 41% de cette somme, ce qui signifie que nous avons encore besoin de vous. Il est essentiel que toutes celles et ceux qui nous suivent parlent de La Quadrature autour d’eux.

Nous avions placé cette campagne de dons sous le signe des constellations, pour évoquer notre Internet, celui qui est libre, partagé et décentralisé. Nous voulions être positifs et faire rêver. Ironiquement, c’est maintenant qu’un règlement de censure sécuritaire s’abat sur l’Europe et menace notre Internet. Macron et les dirigeants des États de l’Union européenne veulent un Internet bien cadré, facile à surveiller et comptent confier cet encadrement à Google et Facebook, qui ne se priveront pas de confirmer ainsi leur position de monopole.

Se battre pour notre Internet, c’est se battre contre ce règlement liberticide. Pour que La Quadrature continue son combat, faites un don sur laquadrature.net/donner.


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles