Pixellibre.net http://pixellibre.net Site original : Pixellibre.net Proposition de loi contre la haine en ligne, l’avis d’un jeune vieux con des Internets http://pixellibre.net/?p=3302 ./?Proposition-de-loi-contre-la-haine-en-ligne-l-avis-d-un-jeune-vie Fri, 05 Jul 2019 14:02:05 +0200 Hier soir, jeudi 04 juillet 2019, se terminaient les débats de l’Assemblée Nationale sur la proposition de loi contre la cyber haine, rebaptisée « proposition de loi visant à lutter contre la propagation des propos haineux sur Internet » par les députés, dans les derniers amendements discutés.

Cette proposition de loi se fixe comme but de combattre la haine en ligne sous toutes ses formes, sur l’ensemble des canaux qu’ils soient publics ou privés. Les réseaux sociaux, les forums, les blogs, tout espace de communication se retrouverait concerné, dans l’état actuel de la loi.

En préambule, il faut retenir que ladite loi a passé l’étape des débats de l’assemblée, elle devra être votée par cette même assemblée, puis transmise au Sénat, qui va amender le texte (ou non), qui devra le voter, etc. Comprenez donc qu’il reste encore du chemin à cette loi avant qu’elle soit promulguée et qu’elle entre en vigueur. Nous devrions, si le calendrier est tenu, voir arriver la proposition de loi au Sénat vers septembre.

Je vous passe les arguments entendus depuis des années, les « Internet est une zone de non droit », « tout est autorisé sur Internet » et autres, utilisés par les députés et autres camarades pour justifier la nécessité de rajouter, encore, des textes et des textes de loi pour encadrer cet espace.

Ironie du sort, cela fait une dizaine d’années qu’au moins un texte de loi par an vient encadrer Internet… l’argument de la zone de non droit est aberrant, pour ne pas dire honteux… mais il semble fonctionner, encore et toujours.

Ça fait quoi… 14, 15 ans, que j’observe l’évolution du cadre juridique autour d’Internet, alors je vous livre ici mon avis de jeune vieux con des Internet.

Mon but, c’est de vous amener à réfléchir, alors ça va être long, prenez du temps pour lire la suite, et commentez si vous le souhaitez, ici, sur Twitter, par e-mail, comme vous le sentez.

TL;DR : c’est de la merde.

Appelons un chat un chat, ce projet de loi est nauséabond au possible.

Entendons-nous bien, lutter contre la haine en ligne, c’est une nécessité. Personne ne remet cela en question. Pour autant, afin de lutter contre cette haine, il faut deux choses extrêmement importantes : savoir qualifier avec une précision sans failles ladite haine et disposer de moyens concrets pour faire appliquer la loi.

Au passage, petite remarque : ce texte n’a pas vocation à lutter contre la haine, en y réfléchissant bien. Ce texte a vocation à la faire disparaitre de la surface visible, à stopper net sa propagation. Cela ne la fera pas disparaitre pour autant, l’esprit humain est assez tordu pour trouver d’autres vecteurs de diffusion de la haine… l’espèce humaine ne semblant être bonne qu’à s’insulter et se détester. Bref, revenons-en à nos moutons…

Combattre la haine est un exercice difficile car il faut identifier ce qui se cache derrière ce mot. C’est fondamental. Ne pas le faire, c’est prendre le risque de considérer des opinions contraires comme des propos haineux. C’est prendre le risque d’entraver la liberté d’opinion, la liberté d’expression, la capacité à avoir des avis contradictoires, des débats, parfois intenses certes, mais généralement intéressants.

Si je dis « Éric Ciotti est, à mes yeux, un mauvais député, ses propos sont dangereux, il est néfaste, toxique, mauvais et il représente tout ce que je déteste », est-ce de l’incitation à la haine ? l’expression d’un sentiment de haine ? un avis ? une opinion ?

A première vue, mon propos n’est pas haineux, mais aux yeux de la loi, qu’en est-il ? Et aux yeux du principal intéressé, qu’en est-il ?

Si un youtubeur se plaint d’une personne, sur Twitter, en disant « elle me fatigue » et que cette personne se fait défoncer sur les réseaux, est-ce de la haine ? Le Youtubeur est-il, au regard de la loi, responsable du déferlement de haine à l’encontre de la personne ? Sans doute pas, pour autant, c’est son message qui est responsable du déferlement de haine que la personne va se prendre en pleine face…

« Manifestement »

Pour protéger la liberté d’expression, il y a déjà bien longtemps, la loi a commencé à définir ce qu’on appelle le « manifestement … », « manifestement injurieux », « manifestement illicite », « propos manifestement haineux »… Manifestement signifiant qu’il n’existe aucun doute quant à la teneur du propos : dire « Éric Ciotti, j’aimerais bien voir sa tête accrochée sur un lampadaire de Paris », c’est haineux et c’est de l’incitation à la violence, il n’existe aucun doute quant à la teneur de ce propos qui, je le précise, est donné à titre d’exemple… parce que j’aimerais bien ne pas avoir d’ennuis avec la justice, ni avec Ciotti, donc je préfère préciser que c’est un exemple et que je ne souhaite la mort de personne.

Il existe, en résumé, deux grandes catégories de propos : ceux « manifestement » illicites, où il n’existe absolument aucun doute quant à la teneur des propos, et ceux où… c’est plus compliqué, plus nuancé, ceux qui ont besoin d’une analyse, d’un contexte.

Ces contenus, qu’on appelle généralement des « contenus gris », doivent être traités avec beaucoup de précautions car ils peuvent être une simple manifestation de la liberté d’expression d’une personne. Interdire les propos en question revient alors à les censurer, à limiter la liberté d’expression à tort. Et censurer, interdire les opinions, limiter la capacité qu’ont les citoyens à pouvoir les exprimer, c’est l’arme des gouvernements totalitaires, des états policiers et des dictatures.

Si la définition du « manifestement » existe plus ou moins, elle ne représente qu’une infime partie des cas de diffusion et de propagation de la haine en ligne. Lors de la première séance sur le texte, des députés expliquaient, dans 100% du contenu haineux observé, le contenu « manifestement haineux » représentait environ 20% du contenu (ndlr : je n’ai pas trouvé la source de leurs propos mais le chiffre me semble cohérent), les 80% restants sont donc des contenus gris.

Qui devrait observer ces « contenus gris » ?

Observer la qualité de ces « contenu gris » nécessite du temps, des capacités juridiques certaines, une capacité d’interprétation, une connaissance de la loi fine. Qualifier ces propos comme licites ou comme illicites est une chose sensible, puisque c’est directement relié à la liberté d’expression, droit fondamental. Ainsi, l’idéal est que ce soit un juge qui s’en charge.

Imaginons qu’une plateforme ait un doute sur le caractère « manifestement illicite » d’un contenu, malgré son armée de juristes : elle fait appel à un juge, qui tranche le sujet, et « voilà ». C’est ce qui devrait se faire, pour garantir que le propos considéré comme haineux le soit réellement, pour être sûr de ne pas entraver la liberté d’expression des personnes…

Mais.

Actuellement, les plateformes ont des interprétations larges du « manifestement illicite ».  Elles ne savent pas correctement catégoriser des « contenus gris » et, par sécurité, elles bloquent et censurent bien que nécessaires.

A titre d’exemple, on peut citer …

  • Tumblr, qui censure la nudité pour lutter contre le contenu « manifestement » pornographique… mais qui censure des photos artistiques, des contenus interprétés par les robots comme contenus pornographiques, qui censure des dessins qui ne présentent aucune nudité, qui censure de l’art, qui censure des tableaux d’artistes dans lesquels on peut voir un bout de peau de trop.
  • Facebook, qui censure tout une ribambelle de propos et de contenus, le plus connu étant la censure de l’origine du monde ou, plus récemment, le blocage de vidéos relatives aux violences policières sur les manifestations des Gilets Jaunes.
  • Les réseaux sociaux, de façon générale, qui préfèrent bloquer des contenus qui pourraient être illicites, pour ne pas prendre de risques
  • YouTube, qui démonétise, désindexe ou censure des vidéos sur des sujets sensibles, où le risque de tenir des propos manifestement illicites est grand. La politique de YouTube étant « on ne se passe pas la tête, on bloque pour ne pas prendre de risques. »

Les plateformes d’échange, les réseaux sociaux, les blogs, sites Internet et autres ne veulent pas voir leur responsabilité engagée, ils sont déjà assujettis à des obligations fortes de gestion des contenus… ainsi, ils mettent en place une politique extrêmement restrictive, font du sûr-blocage, censurent, …

Les « gros », Facebook & Co., disposent d’armées de juristes pour trancher sur le sujet et pourtant, le constat est de pire en pire : des propos ou des vidéos entières sont censurées.

On peut leur reprocher le fait de le faire, on peut critiquer la décision de le faire, on peut se plaindre du dispositif, il n’en est pas moins révélateur d’un problème : les opérateurs privés ont leur propre interprétation des contenus gris, interprétation qui consiste à dire « dans le doute, on bloque. », ils ont bien du mal à catégoriser avec justesse le « manifestement illicite ».

On rajoutera à cette difficulté le fait qu’ils soient obligés d’agir rapidement pour retirer le contenu, ils n’ont pas le temps de se prononcer correctement, pas les moyens nécessaires pour analyser en détail le contenu, et ne souhaitent pas mettre les moyens nécessaires pour le faire.

La logique voudrait donc que la loi vienne corriger le problème. Ainsi, on pourrait imaginer que la proposition de loi dont nous parlons introduise le juge afin de répondre aux doutes sur les « contenus gris », la loi pourrait dire « en cas de doute sur un contenu illicite (ndlr : donc non « manifestement illicite »), l’opérateur privé saisit le juge judiciaire (ndlr bis : garant des libertés individuelles dont la liberté d’expression fait partie) afin d’obtenir un avis de ce juge. Cet avis est rendu en 24 heures maximum après la saisine du juge. ». Cela représenterait un bon équilibre, le contenu est rapidement retiré, un juge se prononce sur le sujet, la liberté d’expression est préservée, les propos manifestement illicites sont supprimés, tout le monde est content.

Sauf que cette idée a été rejetée par la rapporteuse de la proposition de loi, Mme Avia, et Mme Belloubet, ministre de la Justice, et que l’amendement qui proposait ce dispositif a été rejeté par les députés lors du vote à l’Assemblée Nationale.

Le texte prévoit que l’appréciation des « contenus gris » revienne aux opérateurs, afin d’aller plus vite dans le blocage ou la suppression des contenus. Par ailleurs, le texte réduit de façon significative le temps dont disposent les opérateurs pour retirer du contenu. Dès lors, les problèmes de censure ne peuvent que s’accentuer, les blocages à tort aussi, le « zèle » des opérateurs privés également. Les obligations de la future loi sont extrêmement contraignantes pour ces derniers, ils appliqueront le même procédé qu’actuellement : bloquer plus que nécessaire, pour éviter des risques.

Ironie du sort, la loi prévoit des sanctions en cas de sûr-blocage. Les opérateurs privés vont donc se faire taper dessus s’ils ne bloquent pas les propos mais vont aussi se faire taper dessus s’ils bloquent à tort des propos qui n’auraient pas dû être bloqués. Tout en sachant qu’ils sont incapables de catégoriser correctement du contenu « manifestement » illicite. C’est mal pensé, dangereux pour tout le monde, ça va nécessairement conduire à des situations anormales… et en attendant, la liberté d’expression qu’a chacun va se faire raboter, encore une fois.

Vous voulez savoir le pire : les députés, la rapporteure du texte et la ministre le savent. Un député, lors des débats à l’assemblée, l’a dit « oui, Madame Dumas (ndlr : une députée), il y aura sans doute du sûr-blocage, mais bon […] c’est un choix politique. »

Traduisons un peu cette phrase, avec des choses plus explicites : « Oui, Madame Dumas, il y aura sans doute des cas de blocage et de limitation de la liberté d’expression… mais c’est un choix politique. »

Vous le voyez mieux, le malaise ? Ne pas inclure le juge, pour des motifs d’efficacité, c’est induire un risque énorme, qui est connu de surcroit, de blocage à tort des propos. Cela arrivera, tout le monde le sait, les députés le savent et ils ont tout de même voté pour cet amendement.

L’observatoire de la haine

Autre point, un observatoire de la haine en ligne va être mis en place. Bonne idée sur le fond, non ?

Cet observatoire, introduit par l’article 7 de la proposition de loi, aura pour rôles le suivi et l’analyse de l’évolution en ligne des contenus illicites sur Internet et la formulation des propositions de sensibilisation, de prévention, de répression des propos haineux sur Internet.

Chouette, chouette, chouette !!

Sauf que les associations, les professionnels, les organismes de régulation et les experts du sujet se sont déjà prononcés sur le contenu de la proposition de loi, qu’ils estiment dangereuse et, devinez quoi, ils n’ont pas été écoutés et leur avis n’ont pas été pris en compte.

Dès lors, nous pouvons nous poser les questions suivantes : soit l’organisme en question fait correctement son travail, émet des critiques, des recommandations, … sans être écoute (ce qui est déjà le cas actuellement), soit l’organisme n’est qu’un relais du ministre, auquel cas son travail n’est pas impartial et il n’est qu’un organisme fantoche qui représente la validation morale des experts…

Dans les deux cas, nous avons un problème : dans le premier ils ne sont pas écoutés, dans le second ils ne servent à rien.

Des experts du numérique il y en a… comme le Conseil National du Numérique ou CNNum, qui s’est opposé à la loi en question. Il n’est pas le seul, le Conseil National des Barreaux ou encore la Ligue des Droits de l’Homme se sont également opposés à ce texte… et pourtant, ils n’ont pas été écoutés.

Surprise, dans une lettre ouverte d’un certain nombre d’organisation, dont celles précédemment mentionnées, on retrouve des critiques sur l’absence de juge judiciaire, sur l’absence de procédures sur les « contenus gris », sur le risque d’une censure qui cache son nom…

La lettre est ici, prenez le temps de la lire : https://www.renaissancenumerique.org/publications/lettre-ouverte-relative-a-la-proposition-de-loi-visant-a-lutter-contre-la-haine-sur-internet [PDF]

Il y aurait tant à dire sur cette loi mal faite, mal pensée, mais il serait possible de résumer tout à un seul point : les gouvernements successifs ne cherchent pas à être efficaces, ils ne cherchent pas à faire bien, ils ne cherchent pas à faire les bonnes choses, dans le bon sens, en respectant des principes fondamentaux de notre semblant de démocratie. Non. Les gouvernements successifs cherchent à dire « regardez, nous faisons des textes de loi, nous faisons des choses, nous au moins nous faisons des choses », tout en se fichant éperdument de l’efficacité desdits textes de loi. Ils ont besoin, désespérément, de montrer au monde, au peuple, qu’ils font quelque chose. Alors ils grattent des textes entiers, dangereux, inadaptés, inutiles, qui ne font que surcharger la justice, qui délèguent à des opérateurs privés comme Facebook des principes constitutionnels, fondamentaux. Nos gouvernements successifs nous dépossèdent de nos droits et des gardiens de ces derniers, les juges.

Crédit Photo de l’image à la une : Bertrand Guay de l’AFP

]]>
Hier soir, jeudi 04 juillet 2019, se terminaient les débats de l’Assemblée Nationale sur la proposition de loi contre la cyber haine, rebaptisée « proposition de loi visant à lutter contre la propagation des propos haineux sur Internet » par les députés, dans les derniers amendements discutés.

Cette proposition de loi se fixe comme but de combattre la haine en ligne sous toutes ses formes, sur l’ensemble des canaux qu’ils soient publics ou privés. Les réseaux sociaux, les forums, les blogs, tout espace de communication se retrouverait concerné, dans l’état actuel de la loi.

En préambule, il faut retenir que ladite loi a passé l’étape des débats de l’assemblée, elle devra être votée par cette même assemblée, puis transmise au Sénat, qui va amender le texte (ou non), qui devra le voter, etc. Comprenez donc qu’il reste encore du chemin à cette loi avant qu’elle soit promulguée et qu’elle entre en vigueur. Nous devrions, si le calendrier est tenu, voir arriver la proposition de loi au Sénat vers septembre.

Je vous passe les arguments entendus depuis des années, les « Internet est une zone de non droit », « tout est autorisé sur Internet » et autres, utilisés par les députés et autres camarades pour justifier la nécessité de rajouter, encore, des textes et des textes de loi pour encadrer cet espace.

Ironie du sort, cela fait une dizaine d’années qu’au moins un texte de loi par an vient encadrer Internet… l’argument de la zone de non droit est aberrant, pour ne pas dire honteux… mais il semble fonctionner, encore et toujours.

Ça fait quoi… 14, 15 ans, que j’observe l’évolution du cadre juridique autour d’Internet, alors je vous livre ici mon avis de jeune vieux con des Internet.

Mon but, c’est de vous amener à réfléchir, alors ça va être long, prenez du temps pour lire la suite, et commentez si vous le souhaitez, ici, sur Twitter, par e-mail, comme vous le sentez.

TL;DR : c’est de la merde.

Appelons un chat un chat, ce projet de loi est nauséabond au possible.

Entendons-nous bien, lutter contre la haine en ligne, c’est une nécessité. Personne ne remet cela en question. Pour autant, afin de lutter contre cette haine, il faut deux choses extrêmement importantes : savoir qualifier avec une précision sans failles ladite haine et disposer de moyens concrets pour faire appliquer la loi.

Au passage, petite remarque : ce texte n’a pas vocation à lutter contre la haine, en y réfléchissant bien. Ce texte a vocation à la faire disparaitre de la surface visible, à stopper net sa propagation. Cela ne la fera pas disparaitre pour autant, l’esprit humain est assez tordu pour trouver d’autres vecteurs de diffusion de la haine… l’espèce humaine ne semblant être bonne qu’à s’insulter et se détester. Bref, revenons-en à nos moutons…

Combattre la haine est un exercice difficile car il faut identifier ce qui se cache derrière ce mot. C’est fondamental. Ne pas le faire, c’est prendre le risque de considérer des opinions contraires comme des propos haineux. C’est prendre le risque d’entraver la liberté d’opinion, la liberté d’expression, la capacité à avoir des avis contradictoires, des débats, parfois intenses certes, mais généralement intéressants.

Si je dis « Éric Ciotti est, à mes yeux, un mauvais député, ses propos sont dangereux, il est néfaste, toxique, mauvais et il représente tout ce que je déteste », est-ce de l’incitation à la haine ? l’expression d’un sentiment de haine ? un avis ? une opinion ?

A première vue, mon propos n’est pas haineux, mais aux yeux de la loi, qu’en est-il ? Et aux yeux du principal intéressé, qu’en est-il ?

Si un youtubeur se plaint d’une personne, sur Twitter, en disant « elle me fatigue » et que cette personne se fait défoncer sur les réseaux, est-ce de la haine ? Le Youtubeur est-il, au regard de la loi, responsable du déferlement de haine à l’encontre de la personne ? Sans doute pas, pour autant, c’est son message qui est responsable du déferlement de haine que la personne va se prendre en pleine face…

« Manifestement »

Pour protéger la liberté d’expression, il y a déjà bien longtemps, la loi a commencé à définir ce qu’on appelle le « manifestement … », « manifestement injurieux », « manifestement illicite », « propos manifestement haineux »… Manifestement signifiant qu’il n’existe aucun doute quant à la teneur du propos : dire « Éric Ciotti, j’aimerais bien voir sa tête accrochée sur un lampadaire de Paris », c’est haineux et c’est de l’incitation à la violence, il n’existe aucun doute quant à la teneur de ce propos qui, je le précise, est donné à titre d’exemple… parce que j’aimerais bien ne pas avoir d’ennuis avec la justice, ni avec Ciotti, donc je préfère préciser que c’est un exemple et que je ne souhaite la mort de personne.

Il existe, en résumé, deux grandes catégories de propos : ceux « manifestement » illicites, où il n’existe absolument aucun doute quant à la teneur des propos, et ceux où… c’est plus compliqué, plus nuancé, ceux qui ont besoin d’une analyse, d’un contexte.

Ces contenus, qu’on appelle généralement des « contenus gris », doivent être traités avec beaucoup de précautions car ils peuvent être une simple manifestation de la liberté d’expression d’une personne. Interdire les propos en question revient alors à les censurer, à limiter la liberté d’expression à tort. Et censurer, interdire les opinions, limiter la capacité qu’ont les citoyens à pouvoir les exprimer, c’est l’arme des gouvernements totalitaires, des états policiers et des dictatures.

Si la définition du « manifestement » existe plus ou moins, elle ne représente qu’une infime partie des cas de diffusion et de propagation de la haine en ligne. Lors de la première séance sur le texte, des députés expliquaient, dans 100% du contenu haineux observé, le contenu « manifestement haineux » représentait environ 20% du contenu (ndlr : je n’ai pas trouvé la source de leurs propos mais le chiffre me semble cohérent), les 80% restants sont donc des contenus gris.

Qui devrait observer ces « contenus gris » ?

Observer la qualité de ces « contenu gris » nécessite du temps, des capacités juridiques certaines, une capacité d’interprétation, une connaissance de la loi fine. Qualifier ces propos comme licites ou comme illicites est une chose sensible, puisque c’est directement relié à la liberté d’expression, droit fondamental. Ainsi, l’idéal est que ce soit un juge qui s’en charge.

Imaginons qu’une plateforme ait un doute sur le caractère « manifestement illicite » d’un contenu, malgré son armée de juristes : elle fait appel à un juge, qui tranche le sujet, et « voilà ». C’est ce qui devrait se faire, pour garantir que le propos considéré comme haineux le soit réellement, pour être sûr de ne pas entraver la liberté d’expression des personnes…

Mais.

Actuellement, les plateformes ont des interprétations larges du « manifestement illicite ».  Elles ne savent pas correctement catégoriser des « contenus gris » et, par sécurité, elles bloquent et censurent bien que nécessaires.

A titre d’exemple, on peut citer …

  • Tumblr, qui censure la nudité pour lutter contre le contenu « manifestement » pornographique… mais qui censure des photos artistiques, des contenus interprétés par les robots comme contenus pornographiques, qui censure des dessins qui ne présentent aucune nudité, qui censure de l’art, qui censure des tableaux d’artistes dans lesquels on peut voir un bout de peau de trop.
  • Facebook, qui censure tout une ribambelle de propos et de contenus, le plus connu étant la censure de l’origine du monde ou, plus récemment, le blocage de vidéos relatives aux violences policières sur les manifestations des Gilets Jaunes.
  • Les réseaux sociaux, de façon générale, qui préfèrent bloquer des contenus qui pourraient être illicites, pour ne pas prendre de risques
  • YouTube, qui démonétise, désindexe ou censure des vidéos sur des sujets sensibles, où le risque de tenir des propos manifestement illicites est grand. La politique de YouTube étant « on ne se passe pas la tête, on bloque pour ne pas prendre de risques. »

Les plateformes d’échange, les réseaux sociaux, les blogs, sites Internet et autres ne veulent pas voir leur responsabilité engagée, ils sont déjà assujettis à des obligations fortes de gestion des contenus… ainsi, ils mettent en place une politique extrêmement restrictive, font du sûr-blocage, censurent, …

Les « gros », Facebook & Co., disposent d’armées de juristes pour trancher sur le sujet et pourtant, le constat est de pire en pire : des propos ou des vidéos entières sont censurées.

On peut leur reprocher le fait de le faire, on peut critiquer la décision de le faire, on peut se plaindre du dispositif, il n’en est pas moins révélateur d’un problème : les opérateurs privés ont leur propre interprétation des contenus gris, interprétation qui consiste à dire « dans le doute, on bloque. », ils ont bien du mal à catégoriser avec justesse le « manifestement illicite ».

On rajoutera à cette difficulté le fait qu’ils soient obligés d’agir rapidement pour retirer le contenu, ils n’ont pas le temps de se prononcer correctement, pas les moyens nécessaires pour analyser en détail le contenu, et ne souhaitent pas mettre les moyens nécessaires pour le faire.

La logique voudrait donc que la loi vienne corriger le problème. Ainsi, on pourrait imaginer que la proposition de loi dont nous parlons introduise le juge afin de répondre aux doutes sur les « contenus gris », la loi pourrait dire « en cas de doute sur un contenu illicite (ndlr : donc non « manifestement illicite »), l’opérateur privé saisit le juge judiciaire (ndlr bis : garant des libertés individuelles dont la liberté d’expression fait partie) afin d’obtenir un avis de ce juge. Cet avis est rendu en 24 heures maximum après la saisine du juge. ». Cela représenterait un bon équilibre, le contenu est rapidement retiré, un juge se prononce sur le sujet, la liberté d’expression est préservée, les propos manifestement illicites sont supprimés, tout le monde est content.

Sauf que cette idée a été rejetée par la rapporteuse de la proposition de loi, Mme Avia, et Mme Belloubet, ministre de la Justice, et que l’amendement qui proposait ce dispositif a été rejeté par les députés lors du vote à l’Assemblée Nationale.

Le texte prévoit que l’appréciation des « contenus gris » revienne aux opérateurs, afin d’aller plus vite dans le blocage ou la suppression des contenus. Par ailleurs, le texte réduit de façon significative le temps dont disposent les opérateurs pour retirer du contenu. Dès lors, les problèmes de censure ne peuvent que s’accentuer, les blocages à tort aussi, le « zèle » des opérateurs privés également. Les obligations de la future loi sont extrêmement contraignantes pour ces derniers, ils appliqueront le même procédé qu’actuellement : bloquer plus que nécessaire, pour éviter des risques.

Ironie du sort, la loi prévoit des sanctions en cas de sûr-blocage. Les opérateurs privés vont donc se faire taper dessus s’ils ne bloquent pas les propos mais vont aussi se faire taper dessus s’ils bloquent à tort des propos qui n’auraient pas dû être bloqués. Tout en sachant qu’ils sont incapables de catégoriser correctement du contenu « manifestement » illicite. C’est mal pensé, dangereux pour tout le monde, ça va nécessairement conduire à des situations anormales… et en attendant, la liberté d’expression qu’a chacun va se faire raboter, encore une fois.

Vous voulez savoir le pire : les députés, la rapporteure du texte et la ministre le savent. Un député, lors des débats à l’assemblée, l’a dit « oui, Madame Dumas (ndlr : une députée), il y aura sans doute du sûr-blocage, mais bon […] c’est un choix politique. »

Traduisons un peu cette phrase, avec des choses plus explicites : « Oui, Madame Dumas, il y aura sans doute des cas de blocage et de limitation de la liberté d’expression… mais c’est un choix politique. »

Vous le voyez mieux, le malaise ? Ne pas inclure le juge, pour des motifs d’efficacité, c’est induire un risque énorme, qui est connu de surcroit, de blocage à tort des propos. Cela arrivera, tout le monde le sait, les députés le savent et ils ont tout de même voté pour cet amendement.

L’observatoire de la haine

Autre point, un observatoire de la haine en ligne va être mis en place. Bonne idée sur le fond, non ?

Cet observatoire, introduit par l’article 7 de la proposition de loi, aura pour rôles le suivi et l’analyse de l’évolution en ligne des contenus illicites sur Internet et la formulation des propositions de sensibilisation, de prévention, de répression des propos haineux sur Internet.

Chouette, chouette, chouette !!

Sauf que les associations, les professionnels, les organismes de régulation et les experts du sujet se sont déjà prononcés sur le contenu de la proposition de loi, qu’ils estiment dangereuse et, devinez quoi, ils n’ont pas été écoutés et leur avis n’ont pas été pris en compte.

Dès lors, nous pouvons nous poser les questions suivantes : soit l’organisme en question fait correctement son travail, émet des critiques, des recommandations, … sans être écoute (ce qui est déjà le cas actuellement), soit l’organisme n’est qu’un relais du ministre, auquel cas son travail n’est pas impartial et il n’est qu’un organisme fantoche qui représente la validation morale des experts…

Dans les deux cas, nous avons un problème : dans le premier ils ne sont pas écoutés, dans le second ils ne servent à rien.

Des experts du numérique il y en a… comme le Conseil National du Numérique ou CNNum, qui s’est opposé à la loi en question. Il n’est pas le seul, le Conseil National des Barreaux ou encore la Ligue des Droits de l’Homme se sont également opposés à ce texte… et pourtant, ils n’ont pas été écoutés.

Surprise, dans une lettre ouverte d’un certain nombre d’organisation, dont celles précédemment mentionnées, on retrouve des critiques sur l’absence de juge judiciaire, sur l’absence de procédures sur les « contenus gris », sur le risque d’une censure qui cache son nom…

La lettre est ici, prenez le temps de la lire : https://www.renaissancenumerique.org/publications/lettre-ouverte-relative-a-la-proposition-de-loi-visant-a-lutter-contre-la-haine-sur-internet [PDF]

Il y aurait tant à dire sur cette loi mal faite, mal pensée, mais il serait possible de résumer tout à un seul point : les gouvernements successifs ne cherchent pas à être efficaces, ils ne cherchent pas à faire bien, ils ne cherchent pas à faire les bonnes choses, dans le bon sens, en respectant des principes fondamentaux de notre semblant de démocratie. Non. Les gouvernements successifs cherchent à dire « regardez, nous faisons des textes de loi, nous faisons des choses, nous au moins nous faisons des choses », tout en se fichant éperdument de l’efficacité desdits textes de loi. Ils ont besoin, désespérément, de montrer au monde, au peuple, qu’ils font quelque chose. Alors ils grattent des textes entiers, dangereux, inadaptés, inutiles, qui ne font que surcharger la justice, qui délèguent à des opérateurs privés comme Facebook des principes constitutionnels, fondamentaux. Nos gouvernements successifs nous dépossèdent de nos droits et des gardiens de ces derniers, les juges.

Crédit Photo de l’image à la une : Bertrand Guay de l’AFP

]]>
Privacy-by-design, la clef entre Blockchain et RGPD ? http://pixellibre.net/?p=3278 ./?Privacy-by-design-la-clef-entre-Blockchain-et-RGPD Thu, 25 Apr 2019 14:30:23 +0200 Nous avons vu dans un premier article ce qu’était la blockchain, quelques points propres au RGPD, l’interaction nécessaire entre la technologie et la réglementation,… Nous sommes entrés, ensuite, dans le détail des incompatibilités entre la loi et la technologie. Nous allons maintenant nous attarder sur les mesures à mettre en place afin de gérer les problèmes et les écarts entre la loi et la blockchain.

Surfer sur la « hype » de la blockchain, c’est dangereux.

La blockchain, c’est à la mode. C’est en plein boom, tout le monde saute dessus, des banques aux groupes agroalimentaires. Mais est-ce vraiment une bonne idée ?

Le premier point qui peut vous éviter des ennuis avec la blockchain, c’est vous, c’est votre réflexion sérieuse sur le sujet.

La question à vous poser est la suivante : « Est-ce que j’ai réellement besoin de mettre en place une blockchain ? Est-ce que d’autres mesures existent et permettent d’arriver au même résultat ? Si oui, alors pourquoi mettre en place une blockchain ? »

Ça semble évident, mais la folie de la technologie fait qu’on se lance parfois dans des projets sans réfléchir aux conséquences de leurs choix.

La solution pour arriver à une blockchain globalement conforme, c’est essentiellement une chose : se poser les bonnes questions.

Mais quelles questions ?

La première, nous l’avons déjà abordée : « Est-ce que j’ai vraiment besoin d’une blockchain ? ». Si vous poursuivez un objectif précis, il faut vous interroger quant au réel besoin de la blockchain.

Si la réponse est oui, la seconde question doit arriver très rapidement : « de quelles informations j’ai besoin, dans cette blockchain ? »

Il faut garder à l’esprit que ce qui est dans une blockchain reste dans une blockchain ! Il sera toujours possible d’invalider des informations, en injectant des ordres d’annulation dans la blockchain, ordres qui seront par la suite validés par la majorité… mais les informations ne seront pas pour autant supprimées.

Ainsi, il est préférable (et recommandé) d’injecter des informations qui ne permettent pas d’identifier directement ou indirectement des personnes. Il est globalement envisageable d’injecter un identifiant qui, pris seul, permet de suivre des transactions sans permettre d’identifier une personne et de disposer de ces informations d’identification à part, hors blockchain. Il devient alors possible de procéder à l’effacement de données d’identification et d’arriver à une anonymisation des personnes, avec une blockchain.

Attention cependant, une anonymisation réelle, efficiente, est un procédé qui ne permet pas de connaitre ou de déduire l’identité d’une personne. C’est un procédé irréversible et total, si on peut ré-identifier des personnes, le but de l’anonymisation n’est pas atteint.

De la même façon, il faut s’interroger sur la donnée saisie dans la blockchain. « Est-ce que les données intégrées dans cette dernière sont des données à caractère personnel ? » « Dans quelle mesure elles permettent d’identifier une personne ? » « Sommes-nous dans le cadre d’une identification très difficile (il faut recouper de nombreuses informations pour déduire un nom) ou alors extrêmement facile et précise (sans efforts, je sais qui est la personne et je l’identifie de façon formelle) ? » En fonction de la facilité à identifier une personne, il faudra mettre en place des mesures techniques et organisationnelles plus ou moins poussées. Tout dépend de la vraissemblance à identifier une personne et des conséquences de cette identification ou des conséquences de l’usage de ses données liées à son identité.

Finalement, toute la conformité d’une blockchain au RGPD se résume en un concept : le privacy-by-design (bon, deux, le by-default aussi). Ces concepts s’appliquent à l’ensemble des traitements de données à caractère personnel et sont cruciaux dans les réflexions à avoir sur la blockchain.

Privacy-by-quoiquoi ?

Design ! La définition donnée par la Commission Nationale pour la Protection des Données (CNPD, l’équivalent luxembourgeois de notre CNIL française), définit le privacy-by-design comme ceci :

« Le concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement devraient offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données. » (https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/privacy-by-design.html)

La définition est simple, claire, mais sous-entend un ensemble d’éléments techniques et organisationnels large. Elle rejoint la notion de privacy-by-default, selon laquelle « chaque entreprise traitant des données personnelles doit garantir par défaut le plus haut niveau possible de protection des données. », comme l’explique la CNPD.

Elle consacre d’ailleurs une page entière à l’explication du privacy-by-design, consultable ici : https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/privacy-by-design/Le-Privacy-by-Design_-de-quoi-s_agit-il_.html

Vous disposez des idées générales mais, dans la mesure où chaque implémentation de blockchain dispose de propriétés uniques, je ne rentrerai pas davantage dans le détail. L’objectif de cette série de billets est que toute personne travaillant de près ou non avec la blockchain puisse comprendre qu’il est temps de se questionner.

Un dernier point cependant… Parce que je l’ai vu, lu, et rencontré pas mal de fois…

Arrêtez de faire n’importe quoi avec la blockchain

C’est un peu direct, mais c’est le reflet d’une bien triste réalité dans le monde de la sécurité : la blockchain n’est, globalement, pas sécurisée. Si les informations inscrites dans ces dernières sont inscrites de façon non réversible, l’implémentation de la sécurité entourant le fonctionnement de la blockchain laisse à désirer.

De nombreuses personnes se lancent dans la blockchain. Pour cela, elle mettent en place des solutions gratuites, open-source, téléchargent un programme prêt à l’usage, modifient rapidement deux trois morceaux de code et mettent en production la blockchain, sans vérifier le niveau de sécurité de cette dernière.

Ainsi, il n’est pas rare de rencontrer une blockchain censée être sécurisée, alors que le SSL n’est pas activé, ou acceptant encore le TLS 1.0. Il n’est pas non plus rare de rencontrer une blockchain mise en service avec une configuration par défaut, des mots de passe par défaut, une gestion des accès inexistante, des failles identifiées et non patchées ou, comble du comble, des nœuds de blockchain qui tournent sur des systèmes informatiques sensibles, sur des environnements de production, créant ainsi des gros risques.

Afin de favoriser l’adoption de la blockchain, de nombreuses personnes cherchent à faire simple, facile d’usage, « quelques clics et c’est réglé ». Cela n’est pas sans conséquences : la sécurité de la blockchain s’en trouve amoindrie, elle est plus exposée aux risques et, dans une optique de conformité au RGPD, de privacy-by-default, cela ne devrait pas arriver, puisque par défaut on cherche le plus haut niveau de sécurité.

A qui la faute ?

A tout le monde et personne à la fois. La plupart du temps, les développeurs des solutions de blockchain sont des bénévoles, qui mettent à disposition des solutions et qui prônent l’usage du logiciel libre. Ils ne sont pas nécessairement spécialisés en sécurité, ni au fait des obligations réglementaires qu’ils devraient respecter.

Les entreprises qui implémentent de la blockchain sont partiellement responsables, elles n’ont généralement pas la connaissance suffisante pour pouvoir le faire de façon totalement sécurisée. La configuration d’une blockchain, dès qu’on plonge les mains dans le code, est compliquée. De nombreux fichiers s’appellent les uns les autres, des paramètres extrêmement importants sont à paramétrer dans les tréfonds des fichiers de configuration, d’autres fonctions sont dépendantes du système d’exploitation installé et ont des dépendances parfois non satisfaites.

Pire encore, certaines blockchains fonctionnent dans des environnement en conteneurs, où il « suffit » juste de lancer, et tout fonctionne… on ne sait pas trop comment exactement, on ne peut pas vraiment toucher au code, voir et comprendre le fonctionnement, mais d’expérience, la plupart du temps, ce n’est pas sécurisé.

Alors, sans agresser personne, dites-vous simplement que ces pratiques mériteraient une vaste remise en question.

Nous arrivons au terme de cette série d’articles sur le RGPD et la Blockchain. Globalement, tout ou presque est à penser, imaginer et construire pour sécuriser l’usage de la blockchain et assurer sa compatibilité avec le RGPD et la protection des données à caractère personnel de manière plus globale.

On peut comparer le développement de la blockchain aux premiers pas du WEB. La sécurité de ce dernier n’était pas la priorité à ses débuts, l’essentiel, c’est que ça fonctionnait. Nous en sommes à peu près à cette étape, dans l’univers de la blockchain, pas au tout début, mais pas très loin quand même. De nouvelles façons de faire arrivent régulièrement, de nouvelles blockchains se créent, des évolutions sur le service sont apportées, sur la façon de la faire fonctionner, mais pas sur la sécurité, tout simplement car la blockchain n’est pas assez mature.

Cette façon de faire, non sans risque, devra évoluer au fil des années, et elle évoluera, je n’ai aucun doute sur ce point. La CNIL travaille sur le sujet, des instances européennes également et on peut raisonnablement penser que des textes, des lignes directrices et un cadre réglementaire viendront se positionner sur la blockchain.

Mais sans les attendre, il est déjà possible de se poser beaucoup de questions.

J’espère que ces articles vous ont aidé à mieux comprendre le sujet et les enjeux ! N’hésitez pas à intervenir dans les commentaires, sur les réseaux sociaux ou par e-mail si vous souhaitez échanger sur le sujet.

]]>
Nous avons vu dans un premier article ce qu’était la blockchain, quelques points propres au RGPD, l’interaction nécessaire entre la technologie et la réglementation,… Nous sommes entrés, ensuite, dans le détail des incompatibilités entre la loi et la technologie. Nous allons maintenant nous attarder sur les mesures à mettre en place afin de gérer les problèmes et les écarts entre la loi et la blockchain.

Surfer sur la « hype » de la blockchain, c’est dangereux.

La blockchain, c’est à la mode. C’est en plein boom, tout le monde saute dessus, des banques aux groupes agroalimentaires. Mais est-ce vraiment une bonne idée ?

Le premier point qui peut vous éviter des ennuis avec la blockchain, c’est vous, c’est votre réflexion sérieuse sur le sujet.

La question à vous poser est la suivante : « Est-ce que j’ai réellement besoin de mettre en place une blockchain ? Est-ce que d’autres mesures existent et permettent d’arriver au même résultat ? Si oui, alors pourquoi mettre en place une blockchain ? »

Ça semble évident, mais la folie de la technologie fait qu’on se lance parfois dans des projets sans réfléchir aux conséquences de leurs choix.

La solution pour arriver à une blockchain globalement conforme, c’est essentiellement une chose : se poser les bonnes questions.

Mais quelles questions ?

La première, nous l’avons déjà abordée : « Est-ce que j’ai vraiment besoin d’une blockchain ? ». Si vous poursuivez un objectif précis, il faut vous interroger quant au réel besoin de la blockchain.

Si la réponse est oui, la seconde question doit arriver très rapidement : « de quelles informations j’ai besoin, dans cette blockchain ? »

Il faut garder à l’esprit que ce qui est dans une blockchain reste dans une blockchain ! Il sera toujours possible d’invalider des informations, en injectant des ordres d’annulation dans la blockchain, ordres qui seront par la suite validés par la majorité… mais les informations ne seront pas pour autant supprimées.

Ainsi, il est préférable (et recommandé) d’injecter des informations qui ne permettent pas d’identifier directement ou indirectement des personnes. Il est globalement envisageable d’injecter un identifiant qui, pris seul, permet de suivre des transactions sans permettre d’identifier une personne et de disposer de ces informations d’identification à part, hors blockchain. Il devient alors possible de procéder à l’effacement de données d’identification et d’arriver à une anonymisation des personnes, avec une blockchain.

Attention cependant, une anonymisation réelle, efficiente, est un procédé qui ne permet pas de connaitre ou de déduire l’identité d’une personne. C’est un procédé irréversible et total, si on peut ré-identifier des personnes, le but de l’anonymisation n’est pas atteint.

De la même façon, il faut s’interroger sur la donnée saisie dans la blockchain. « Est-ce que les données intégrées dans cette dernière sont des données à caractère personnel ? » « Dans quelle mesure elles permettent d’identifier une personne ? » « Sommes-nous dans le cadre d’une identification très difficile (il faut recouper de nombreuses informations pour déduire un nom) ou alors extrêmement facile et précise (sans efforts, je sais qui est la personne et je l’identifie de façon formelle) ? » En fonction de la facilité à identifier une personne, il faudra mettre en place des mesures techniques et organisationnelles plus ou moins poussées. Tout dépend de la vraissemblance à identifier une personne et des conséquences de cette identification ou des conséquences de l’usage de ses données liées à son identité.

Finalement, toute la conformité d’une blockchain au RGPD se résume en un concept : le privacy-by-design (bon, deux, le by-default aussi). Ces concepts s’appliquent à l’ensemble des traitements de données à caractère personnel et sont cruciaux dans les réflexions à avoir sur la blockchain.

Privacy-by-quoiquoi ?

Design ! La définition donnée par la Commission Nationale pour la Protection des Données (CNPD, l’équivalent luxembourgeois de notre CNIL française), définit le privacy-by-design comme ceci :

« Le concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement devraient offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données. » (https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/privacy-by-design.html)

La définition est simple, claire, mais sous-entend un ensemble d’éléments techniques et organisationnels large. Elle rejoint la notion de privacy-by-default, selon laquelle « chaque entreprise traitant des données personnelles doit garantir par défaut le plus haut niveau possible de protection des données. », comme l’explique la CNPD.

Elle consacre d’ailleurs une page entière à l’explication du privacy-by-design, consultable ici : https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/privacy-by-design/Le-Privacy-by-Design_-de-quoi-s_agit-il_.html

Vous disposez des idées générales mais, dans la mesure où chaque implémentation de blockchain dispose de propriétés uniques, je ne rentrerai pas davantage dans le détail. L’objectif de cette série de billets est que toute personne travaillant de près ou non avec la blockchain puisse comprendre qu’il est temps de se questionner.

Un dernier point cependant… Parce que je l’ai vu, lu, et rencontré pas mal de fois…

Arrêtez de faire n’importe quoi avec la blockchain

C’est un peu direct, mais c’est le reflet d’une bien triste réalité dans le monde de la sécurité : la blockchain n’est, globalement, pas sécurisée. Si les informations inscrites dans ces dernières sont inscrites de façon non réversible, l’implémentation de la sécurité entourant le fonctionnement de la blockchain laisse à désirer.

De nombreuses personnes se lancent dans la blockchain. Pour cela, elle mettent en place des solutions gratuites, open-source, téléchargent un programme prêt à l’usage, modifient rapidement deux trois morceaux de code et mettent en production la blockchain, sans vérifier le niveau de sécurité de cette dernière.

Ainsi, il n’est pas rare de rencontrer une blockchain censée être sécurisée, alors que le SSL n’est pas activé, ou acceptant encore le TLS 1.0. Il n’est pas non plus rare de rencontrer une blockchain mise en service avec une configuration par défaut, des mots de passe par défaut, une gestion des accès inexistante, des failles identifiées et non patchées ou, comble du comble, des nœuds de blockchain qui tournent sur des systèmes informatiques sensibles, sur des environnements de production, créant ainsi des gros risques.

Afin de favoriser l’adoption de la blockchain, de nombreuses personnes cherchent à faire simple, facile d’usage, « quelques clics et c’est réglé ». Cela n’est pas sans conséquences : la sécurité de la blockchain s’en trouve amoindrie, elle est plus exposée aux risques et, dans une optique de conformité au RGPD, de privacy-by-default, cela ne devrait pas arriver, puisque par défaut on cherche le plus haut niveau de sécurité.

A qui la faute ?

A tout le monde et personne à la fois. La plupart du temps, les développeurs des solutions de blockchain sont des bénévoles, qui mettent à disposition des solutions et qui prônent l’usage du logiciel libre. Ils ne sont pas nécessairement spécialisés en sécurité, ni au fait des obligations réglementaires qu’ils devraient respecter.

Les entreprises qui implémentent de la blockchain sont partiellement responsables, elles n’ont généralement pas la connaissance suffisante pour pouvoir le faire de façon totalement sécurisée. La configuration d’une blockchain, dès qu’on plonge les mains dans le code, est compliquée. De nombreux fichiers s’appellent les uns les autres, des paramètres extrêmement importants sont à paramétrer dans les tréfonds des fichiers de configuration, d’autres fonctions sont dépendantes du système d’exploitation installé et ont des dépendances parfois non satisfaites.

Pire encore, certaines blockchains fonctionnent dans des environnement en conteneurs, où il « suffit » juste de lancer, et tout fonctionne… on ne sait pas trop comment exactement, on ne peut pas vraiment toucher au code, voir et comprendre le fonctionnement, mais d’expérience, la plupart du temps, ce n’est pas sécurisé.

Alors, sans agresser personne, dites-vous simplement que ces pratiques mériteraient une vaste remise en question.

Nous arrivons au terme de cette série d’articles sur le RGPD et la Blockchain. Globalement, tout ou presque est à penser, imaginer et construire pour sécuriser l’usage de la blockchain et assurer sa compatibilité avec le RGPD et la protection des données à caractère personnel de manière plus globale.

On peut comparer le développement de la blockchain aux premiers pas du WEB. La sécurité de ce dernier n’était pas la priorité à ses débuts, l’essentiel, c’est que ça fonctionnait. Nous en sommes à peu près à cette étape, dans l’univers de la blockchain, pas au tout début, mais pas très loin quand même. De nouvelles façons de faire arrivent régulièrement, de nouvelles blockchains se créent, des évolutions sur le service sont apportées, sur la façon de la faire fonctionner, mais pas sur la sécurité, tout simplement car la blockchain n’est pas assez mature.

Cette façon de faire, non sans risque, devra évoluer au fil des années, et elle évoluera, je n’ai aucun doute sur ce point. La CNIL travaille sur le sujet, des instances européennes également et on peut raisonnablement penser que des textes, des lignes directrices et un cadre réglementaire viendront se positionner sur la blockchain.

Mais sans les attendre, il est déjà possible de se poser beaucoup de questions.

J’espère que ces articles vous ont aidé à mieux comprendre le sujet et les enjeux ! N’hésitez pas à intervenir dans les commentaires, sur les réseaux sociaux ou par e-mail si vous souhaitez échanger sur le sujet.

]]>
Blockchain et RGPD, des incompatibilités insurmontables ? http://pixellibre.net/?p=3276 ./?Blockchain-et-RGPD-des-incompatibilités-insurmontables Wed, 17 Apr 2019 11:52:29 +0200 La semaine dernière, nous avons commencé à parler du RGPD dans le secteur de la Blockchain. L’objectif était de « poser le décor », afin d’avoir les éléments nécessaires pour comprendre les risques de non-conformité liés à la technologie. Cette semaine, nous entrons dans le détail des incompatibilités entre RGPD et Blockchain.

Quelles sont les incompatibilités ?

Je ne veux pas jouer les alarmistes, ce n’est pas mon objectif. Pour commencer, sachez que des ateliers de réflexion sur les moyens d’avoir une blockchain conforme au RGPD existent. L’European Union Blockchain Observaroty and Forum, à l’initiative de la Commission Européenne, s’est penchée sur la question. Un rapport a vu le jour suite à cette initiative, afin de présenter le besoin, le problème et d’éventuelles solutions.

La CNIL, de son côté, s’est également penchée sur le sujet, courant septembre 2018 :  Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?

Dans les deux cas, la blockchain est une technologie récente et nous n’avons pas encore assez de recul sur le sujet. Les études plaident pour des analyses au cas par cas, en observant les besoins, les situations, les objectifs poursuivis et les moyens techniques mis en place.

Un des points « de base » du RGPD est la qualification du régime juridique des acteurs du traitement. D’habitude, la protection des données repose sur une gestion « classique » des données : elles sont centralisées au sein d’organismes identifiés de façon assez nette.

Problème : la blockchain (publique à minima) repose globalement sur l’absence d’organisme centralisé et identifié. Son fonctionnement est distribué aux différents nœuds qui la composent. Il n’existe pas de centralisation des données, mais des réplications des données sur la totalité du globe.

Nous pouvons nous attacher aux définitions formelles des acteurs, telles que formulées dans l’article 4 du RGPD.

Ainsi, un responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement, […] ». Un sous-traitant, quant à lui, est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Dans le cadre d’une blockchain publique, qui est qui ?

Le fait d’installer une application et de devenir un node de la blockchain pourrait-il être assimilé à la définition des moyens (le logiciel) et des finalités (miner ou produire des transactions sr la blockchain) ? Dans ce cas, la quasi totalité des utilisateurs de la blockchain seraient des responsables de traitement ?

En pratique, non. L’avis de la CNIL est le suivant : une personne physique participant à une blockchain pourrait être responsable de traitement si ce qu’elle en fait est en lien avec une activité professionnelle ou commerciale. Une personne morale, quant à elle, serait responsable de traitement dès lors qu’elle inscrit des données à caractère personnel sur la blockchain.

Les personnes qui ne font que valider les transactions (on parle de mineurs) ne font que valider des transactions, ils ne déterminent rien et ne sont pas, dès lors, des responsables de traitement.

La situation doit s’évaluer au cas par cas et il ne faut pas négliger l’analyse. C’est à partir des conclusions de cette dernière que vous allez savoir quoi faire, et comment faire.

Imaginons que je vous contacte pour faire exercer un droit d’accès… si vous ne savez pas qui est le responsable de traitement, qui est la personne à contacter, alors je n’ai aucun moyen de faire exercer mes droits, ce qui pourrait fortement me déplaire… 😉

Tu vas respecter mes droits !!!

Une fois que vous avez réussi à savoir exactement qui était quoi, commence le « vrai » problème.

Durée de conservation, droits, …

Un responsable de traitement doit définir une durée de conservation des données, ou à défaut, expliquer les moyens qui permettent de définir cette durée… mais vous l’aurez compris avec le billet précédent, une fois qu’une information est dans la blockchain, elle est définitivement dedans. Il n’est pas possible de supprimer des données déjà présentes dans la blockchain. Donc, la durée de conservation est « infinie » et le seul moyen de supprimer des informations serait de détruire intégralement la blockchain en question.

L’objectif de la CNIL comme de la réglementation en matière de protection des données à caractère personnel n’est pas d’interdire la technologie mais de l’encadrer afin que la loi soit respectée. Ici, nous avons une incompatibilité majeure, liée au fonctionnement même de la blockchain.

On pourrait considérer que la durée de conservation est « la durée de vie de la blockchain ». Comme certains le disent dans le monde des avocats « ça se plaide ». Cependant, il n’est pas certain que la CNIL soit de cet avis, en fonction des cas…

Est-ce insurmontable ? Non. L’idée, afin que ladite blockchain soit conforme, serait de ne pas inscrire de données à caractère personnel dedans.

« Tout simplement » ?

Simple ? Certainement pas. La définition d’une donnée à caractère personnel est large : toute information relative à une personne physique identifiée ou identifiable, de façon directe ou indirecte. Ainsi, si on pense évidemment aux éléments directs (nom, prénom, numéro de téléphone, e-mail, …), les éléments indirects doivent être analysés avec bien plus de précautions. Par exemple, un pseudonyme, une caractéristique physique ou le recoupement de données qui n’ont strictement rien de personnel pourraient conduire à identifier des personnes physiques. Partant de ce principe, il est nécessaire de s’interroger quant aux données gérées afin de savoir si vous êtes en présence de données à caractère personnel.

Autre problème venant complexifier la chose : le besoin de la blockchain. Si elle est mise en place, c’est généralement pour répondre à un besoin de traçabilité des échanges, des interactions, des ventes, pour suivre la circulation de divers biens. Partant de là, ne pas avoir de données à caractère personnel peut s’avérer complexe.

La minimisation des données

Cette impossibilité de supprimer ces données vient s’opposer à un autre principe : celui de la minimisation des données. Le principe de la minimisation des données consiste à ne collecter, traiter et conserver que les données strictement nécessaires au traitement et à n’en donner l’accès qu’aux personnes légitimes à disposer de cette information (ont dit « ayant besoin d’en connaitre »). Dans le fonctionnement de la blockchain, il suffit de « télécharger un logiciel et le registre de la blockchain » et on dispose d’un accès aux informations et, en fonction du type de blockchain, à un accès total à ces informations. Estimer cette conformité à la minimisation des données pourrait donc s’avérer assez problématique.

L’exercice des droits

Enfin, toujours d’un point de vue RGPD, l’exercice de certains droits peut s’avérer compliqué à mettre en œuvre. Si l’obligation d’information et le droit d’accès, ainsi que celui à la portabilité semblent applicables, le droit à l’effacement, lui, est techniquement inapplicable, puisqu’il est impossible de procéder à l’effacement des données.

Le droit à la rectification semble applicable : en ajoutant une nouvelle information dans la blockchain, qui viendra invalider l’ancienne. L’ancienne ne sera pas supprimée de la blockchain, mais elle sera indiquée comme n’étant plus valide, ce qui permet de répondre, en soi, à la demande de rectification.    

Comme expliqué précédemment, l’objectif n’est pas de vous présenter une analyse détaillée du problème, mais un aperçu global des incompatibilités actuelles entre la blockchain et le RGPD. Cependant… a bien y réfléchir… il est possible de trouver une solution « en amont ». On en parle dans le dernier article consacré au sujet !

]]>
La semaine dernière, nous avons commencé à parler du RGPD dans le secteur de la Blockchain. L’objectif était de « poser le décor », afin d’avoir les éléments nécessaires pour comprendre les risques de non-conformité liés à la technologie. Cette semaine, nous entrons dans le détail des incompatibilités entre RGPD et Blockchain.

Quelles sont les incompatibilités ?

Je ne veux pas jouer les alarmistes, ce n’est pas mon objectif. Pour commencer, sachez que des ateliers de réflexion sur les moyens d’avoir une blockchain conforme au RGPD existent. L’European Union Blockchain Observaroty and Forum, à l’initiative de la Commission Européenne, s’est penchée sur la question. Un rapport a vu le jour suite à cette initiative, afin de présenter le besoin, le problème et d’éventuelles solutions.

La CNIL, de son côté, s’est également penchée sur le sujet, courant septembre 2018 :  Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?

Dans les deux cas, la blockchain est une technologie récente et nous n’avons pas encore assez de recul sur le sujet. Les études plaident pour des analyses au cas par cas, en observant les besoins, les situations, les objectifs poursuivis et les moyens techniques mis en place.

Un des points « de base » du RGPD est la qualification du régime juridique des acteurs du traitement. D’habitude, la protection des données repose sur une gestion « classique » des données : elles sont centralisées au sein d’organismes identifiés de façon assez nette.

Problème : la blockchain (publique à minima) repose globalement sur l’absence d’organisme centralisé et identifié. Son fonctionnement est distribué aux différents nœuds qui la composent. Il n’existe pas de centralisation des données, mais des réplications des données sur la totalité du globe.

Nous pouvons nous attacher aux définitions formelles des acteurs, telles que formulées dans l’article 4 du RGPD.

Ainsi, un responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement, […] ». Un sous-traitant, quant à lui, est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Dans le cadre d’une blockchain publique, qui est qui ?

Le fait d’installer une application et de devenir un node de la blockchain pourrait-il être assimilé à la définition des moyens (le logiciel) et des finalités (miner ou produire des transactions sr la blockchain) ? Dans ce cas, la quasi totalité des utilisateurs de la blockchain seraient des responsables de traitement ?

En pratique, non. L’avis de la CNIL est le suivant : une personne physique participant à une blockchain pourrait être responsable de traitement si ce qu’elle en fait est en lien avec une activité professionnelle ou commerciale. Une personne morale, quant à elle, serait responsable de traitement dès lors qu’elle inscrit des données à caractère personnel sur la blockchain.

Les personnes qui ne font que valider les transactions (on parle de mineurs) ne font que valider des transactions, ils ne déterminent rien et ne sont pas, dès lors, des responsables de traitement.

La situation doit s’évaluer au cas par cas et il ne faut pas négliger l’analyse. C’est à partir des conclusions de cette dernière que vous allez savoir quoi faire, et comment faire.

Imaginons que je vous contacte pour faire exercer un droit d’accès… si vous ne savez pas qui est le responsable de traitement, qui est la personne à contacter, alors je n’ai aucun moyen de faire exercer mes droits, ce qui pourrait fortement me déplaire… 😉

Tu vas respecter mes droits !!!

Une fois que vous avez réussi à savoir exactement qui était quoi, commence le « vrai » problème.

Durée de conservation, droits, …

Un responsable de traitement doit définir une durée de conservation des données, ou à défaut, expliquer les moyens qui permettent de définir cette durée… mais vous l’aurez compris avec le billet précédent, une fois qu’une information est dans la blockchain, elle est définitivement dedans. Il n’est pas possible de supprimer des données déjà présentes dans la blockchain. Donc, la durée de conservation est « infinie » et le seul moyen de supprimer des informations serait de détruire intégralement la blockchain en question.

L’objectif de la CNIL comme de la réglementation en matière de protection des données à caractère personnel n’est pas d’interdire la technologie mais de l’encadrer afin que la loi soit respectée. Ici, nous avons une incompatibilité majeure, liée au fonctionnement même de la blockchain.

On pourrait considérer que la durée de conservation est « la durée de vie de la blockchain ». Comme certains le disent dans le monde des avocats « ça se plaide ». Cependant, il n’est pas certain que la CNIL soit de cet avis, en fonction des cas…

Est-ce insurmontable ? Non. L’idée, afin que ladite blockchain soit conforme, serait de ne pas inscrire de données à caractère personnel dedans.

« Tout simplement » ?

Simple ? Certainement pas. La définition d’une donnée à caractère personnel est large : toute information relative à une personne physique identifiée ou identifiable, de façon directe ou indirecte. Ainsi, si on pense évidemment aux éléments directs (nom, prénom, numéro de téléphone, e-mail, …), les éléments indirects doivent être analysés avec bien plus de précautions. Par exemple, un pseudonyme, une caractéristique physique ou le recoupement de données qui n’ont strictement rien de personnel pourraient conduire à identifier des personnes physiques. Partant de ce principe, il est nécessaire de s’interroger quant aux données gérées afin de savoir si vous êtes en présence de données à caractère personnel.

Autre problème venant complexifier la chose : le besoin de la blockchain. Si elle est mise en place, c’est généralement pour répondre à un besoin de traçabilité des échanges, des interactions, des ventes, pour suivre la circulation de divers biens. Partant de là, ne pas avoir de données à caractère personnel peut s’avérer complexe.

La minimisation des données

Cette impossibilité de supprimer ces données vient s’opposer à un autre principe : celui de la minimisation des données. Le principe de la minimisation des données consiste à ne collecter, traiter et conserver que les données strictement nécessaires au traitement et à n’en donner l’accès qu’aux personnes légitimes à disposer de cette information (ont dit « ayant besoin d’en connaitre »). Dans le fonctionnement de la blockchain, il suffit de « télécharger un logiciel et le registre de la blockchain » et on dispose d’un accès aux informations et, en fonction du type de blockchain, à un accès total à ces informations. Estimer cette conformité à la minimisation des données pourrait donc s’avérer assez problématique.

L’exercice des droits

Enfin, toujours d’un point de vue RGPD, l’exercice de certains droits peut s’avérer compliqué à mettre en œuvre. Si l’obligation d’information et le droit d’accès, ainsi que celui à la portabilité semblent applicables, le droit à l’effacement, lui, est techniquement inapplicable, puisqu’il est impossible de procéder à l’effacement des données.

Le droit à la rectification semble applicable : en ajoutant une nouvelle information dans la blockchain, qui viendra invalider l’ancienne. L’ancienne ne sera pas supprimée de la blockchain, mais elle sera indiquée comme n’étant plus valide, ce qui permet de répondre, en soi, à la demande de rectification.    

Comme expliqué précédemment, l’objectif n’est pas de vous présenter une analyse détaillée du problème, mais un aperçu global des incompatibilités actuelles entre la blockchain et le RGPD. Cependant… a bien y réfléchir… il est possible de trouver une solution « en amont ». On en parle dans le dernier article consacré au sujet !

]]>
Blockchain et RGPD, est-ce compatible ? http://pixellibre.net/?p=3272 ./?Blockchain-et-RGPD-est-ce-compatible Thu, 11 Apr 2019 17:15:06 +0200 Depuis quelques années, nous assistons à un déploiement massif de la blockchain un peu partout. Qu’elle soit publique ou privée, ses avantages sont indéniables : traçabilité de l’information, non répudiation de cette dernière, facilités de déploiement sont autant d’éléments qui participent à son succès. Cependant, son principe de fonctionnement pourrait représenter un défi majeur pour assurer sa conformité au règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données … plus connu sous le doux nom de RGPD.

La Blockchain, qu’est-ce que c’est ?

Créée à la base pour le Bitcoin, la blockchain est une technologie qui permet de stocker et de transmettre des informations, de façon complètement transparente, sans organe central de contrôle et généralement, de façon plus ou moins sécurisée.

La traduction littérale, « chaine de blocs », et une bonne image de ce qu’est la blockchain : une sorte base de données qui contient l’ensemble des informations relatives aux échanges effectués entre les utilisateurs de la blockchain et ce depuis la création de cette dernière.

Illustration d’une blockchain, source : https://blockchainfrance.net/decouvrir-la-blockchain/c-est-quoi-la-blockchain/

Cette base de données est distribuée entre les utilisateurs de la blockchain, sans qu’aucun intermédiaire ne s’interface entre les utilisateurs. C’est un des principes clef de la blockchain : chaque personne peut vérifier la validité de cette dernière. On peut donc confirmer une information car l’ensemble des utilisateurs actifs de la blockchain dispose de la même.

Pour donner une image plus ou moins représentative, on pourrait imaginer qu’une blockchain est comme un énorme livre. Dans ce livre, on consigne l’ensemble des informations relatives à des échanges (exemple : Paul Dupont, habitant au 17 de la Rue du Lac, 51000 Reims a vendu trois baguettes à Jean, habitant 12 Boulevard de la Paix, 51100 Reims, le 10 avril 2019, à 13:55:02,31 heures, pour 3 euros). Tout le monde peut consulter ce livre et approuver par vérification les transactions effectuées mais personne ne peut supprimer les informations contenues dans ce livre. Un utilisateur qui se sert d’un programme pour relayer ces transactions et qui garde une copie du registre de la blockchain est appelé un « nœud », ou node, en anglais. Ces nodes, dont certaines réalisent des tâches spécifiques, sont réparties un peu partout à travers le monde, puisque les utilisateurs peuvent être n’importe où et parfois n’importe qui.

Certaines blockchains sont publiques et librement accessibles à tous. Il suffit de télécharger un logiciel spécifique capable de gérer la blockchain sur laquelle vous souhaitez vous inscrire, une copie du registre de la blockchain (le livre dont nous parlions juste avant) est alors téléchargée et … c’est parti !

D’autres, à l’inverse, sont privées, les acteurs de cette blockchain sont alors spécifiques, ils doivent être autorisés, approuvés, afin de pouvoir utiliser ladite blockchain. 

Bon, c’est plus clair, mais… concrètement, à quoi ça sert ?

Des experts du sujet m’ont dit, un jour « ça sert à tout ce que tu veux, la seule limite c’est ton imagination ». La réalité n’est probablement pas très lointaine de cette déclaration. On peut imaginer de très (très) nombreux usages de la blockchain. On pourrait l’utiliser dans le secteur agroalimentaire pour disposer d’un registre transparent et vérifié sur la traçabilité de la nourriture. Ainsi, au hasard évidemment, on pourrait éviter d’avoir du cheval dans ce qui est censé être du 100% bœuf.

On pourrait l’utiliser (et on l’utilise) pour consigner des actes de vente dans l’immobilier. La blockchain permet d’avoir toutes les informations d’un bien, ses différents propriétaires au fil du temps, son état, … elle permet aussi à l’acheteur de disposer d’une preuve de vente, parfaitement indiscutable.

On peut y avoir recours dans les systèmes bancaires, dans la gestion des titres, des diplômes, des certifications et de bien d’autres choses encore…

En résumé, la blockchain dispose de très nombreuses applications.

Et RGPD dans tout ça ?

Le RGPD, de son côté, est venu renforcer le cadre juridique relatif à la protection des données à caractère personnel. Trois des grands objectifs de ce règlement européen étaient l’uniformisation du cadre réglementaire au sein de l’Europe, le renforcement des droits des individus et, axe fondamental qui a vu le jour avec l’arrivée du RGPD : « l’accountability ».

Ce principe requiert un certain nombre d’exigences, qui incombent aux organismes publics, privés, aux personnes physiques ou morales qui exercent un rôle au sein du traitement. Avant RGPD, les responsables de traitement devaient déclarer leurs traitements aux autorités compétentes (la CNIL, en France, je ne parlerai d’ailleurs que de la CNIL ici). Le responsable de traitement indiquait alors ce qu’il faisait des données, comment elles étaient collectées, pourquoi, comment elles étaient protégées… mais tout ceci n’était que déclaratif.

Avec RGPD, ce régime déclaratif n’existe, à de rares exceptions près, plus. Les entreprises doivent prendre toutes les mesures nécessaires pour garantir qu’elles sont en conformité avec le RGPD… et surtout, elles doivent être en capacité de démontrer cette dernière !

Les mesures, tant techniques d’organisationnelles, sont nombreuses, je ne vais donc parler que de celles en lien avec le sujet, et d’une façon générale. (ndlr : l’objectif n’est pas, ici, de fournir une présentation complète du RGPD, ni une formation sur le sujet. Le billet serait illisible, et long, très long.)

Une entreprise responsable de traitement doit identifier les acteurs du traitement, ses tiers, ses destinataires, ses sous-traitants. Ses obligations vont très significativement varier selon ce que l’entreprise est.

L’entreprise doit pouvoir informer les utilisateurs concernés par le traitement de données à caractère personnel. Elle doit, entre autres, leur indiquer les finalités du traitement, les personnes impliquées dans le traitement, les tiers et destinataires des données, la durée de conservation des données, …

L’entreprise doit aussi indiquer les droits que les personnes concernées peuvent exercer et la procédure à suivre pour le faire, outre le droit d’accès auquel tout le monde pense, le droit de rectification, d’effacement, de limitation du traitement, de portabilité des données, d’opposition et d’opposition à la prise de décision individuelle automatisée doivent être intégrés, dans la mesure du possible et s’ils font sens.

L’objectif du RGPD n’est pas d’interdire des technologies, mais d’en réguler l’usage. Ainsi, hors de question d’interdire la Blockchain.

Enfin, les entreprises, dans cette logique d’accountability, doivent être en capacité, à tout moment, de démontrer que leurs traitements respectent les principes directeurs du RGPD. L’entreprise doit donc documenter sa façon de faire, ses informations transmises, ses procédures, le registre de ses activités… Bref, elle doit tout connaître de la façon dont elle gère des données à caractère personnel.

Ce ne sont que quelques points qui vous permettent de comprendre ce qui est attendu d’une entreprise afin qu’elle soit conforme à la règlementation. Sans entrer dans les détails, j’accompagne des clients sur leur mise en conformité au RGPD, et si ça semble facile sur le papier, en pratique, c’est nettement plus vaste et compliqué.

Vous commencez peut-être à comprendre les problématiques de la conformité RGPD appliquée à la blockchain… Non ?

Si ce n’est pas le cas, rassurez-vous, le second billet sur le sujet va vous aider à mieux comprendre.

]]>
Depuis quelques années, nous assistons à un déploiement massif de la blockchain un peu partout. Qu’elle soit publique ou privée, ses avantages sont indéniables : traçabilité de l’information, non répudiation de cette dernière, facilités de déploiement sont autant d’éléments qui participent à son succès. Cependant, son principe de fonctionnement pourrait représenter un défi majeur pour assurer sa conformité au règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données … plus connu sous le doux nom de RGPD.

La Blockchain, qu’est-ce que c’est ?

Créée à la base pour le Bitcoin, la blockchain est une technologie qui permet de stocker et de transmettre des informations, de façon complètement transparente, sans organe central de contrôle et généralement, de façon plus ou moins sécurisée.

La traduction littérale, « chaine de blocs », et une bonne image de ce qu’est la blockchain : une sorte base de données qui contient l’ensemble des informations relatives aux échanges effectués entre les utilisateurs de la blockchain et ce depuis la création de cette dernière.

Illustration d’une blockchain, source : https://blockchainfrance.net/decouvrir-la-blockchain/c-est-quoi-la-blockchain/

Cette base de données est distribuée entre les utilisateurs de la blockchain, sans qu’aucun intermédiaire ne s’interface entre les utilisateurs. C’est un des principes clef de la blockchain : chaque personne peut vérifier la validité de cette dernière. On peut donc confirmer une information car l’ensemble des utilisateurs actifs de la blockchain dispose de la même.

Pour donner une image plus ou moins représentative, on pourrait imaginer qu’une blockchain est comme un énorme livre. Dans ce livre, on consigne l’ensemble des informations relatives à des échanges (exemple : Paul Dupont, habitant au 17 de la Rue du Lac, 51000 Reims a vendu trois baguettes à Jean, habitant 12 Boulevard de la Paix, 51100 Reims, le 10 avril 2019, à 13:55:02,31 heures, pour 3 euros). Tout le monde peut consulter ce livre et approuver par vérification les transactions effectuées mais personne ne peut supprimer les informations contenues dans ce livre. Un utilisateur qui se sert d’un programme pour relayer ces transactions et qui garde une copie du registre de la blockchain est appelé un « nœud », ou node, en anglais. Ces nodes, dont certaines réalisent des tâches spécifiques, sont réparties un peu partout à travers le monde, puisque les utilisateurs peuvent être n’importe où et parfois n’importe qui.

Certaines blockchains sont publiques et librement accessibles à tous. Il suffit de télécharger un logiciel spécifique capable de gérer la blockchain sur laquelle vous souhaitez vous inscrire, une copie du registre de la blockchain (le livre dont nous parlions juste avant) est alors téléchargée et … c’est parti !

D’autres, à l’inverse, sont privées, les acteurs de cette blockchain sont alors spécifiques, ils doivent être autorisés, approuvés, afin de pouvoir utiliser ladite blockchain. 

Bon, c’est plus clair, mais… concrètement, à quoi ça sert ?

Des experts du sujet m’ont dit, un jour « ça sert à tout ce que tu veux, la seule limite c’est ton imagination ». La réalité n’est probablement pas très lointaine de cette déclaration. On peut imaginer de très (très) nombreux usages de la blockchain. On pourrait l’utiliser dans le secteur agroalimentaire pour disposer d’un registre transparent et vérifié sur la traçabilité de la nourriture. Ainsi, au hasard évidemment, on pourrait éviter d’avoir du cheval dans ce qui est censé être du 100% bœuf.

On pourrait l’utiliser (et on l’utilise) pour consigner des actes de vente dans l’immobilier. La blockchain permet d’avoir toutes les informations d’un bien, ses différents propriétaires au fil du temps, son état, … elle permet aussi à l’acheteur de disposer d’une preuve de vente, parfaitement indiscutable.

On peut y avoir recours dans les systèmes bancaires, dans la gestion des titres, des diplômes, des certifications et de bien d’autres choses encore…

En résumé, la blockchain dispose de très nombreuses applications.

Et RGPD dans tout ça ?

Le RGPD, de son côté, est venu renforcer le cadre juridique relatif à la protection des données à caractère personnel. Trois des grands objectifs de ce règlement européen étaient l’uniformisation du cadre réglementaire au sein de l’Europe, le renforcement des droits des individus et, axe fondamental qui a vu le jour avec l’arrivée du RGPD : « l’accountability ».

Ce principe requiert un certain nombre d’exigences, qui incombent aux organismes publics, privés, aux personnes physiques ou morales qui exercent un rôle au sein du traitement. Avant RGPD, les responsables de traitement devaient déclarer leurs traitements aux autorités compétentes (la CNIL, en France, je ne parlerai d’ailleurs que de la CNIL ici). Le responsable de traitement indiquait alors ce qu’il faisait des données, comment elles étaient collectées, pourquoi, comment elles étaient protégées… mais tout ceci n’était que déclaratif.

Avec RGPD, ce régime déclaratif n’existe, à de rares exceptions près, plus. Les entreprises doivent prendre toutes les mesures nécessaires pour garantir qu’elles sont en conformité avec le RGPD… et surtout, elles doivent être en capacité de démontrer cette dernière !

Les mesures, tant techniques d’organisationnelles, sont nombreuses, je ne vais donc parler que de celles en lien avec le sujet, et d’une façon générale. (ndlr : l’objectif n’est pas, ici, de fournir une présentation complète du RGPD, ni une formation sur le sujet. Le billet serait illisible, et long, très long.)

Une entreprise responsable de traitement doit identifier les acteurs du traitement, ses tiers, ses destinataires, ses sous-traitants. Ses obligations vont très significativement varier selon ce que l’entreprise est.

L’entreprise doit pouvoir informer les utilisateurs concernés par le traitement de données à caractère personnel. Elle doit, entre autres, leur indiquer les finalités du traitement, les personnes impliquées dans le traitement, les tiers et destinataires des données, la durée de conservation des données, …

L’entreprise doit aussi indiquer les droits que les personnes concernées peuvent exercer et la procédure à suivre pour le faire, outre le droit d’accès auquel tout le monde pense, le droit de rectification, d’effacement, de limitation du traitement, de portabilité des données, d’opposition et d’opposition à la prise de décision individuelle automatisée doivent être intégrés, dans la mesure du possible et s’ils font sens.

L’objectif du RGPD n’est pas d’interdire des technologies, mais d’en réguler l’usage. Ainsi, hors de question d’interdire la Blockchain.

Enfin, les entreprises, dans cette logique d’accountability, doivent être en capacité, à tout moment, de démontrer que leurs traitements respectent les principes directeurs du RGPD. L’entreprise doit donc documenter sa façon de faire, ses informations transmises, ses procédures, le registre de ses activités… Bref, elle doit tout connaître de la façon dont elle gère des données à caractère personnel.

Ce ne sont que quelques points qui vous permettent de comprendre ce qui est attendu d’une entreprise afin qu’elle soit conforme à la règlementation. Sans entrer dans les détails, j’accompagne des clients sur leur mise en conformité au RGPD, et si ça semble facile sur le papier, en pratique, c’est nettement plus vaste et compliqué.

Vous commencez peut-être à comprendre les problématiques de la conformité RGPD appliquée à la blockchain… Non ?

Si ce n’est pas le cas, rassurez-vous, le second billet sur le sujet va vous aider à mieux comprendre.

]]>
La ligue du lol est la manifestation d’un problème plus large : « nous ». http://pixellibre.net/?p=3267 ./? Wed, 13 Feb 2019 18:03:14 +0100 Avant toute chose, il convient de définir deux choses : « nous » et « la ligue du lol ». Nous, ce sont les hommes, des hommes blancs et hétérosexuels, dont je fais partie. Ce billet n’a pas vocation à être excluant, mais les propos tenus sont destinés à des personnes en particulier, j’espère que vous le comprendrez.

La ligue du lol, quant à elle, était un groupe, initialement crée sur Facebook, par un jeune journaliste à l’époque, Vincent Glad. Ce groupe très majoritairement composé d’hommes issus du même milieu journalistique avait pour attraction favorite de se déchainer majoritairement sur des femmes, via plein de choses toutes plus dégueulasses les unes que les autres : spam sur les réseaux sociaux, insultes, commentaires sexistes et misogynes, photo montages, ragots, intimidations, canulars téléphoniques, harcèlement en ligne, harcèlement dans la vie physique et autres joyeusetés. Selon leurs excuses, toutes plus pourries les unes que les autres, ils n’étaient pas conscients des impacts que leurs actions pouvaient avoir sur leurs victimes d’un matin, d’un jour, d’une semaine ou plus. Aujourd’hui encore, des personnes sont marquées par les agissements de cette ligue, certaines ont mis des années à se reconstruire. Bref, la ligue du lol, c’était un boy’s club abject et dégueulasse.

Ces précisions étant faites, passons à la raison qui me fait écrire ces lignes. D’avance, mes excuses, c’est un billet un peu décousu, qui s’écrit d’une traite, « one shot » comme on dit, je veux que mes idées soient restituées telles qu’elles viennent et pas retravaillées pour former un billet plus conventionnel.

La ligue du lol était et est un problème. Un problème toujours d’actualité. Car des ligues du lol, il en existe plein, dans de très nombreux milieux, sous de très nombreuses formes, avec de très nombreux non. La mise en lumière de cette ligue devrait nous faire réfléchir, nous, les hommes, à nos comportements. En réalité ce n’est même pas cette ligue qui devrait nous faire réfléchir à nos comportements, nous devrions le faire naturellement, mais il faut croire qu’une bonne partie des hommes ne sont pas foutus de le faire, sauf avec un électrochoc. J’ose croire que la ligue en question est un électrochoc qui va permettre de remettre à plat un sacré paquet de choses.

Ce billet s’adresse principalement à ce nous, donc. Et que les personnes derrière ce nous se sentent concernés ou non, ils le sont. Messieurs, d’avance, si vous vous braquez à la lecture de ce billet, conseil : laissez votre égo de mâle là, et reprenez votre cerveau pour réfléchir à la portée de vos actes et de vos paroles comme à la portée vos inactions et de votre silence.

Premièrement, messieurs, nous sommes des privilégiés. Oui nous sommes, par rapport aux femmes, aux personnes racisées, aux personnes des communautés GRSM (LGBT+ pour résumer et tenter de n’exclure personne sans en arriver à un LGBTQI-je-suis-désolé-je-ne-sais-plus-la-suite), des personnes privilégiées.

Nous n’avons pas besoin de nous battre pour prouver notre légitimité, nous n’avons pas besoin de faire trois fois plus d’efforts pour convaincre, on ne nous manque pas de respect 50 fois par jour, on ne se fait pas siffler dans la rue pour un oui pour un non, on ne se fait pas traiter de pute ou autre parce qu’on refuse de donner notre numéro de téléphone, on ne se fait pas (oui cette phrase va être TRES longue) dévisager de la tête aux pieds lorsqu’on rentre dans un endroit quelconque, on ne se fait pas insulter de salopes ou autre quand on a eu de nombreuses partenaires sexuelles dans notre vie, et les gens ne se disent pas « il en a baisé des nanas, il doit en vouloir plus, forcément », on ne nous apprend pas à avoir peur dans la rue parce qu’un mec peut surgir de nulle part et te faire du mal, on ne nous dit pas que ne pas se raser c’est moche, à poste et compétences équivalentes, nous sommes payés plus que les femmes dans bien des secteurs d’activité, on ne se moque pas de nous quand nous ne comprenons pas quelque chose mais on nous explique, on ne nous dit pas « mais t’as pas baisé » quand on réagit mal à une blague prétendument drôle. On ne nous impose pas un culte du corps, de la beauté, et bien d’autres dictats. Nous, on a des poches de jean qui servent à quelque chose, et si tu rigoles à cet exemple, tu vas aller te renseigner. Nous, on ne viendra pas nous insulter ou nous casser la gueule parce qu’on aime quelqu’un du même sexe ou parce qu’on en a changé. On ne nous dira pas que nos pratiques sexuelles sont déviantes, on ne nous stigmatisera pas, on ne nous montera pas du doigt, on ne se sentira ni mal, ni sales, quand les gens parleront de nous. Nous, les gens vont d’abord regarder nos compétences avant de regarder notre visage ou nos formes.

La liste pourrait être encore plus longue, mais vous avez compris, j’espère, que oui, nous sommes des personnes privilégiées, hautement privilégiées. Ce n’est ni en mal ni en bien que je dis cela, ce n’est ni sale, ni péjoratif et vous n’êtes pas responsables de l’acquisition de ces privilèges, mais ils sont là.

Vous les avez. Même si vous n’en êtes pas conscients.

Que vous le vouliez ou non. Vous devez en prendre conscience et reconnaitre cela, sans quoi jamais vous ne serez capables de comprendre le problème que nous représentons.

Nos comportements, nos actions, nos paroles ou au contraire, l’absence d’actions, ou de paroles, doit nous questionner. Pourquoi voyons-nous des choses anormales, sexistes, déplacées, sans y réagir ? Pourquoi entendons-nous des choses abjectes, sans s’interposer ? Vous vous demandez quoi ? Petit florilège, entendu de mes oreilles dans ma vie :

  • « Cette nana c’est une crevette, tout est bon sauf la tête »,
  • « elle est p’tet compétence, mais elle est moche, dommage »,
  • « elle n’est pas très intelligente, mais elle est bonne, moi ça me va »,
  • « Hey, la nouvelle, tu lui donnes combien sur 10 ? »,
  • « La nouvelle, c’est une BAB » (ndlr : bonne à baiser),
  • « Bon, j’ai que des mecs dans mon équipe, je pourrais pas avoir des nanas pour avoir un peu de beauté dans mon équipe ? »
  • « C’est une femme, elle aura plus de mal avec la technique »,
  • « l’informatique, c’est un truc de mecs »,
  • « je suis toujours étonné quand je vois une nana streameuse jouer correctement »,
  • « tu joues bien pour une salope »,
  • « On va pas la recruter, elle va nous pondre un gamin un jour »,
  • « putain cette meuf pue le sexe »,
  • « ses yeux crient braguette »,
  • « Vu son sourire, elle a dû en avaler des kilomètres… »,
  • « elle porte une robe, putain l’allumeuse »,
  • « j’aide ma femme à faire les tâches ménagères »,
  • « pupute », …
  •  » Elle est agressive, cette mal-baisée »

Qui n’a jamais entendu ça ? Vous l’avez déjà prononcé ? Et vous trouvez ça normal ? Spoiler : ça ne l’est pas.

Ce comportement n’est pas acceptable.
Ni ces paroles
Ni cet état d’esprit abject.

Et pourtant, la plupart du temps, nous ne disons… rien. Voire pire, on participe, pour participer au phénomène du groupe social, en adopter les code, être « à la mode », bien vu, accepté par le groupe.

En quoi l’acceptation d’un groupe d’hommes au comportement à ce point déplorable est-elle une bonne chose ?

Nombreuses sont les raisons, mais la seule qui me semble à la limite acceptable, c’est la peur. Parce que c’est une peur, donc l’estimation pas totalement consciente d’un risque induit par une situation donnée. « Je n’irai pas dire au géant hyper costaud et très con que ce qu’il dit est déplacé, sexiste ou insultant, car il va me frapper. » Je n’ai pas dit qu’il fallait laisser faire, mais que je comprenais le sentiment de peur généré face à cette situation.

Ce ne rend pas ce silence acceptable pour autant, pour cette raison comme pour n’importe quelle autre raison.

La ligue du lol a horrifié bien des gens et fait remonter des souvenirs à la surface, pour beaucoup de monde. Des hommes ont été horrifiés, et ce qui m’horrifie, moi, c’est que des gens savaient, ont vu les choses se faire, certains en détails, d’autres en surface, mais étaient là, auraient pu dire quelque chose, auraient pu intervenir… mais n’ont rien dit. Comme beaucoup d’autres personnes, d’hommes, de « nous », qui, chaque jour voient des choses se passer, entendent des choses qui ne devraient pas être prononcées, et ne disent rien.

Votre silence condamne les victimes et vous rendent au moins en partie coupable. Je n’ai pas la volonté de vous culpabiliser, là n’est pas mon but, mais il faut utiliser les bons termes. En laissant les choses se faire, au prétexte d’une inclusion sociale au sein d’un groupe, ou que sais-je encore, vous vous rendez coupable.

Et cette culpabilité devrait vous revenir comme une claque en pleine figure, pour vous faire prendre conscience que le monde ne changera pas du jour au lendemain, et pas sans vous.

Vous n’allez pas vous réveiller, un beau matin, et « paf », plus d’injustice et de commentaires haineux. La question est : dans quel monde on veut vivre demain ? Dans un monde ou des ligues du lol continuent d’exister, ou dans un monde où Égalité signifie vraiment quelque chose, pour tout le monde ?

Alors, messieurs, nous, il est peut-être venu le temps de nous asseoir, de réfléchir et de remettre à plat bien des choses.

Une dernière note : si vous venez vous déchainer dans les commentaires ou sur les réseaux sociaux, souvenez-vous qu’il y a une personne derrière l’écran, et qu’il n’y a que l’écran qui est insensible et qui ne se fissure pas.

]]>
Avant toute chose, il convient de définir deux choses : « nous » et « la ligue du lol ». Nous, ce sont les hommes, des hommes blancs et hétérosexuels, dont je fais partie. Ce billet n’a pas vocation à être excluant, mais les propos tenus sont destinés à des personnes en particulier, j’espère que vous le comprendrez.

La ligue du lol, quant à elle, était un groupe, initialement crée sur Facebook, par un jeune journaliste à l’époque, Vincent Glad. Ce groupe très majoritairement composé d’hommes issus du même milieu journalistique avait pour attraction favorite de se déchainer majoritairement sur des femmes, via plein de choses toutes plus dégueulasses les unes que les autres : spam sur les réseaux sociaux, insultes, commentaires sexistes et misogynes, photo montages, ragots, intimidations, canulars téléphoniques, harcèlement en ligne, harcèlement dans la vie physique et autres joyeusetés. Selon leurs excuses, toutes plus pourries les unes que les autres, ils n’étaient pas conscients des impacts que leurs actions pouvaient avoir sur leurs victimes d’un matin, d’un jour, d’une semaine ou plus. Aujourd’hui encore, des personnes sont marquées par les agissements de cette ligue, certaines ont mis des années à se reconstruire. Bref, la ligue du lol, c’était un boy’s club abject et dégueulasse.

Ces précisions étant faites, passons à la raison qui me fait écrire ces lignes. D’avance, mes excuses, c’est un billet un peu décousu, qui s’écrit d’une traite, « one shot » comme on dit, je veux que mes idées soient restituées telles qu’elles viennent et pas retravaillées pour former un billet plus conventionnel.

La ligue du lol était et est un problème. Un problème toujours d’actualité. Car des ligues du lol, il en existe plein, dans de très nombreux milieux, sous de très nombreuses formes, avec de très nombreux non. La mise en lumière de cette ligue devrait nous faire réfléchir, nous, les hommes, à nos comportements. En réalité ce n’est même pas cette ligue qui devrait nous faire réfléchir à nos comportements, nous devrions le faire naturellement, mais il faut croire qu’une bonne partie des hommes ne sont pas foutus de le faire, sauf avec un électrochoc. J’ose croire que la ligue en question est un électrochoc qui va permettre de remettre à plat un sacré paquet de choses.

Ce billet s’adresse principalement à ce nous, donc. Et que les personnes derrière ce nous se sentent concernés ou non, ils le sont. Messieurs, d’avance, si vous vous braquez à la lecture de ce billet, conseil : laissez votre égo de mâle là, et reprenez votre cerveau pour réfléchir à la portée de vos actes et de vos paroles comme à la portée vos inactions et de votre silence.

Premièrement, messieurs, nous sommes des privilégiés. Oui nous sommes, par rapport aux femmes, aux personnes racisées, aux personnes des communautés GRSM (LGBT+ pour résumer et tenter de n’exclure personne sans en arriver à un LGBTQI-je-suis-désolé-je-ne-sais-plus-la-suite), des personnes privilégiées.

Nous n’avons pas besoin de nous battre pour prouver notre légitimité, nous n’avons pas besoin de faire trois fois plus d’efforts pour convaincre, on ne nous manque pas de respect 50 fois par jour, on ne se fait pas siffler dans la rue pour un oui pour un non, on ne se fait pas traiter de pute ou autre parce qu’on refuse de donner notre numéro de téléphone, on ne se fait pas (oui cette phrase va être TRES longue) dévisager de la tête aux pieds lorsqu’on rentre dans un endroit quelconque, on ne se fait pas insulter de salopes ou autre quand on a eu de nombreuses partenaires sexuelles dans notre vie, et les gens ne se disent pas « il en a baisé des nanas, il doit en vouloir plus, forcément », on ne nous apprend pas à avoir peur dans la rue parce qu’un mec peut surgir de nulle part et te faire du mal, on ne nous dit pas que ne pas se raser c’est moche, à poste et compétences équivalentes, nous sommes payés plus que les femmes dans bien des secteurs d’activité, on ne se moque pas de nous quand nous ne comprenons pas quelque chose mais on nous explique, on ne nous dit pas « mais t’as pas baisé » quand on réagit mal à une blague prétendument drôle. On ne nous impose pas un culte du corps, de la beauté, et bien d’autres dictats. Nous, on a des poches de jean qui servent à quelque chose, et si tu rigoles à cet exemple, tu vas aller te renseigner. Nous, on ne viendra pas nous insulter ou nous casser la gueule parce qu’on aime quelqu’un du même sexe ou parce qu’on en a changé. On ne nous dira pas que nos pratiques sexuelles sont déviantes, on ne nous stigmatisera pas, on ne nous montera pas du doigt, on ne se sentira ni mal, ni sales, quand les gens parleront de nous. Nous, les gens vont d’abord regarder nos compétences avant de regarder notre visage ou nos formes.

La liste pourrait être encore plus longue, mais vous avez compris, j’espère, que oui, nous sommes des personnes privilégiées, hautement privilégiées. Ce n’est ni en mal ni en bien que je dis cela, ce n’est ni sale, ni péjoratif et vous n’êtes pas responsables de l’acquisition de ces privilèges, mais ils sont là.

Vous les avez. Même si vous n’en êtes pas conscients.

Que vous le vouliez ou non. Vous devez en prendre conscience et reconnaitre cela, sans quoi jamais vous ne serez capables de comprendre le problème que nous représentons.

Nos comportements, nos actions, nos paroles ou au contraire, l’absence d’actions, ou de paroles, doit nous questionner. Pourquoi voyons-nous des choses anormales, sexistes, déplacées, sans y réagir ? Pourquoi entendons-nous des choses abjectes, sans s’interposer ? Vous vous demandez quoi ? Petit florilège, entendu de mes oreilles dans ma vie :

  • « Cette nana c’est une crevette, tout est bon sauf la tête »,
  • « elle est p’tet compétence, mais elle est moche, dommage »,
  • « elle n’est pas très intelligente, mais elle est bonne, moi ça me va »,
  • « Hey, la nouvelle, tu lui donnes combien sur 10 ? »,
  • « La nouvelle, c’est une BAB » (ndlr : bonne à baiser),
  • « Bon, j’ai que des mecs dans mon équipe, je pourrais pas avoir des nanas pour avoir un peu de beauté dans mon équipe ? »
  • « C’est une femme, elle aura plus de mal avec la technique »,
  • « l’informatique, c’est un truc de mecs »,
  • « je suis toujours étonné quand je vois une nana streameuse jouer correctement »,
  • « tu joues bien pour une salope »,
  • « On va pas la recruter, elle va nous pondre un gamin un jour »,
  • « putain cette meuf pue le sexe »,
  • « ses yeux crient braguette »,
  • « Vu son sourire, elle a dû en avaler des kilomètres… »,
  • « elle porte une robe, putain l’allumeuse »,
  • « j’aide ma femme à faire les tâches ménagères »,
  • « pupute », …
  •  » Elle est agressive, cette mal-baisée »

Qui n’a jamais entendu ça ? Vous l’avez déjà prononcé ? Et vous trouvez ça normal ? Spoiler : ça ne l’est pas.

Ce comportement n’est pas acceptable.
Ni ces paroles
Ni cet état d’esprit abject.

Et pourtant, la plupart du temps, nous ne disons… rien. Voire pire, on participe, pour participer au phénomène du groupe social, en adopter les code, être « à la mode », bien vu, accepté par le groupe.

En quoi l’acceptation d’un groupe d’hommes au comportement à ce point déplorable est-elle une bonne chose ?

Nombreuses sont les raisons, mais la seule qui me semble à la limite acceptable, c’est la peur. Parce que c’est une peur, donc l’estimation pas totalement consciente d’un risque induit par une situation donnée. « Je n’irai pas dire au géant hyper costaud et très con que ce qu’il dit est déplacé, sexiste ou insultant, car il va me frapper. » Je n’ai pas dit qu’il fallait laisser faire, mais que je comprenais le sentiment de peur généré face à cette situation.

Ce ne rend pas ce silence acceptable pour autant, pour cette raison comme pour n’importe quelle autre raison.

La ligue du lol a horrifié bien des gens et fait remonter des souvenirs à la surface, pour beaucoup de monde. Des hommes ont été horrifiés, et ce qui m’horrifie, moi, c’est que des gens savaient, ont vu les choses se faire, certains en détails, d’autres en surface, mais étaient là, auraient pu dire quelque chose, auraient pu intervenir… mais n’ont rien dit. Comme beaucoup d’autres personnes, d’hommes, de « nous », qui, chaque jour voient des choses se passer, entendent des choses qui ne devraient pas être prononcées, et ne disent rien.

Votre silence condamne les victimes et vous rendent au moins en partie coupable. Je n’ai pas la volonté de vous culpabiliser, là n’est pas mon but, mais il faut utiliser les bons termes. En laissant les choses se faire, au prétexte d’une inclusion sociale au sein d’un groupe, ou que sais-je encore, vous vous rendez coupable.

Et cette culpabilité devrait vous revenir comme une claque en pleine figure, pour vous faire prendre conscience que le monde ne changera pas du jour au lendemain, et pas sans vous.

Vous n’allez pas vous réveiller, un beau matin, et « paf », plus d’injustice et de commentaires haineux. La question est : dans quel monde on veut vivre demain ? Dans un monde ou des ligues du lol continuent d’exister, ou dans un monde où Égalité signifie vraiment quelque chose, pour tout le monde ?

Alors, messieurs, nous, il est peut-être venu le temps de nous asseoir, de réfléchir et de remettre à plat bien des choses.

Une dernière note : si vous venez vous déchainer dans les commentaires ou sur les réseaux sociaux, souvenez-vous qu’il y a une personne derrière l’écran, et qu’il n’y a que l’écran qui est insensible et qui ne se fissure pas.

]]>
Lettre ouverte aux députés afin de défendre le droit à l’anonymat http://pixellibre.net/?p=3260 ./?Lettre-ouverte-aux-députés-afin-de-défendre-le-droit-à-l-anonyma Wed, 06 Feb 2019 11:45:10 +0100 Mesdames et messieurs les députés, les orientations politiques actuelles me laissent penser que, d’ici peu de temps, une proposition de loi arrivera pour « réguler l’anonymat en ligne ». Trois de vos collègues, députés du groupe La République En Marche, Raphaël Gérard, Laurence Vanceunebrock-Mialon et Gabriel Serville, ont déjà sollicité le secrétaire d’État auprès du ministre de l’Économie et des finances et du ministre de l’Action et des Comptes publics, chargé du Numérique, M. Mounir Mahjoubi, sur ce sujet. (source : https://www.nextinpact.com/news/107564-des-deputes-lrem-veulent-forcer-twitter-a-recueillir-piece-didentite-a-creation-dun-compte.htm)

Dans le courrier qui lui a été adressé, le dernier paragraphe propose la création d’une obligation légale de recueil des pièces d’identité lors de la création d’un compte sur les réseaux sociaux, en citant ce qui existe déjà pour AirBnb, qui demande à l’utilisateur de fournir des justificatifs d’identité afin de créer un compte sur la plateforme.

Si ce besoin se justifie pour utiliser le service de AirBnb, la réservation d’un logement pour une période donnée étant déjà conditionnée à des obligations légales, dont celle de communiquer son identité civile, il n’en est pas de même pour procéder à une inscription sur les réseaux sociaux. Mesdames et messieurs, l’introduction de telles dispositions légales pour les réseaux sociaux serait problématique à bien des égards. Pour comprendre pourquoi, je vous invite à consacrer quelques minutes à la lecture de cette lettre, afin de faire un choix éclairé le moment venu. 

Premièrement, un ensemble de lois permet déjà d’identifier un individu sous pseudonyme, sur Internet. Des cas d’incitation à la haine, de diffamation ou d’insultes proférées sur les réseaux sociaux ont été transmis à la justice, qui a fait son travail et a jugé et condamné les auteurs des propos en question, comme vous pouvez l’observer ici avec ces exemples : https://twitter.com/IanBrossat/status/1087970143307788290 ou encore là https://twitter.com/LindaKebbab/status/1091414854605381637 (ou l’article https://www.20minutes.fr/justice/2442235-20190202-policiere-menacee-mort-viol-homme-condamne-quatre-mois-prison sur le sujet). L’anonymat n’est donc pas un obstacle au dépôt de plainte ni à la judiciarisation des cas, ni au fait de pouvoir condamner des personnes. 

Il serait, en revanche, davantage utile et préférable de renforcer la justice afin qu’elle dispose des moyens nécessaires pour identifier plus rapidement les auteurs des méfaits ou des délits dont nous parlons, plutôt que de créer une énième loi sans se donner les moyens techniques, humains et financiers de l’appliquer. 

Deuxièmement, l’anonymat que vous ciblez n’existe pas. Le réel anonymat, sans possibilité d’identifier qui est derrière un pseudonyme, n’existe pas ou très peu. De nombreux éléments permettent d’identifier un individu : une adresse IP, une adresse e-mail, la localisation d’un message, les métadonnées d’une photo comprenant des coordonnées GPS, le croisement d’un ensemble de messages, et autres traces, nombreuses… Dans tous les cas, les fournisseurs de services de communication en ligne, comme les réseaux sociaux, disposent d’assez d’éléments pour identifier ou pour permettre l’identification d’un individu. Lorsqu’un cas est transmis à la justice, elle dispose généralement des éléments techniques nécessaires pour lever le pseudonymat d’un individu et ainsi pouvoir le mettre devant ses responsabilités face à la loi. 

Troisièmement, l’anonymat (qui n’en est pas réellement un, comme nous l’avons vu) est une composante essentielle de la liberté d’expression. Je m’appuie, pour affirmer cela, sur les avis des personnes les plus éclairées sur le sujet : Monsieur le secrétaire d’état auprès du ministre de l’Économie et des finances et du ministre de l’Action et des Comptes publics, chargé du Numérique, M. Mounir Mahjoubi, s’oppose à la levée de l’anonymat, il en comprend les enjeux : https://www.bfmtv.com/tech/anonymat-sur-les-reseaux-sociaux-pas-souhaitable-et-pas-possible-d-apres-mounir-mahjoubi-1619519.html. Il n’est pas seul, Romain Pigenel, qui a dirigé la campagne numérique de François Hollande en 2012, devenant par la suite responsable de la communication web de l’Élysée avant d’arriver au Services d’Information du Gouvernement (SIG) en qualité de directeur adjoint en charge du numérique du SIG, s’oppose lui aussi à la levée de l’anonymat en ligne, dans une tribune publiée sur Médium, que je vous invite à lire : https://medium.com/@romain_pigenel/pourquoi-il-faut-d%C3%A9fendre-lanonymat-sur-internet-3d79de93b1d0. L’auteur appuie ses propos sur son expérience, sa connaissance fine d’Internet et sur une étude de l’université de Zurich, datant de 2016, qui détricote la croyance commune consistant à dire que l’anonymat entraîne des propos violents. Ces personnes ne sont pas les seules à défendre l’anonymat en ligne, de nombreuses personnes expertes du sujet, celles et ceux qui font Internet tel que vous le connaissez aujourd’hui, s’opposent à cette levée de l’anonymat sur Internet. 

Dans un billet publié sur ce blog, consultable à l’adresse suivante : http://pixellibre.net/2019/01/la-levee-de-lanonymat-est-elle-une-bonne-idee/, j’ai également expliqué en quoi lever l’anonymat sur Internet était une mauvaise idée, en quoi elle représentait un danger. Une partie non négligeable des personnes présentes sur les réseaux sociaux ont besoin de cet anonymat pour pouvoir s’exprimer librement. Des personnes anonymes sont déjà la cible de propos extrêmement violents sur Internet. Les auteurs de ces propos se justifient car ces personnes sont des femmes, ont une orientation sexuelle autre que l’hétérosexualité, ont des convictions qui ne sont pas partagées par les auteurs des violences. Retirer l’anonymat à ces personnes déjà victimes, c’est les exposer à des risques autrement plus importants que ceux qu’elles prennent déjà. Dans de nombreux cas, c’est l’anonymat qui a permis aux victimes de pouvoir s’exprimer sans craintes.

Est-ce dramatique ? Oui. Leur seul crime est celui de s’exprimer, comme n’importe quelle autre personne. Ils ne font rien de mal et sont victimes. C’est un problème, un problème qu’il faut régler, oui. Mais pas en supprimant ce qui les protège de bien d’autres problèmes que ceux déjà rencontrés actuellement. 

De nombreux propos haineux se tiennent sur Facebook, où la règle qui domine est celle des comptes identifiés et nominatifs. Pourtant, comme je viens de le dire, de très nombreux propos haineux sont sur cette plateforme. La levée de l’anonymat n’aurait aucune conséquence positive dans cette configuration. En effet, les propos haineux, racistes, diffamatoires et autres sont souvent exprimés sans pseudonymat pour donner plus de portée à ces propos, leur auteur pensant que cela leur donnera plus de crédibilité. Les seuls réellement concernés, pénalisés, si vous veniez à voter une loi pour la levée de l’anonymat en ligne, seraient précisément les personnes que vous cherchez à protéger. Par ailleurs il n’est pas certain que lever les conditions d’une forme d’exutoire soit bénéfique pour la société.

La levée de l’anonymat que Monsieur Macron souhaiterait mettre en place est en soi une atteinte grave à la liberté d’expression, une atteinte à l’essence même d’internet.

« Ce genre d’obligations – si elles passaient par la loi – seraient impossibles à respecter pour les petits acteurs et risqueraient fort de renforcer davantage les grandes plateformes américaines », explique Félix Tréguer, de la Quadrature du Net, l’association de défense des droits et libertés des citoyens sur Internet. « Emmanuel Macron oublie que l’anonymat constitue un droit associé à la liberté d’expression et de communication et au droit à la vie privée. Il est reconnu comme tel au niveau international, notamment par la Cour européenne des droits de l’Homme », a-t-il ajouté, avant de rappeler que les élites politiques ont de « la méfiance envers la parole critique ou irrévérencieuse qui se déploie sur Internet. » (source : https://www.laquadrature.net/2019/02/02/bfmtv-fin-de-lanonymat-sur-le-web-les-limites-du-projet-demmanuel-macron/)

Twitter France, avec lequel certains députés ont eu de récents échanges, n’est pas nécessairement opposé à l’usage d’une carte d’identité pour pouvoir s’inscrire, comme Facebook ne l’est pas. C’est une évidence, ils seront pour, à n’en pas douter. Le patron de Facebook, M. Zuckerberg, s’est déjà déclaré par le passé opposé à l’anonymat : https://www.lemonde.fr/technologies/article/2014/04/17/mark-zuckerberg-precise-sa-strategie-pour-facebook_4402706_651865.html. Il va sans dire que ces géants voient un intérêt certain à disposer de nos données d’identité, qui viendront alimenter leurs lucratives bases de données. Nous pourrions nous dire que Facebook ou Twitter traiteront nos données sérieusement, mais je crois que le scandale de Cambridge Analytica devrait vous prouver que non. Les pratiques de Facebook nous prouvent chaque jour que nous devons nous méfier des données que nous transmettons aux gros acteurs du monde des réseaux de communication. Sur un tout autre plan, offrir ces données à de si puissantes entreprises, revient à accroître leur pouvoir, que vous savez déjà trop important. En effet, la pire manière de corriger les inconvénients supposés de l’anonymat serait de faire cadeau des données personnelles à ces entreprises dont le business model consiste à en faire commerce.

À cela, vous pourriez prévoir des dispositions, dans la loi, pour que le dépôt de ces titres d’identité soient transmis par une autorité de confiance, comme France Connect. Je répondrai que centraliser l’ensemble de nos données d’identification adossées à nos pseudonymes, est une très mauvaise idée, pour de nombreuses raisons. En outre, si la plateforme est réputée sécurisée, elle n’est pas à l’abri d’une faille, d’une violation de données à caractère personnel, d’une exploitation malveillante. Confier cela à une entreprise privée ? Les citoyens ne souhaitent pas forcément confier leurs données à une entreprise privée, a fortiori celles déjà très décriées, qui seraient candidates pour gérer ces données. De plus vous ne savez pas qui vous succédera, quels seront les desseins du ou des prochains gouvernements. 

Lever l’anonymat, obliger les internautes à communiquer un titre d’identité à une plateforme, est une très mauvaise idée. Ce n’est pas l’anonymat, le problème, c’est l’écrit, de façon générale. L’écrit désinhibe la parole, on se sent « plus fort » à l’écrit, on ne voit pas la personne, on ne voit pas sa réaction, vous le savez, l’écrit est un canal où le paraverbal n’a que très peu de place, conduisant des personnes à ne pas avoir conscience de la portée de leurs propos, à en tenir d’autres inqualifiables, qu’ils ne tiendraient jamais à l’oral ou face à des gens. 

J’espère que vous n’aurez pas à vous prononcer sur un texte réclamant la levée de l’anonymat, mais, si ce jour venait à arriver, j’espère que vous aurez pris le temps de lire des avis éclairés, de spécialistes du sujet, et que vous aurez conscience de la portée d’une telle disposition. 

Je me tiens à votre disposition pour échanger sur le sujet. 

]]>
Mesdames et messieurs les députés, les orientations politiques actuelles me laissent penser que, d’ici peu de temps, une proposition de loi arrivera pour « réguler l’anonymat en ligne ». Trois de vos collègues, députés du groupe La République En Marche, Raphaël Gérard, Laurence Vanceunebrock-Mialon et Gabriel Serville, ont déjà sollicité le secrétaire d’État auprès du ministre de l’Économie et des finances et du ministre de l’Action et des Comptes publics, chargé du Numérique, M. Mounir Mahjoubi, sur ce sujet. (source : https://www.nextinpact.com/news/107564-des-deputes-lrem-veulent-forcer-twitter-a-recueillir-piece-didentite-a-creation-dun-compte.htm)

Dans le courrier qui lui a été adressé, le dernier paragraphe propose la création d’une obligation légale de recueil des pièces d’identité lors de la création d’un compte sur les réseaux sociaux, en citant ce qui existe déjà pour AirBnb, qui demande à l’utilisateur de fournir des justificatifs d’identité afin de créer un compte sur la plateforme.

Si ce besoin se justifie pour utiliser le service de AirBnb, la réservation d’un logement pour une période donnée étant déjà conditionnée à des obligations légales, dont celle de communiquer son identité civile, il n’en est pas de même pour procéder à une inscription sur les réseaux sociaux. Mesdames et messieurs, l’introduction de telles dispositions légales pour les réseaux sociaux serait problématique à bien des égards. Pour comprendre pourquoi, je vous invite à consacrer quelques minutes à la lecture de cette lettre, afin de faire un choix éclairé le moment venu. 

Premièrement, un ensemble de lois permet déjà d’identifier un individu sous pseudonyme, sur Internet. Des cas d’incitation à la haine, de diffamation ou d’insultes proférées sur les réseaux sociaux ont été transmis à la justice, qui a fait son travail et a jugé et condamné les auteurs des propos en question, comme vous pouvez l’observer ici avec ces exemples : https://twitter.com/IanBrossat/status/1087970143307788290 ou encore là https://twitter.com/LindaKebbab/status/1091414854605381637 (ou l’article https://www.20minutes.fr/justice/2442235-20190202-policiere-menacee-mort-viol-homme-condamne-quatre-mois-prison sur le sujet). L’anonymat n’est donc pas un obstacle au dépôt de plainte ni à la judiciarisation des cas, ni au fait de pouvoir condamner des personnes. 

Il serait, en revanche, davantage utile et préférable de renforcer la justice afin qu’elle dispose des moyens nécessaires pour identifier plus rapidement les auteurs des méfaits ou des délits dont nous parlons, plutôt que de créer une énième loi sans se donner les moyens techniques, humains et financiers de l’appliquer. 

Deuxièmement, l’anonymat que vous ciblez n’existe pas. Le réel anonymat, sans possibilité d’identifier qui est derrière un pseudonyme, n’existe pas ou très peu. De nombreux éléments permettent d’identifier un individu : une adresse IP, une adresse e-mail, la localisation d’un message, les métadonnées d’une photo comprenant des coordonnées GPS, le croisement d’un ensemble de messages, et autres traces, nombreuses… Dans tous les cas, les fournisseurs de services de communication en ligne, comme les réseaux sociaux, disposent d’assez d’éléments pour identifier ou pour permettre l’identification d’un individu. Lorsqu’un cas est transmis à la justice, elle dispose généralement des éléments techniques nécessaires pour lever le pseudonymat d’un individu et ainsi pouvoir le mettre devant ses responsabilités face à la loi. 

Troisièmement, l’anonymat (qui n’en est pas réellement un, comme nous l’avons vu) est une composante essentielle de la liberté d’expression. Je m’appuie, pour affirmer cela, sur les avis des personnes les plus éclairées sur le sujet : Monsieur le secrétaire d’état auprès du ministre de l’Économie et des finances et du ministre de l’Action et des Comptes publics, chargé du Numérique, M. Mounir Mahjoubi, s’oppose à la levée de l’anonymat, il en comprend les enjeux : https://www.bfmtv.com/tech/anonymat-sur-les-reseaux-sociaux-pas-souhaitable-et-pas-possible-d-apres-mounir-mahjoubi-1619519.html. Il n’est pas seul, Romain Pigenel, qui a dirigé la campagne numérique de François Hollande en 2012, devenant par la suite responsable de la communication web de l’Élysée avant d’arriver au Services d’Information du Gouvernement (SIG) en qualité de directeur adjoint en charge du numérique du SIG, s’oppose lui aussi à la levée de l’anonymat en ligne, dans une tribune publiée sur Médium, que je vous invite à lire : https://medium.com/@romain_pigenel/pourquoi-il-faut-d%C3%A9fendre-lanonymat-sur-internet-3d79de93b1d0. L’auteur appuie ses propos sur son expérience, sa connaissance fine d’Internet et sur une étude de l’université de Zurich, datant de 2016, qui détricote la croyance commune consistant à dire que l’anonymat entraîne des propos violents. Ces personnes ne sont pas les seules à défendre l’anonymat en ligne, de nombreuses personnes expertes du sujet, celles et ceux qui font Internet tel que vous le connaissez aujourd’hui, s’opposent à cette levée de l’anonymat sur Internet. 

Dans un billet publié sur ce blog, consultable à l’adresse suivante : http://pixellibre.net/2019/01/la-levee-de-lanonymat-est-elle-une-bonne-idee/, j’ai également expliqué en quoi lever l’anonymat sur Internet était une mauvaise idée, en quoi elle représentait un danger. Une partie non négligeable des personnes présentes sur les réseaux sociaux ont besoin de cet anonymat pour pouvoir s’exprimer librement. Des personnes anonymes sont déjà la cible de propos extrêmement violents sur Internet. Les auteurs de ces propos se justifient car ces personnes sont des femmes, ont une orientation sexuelle autre que l’hétérosexualité, ont des convictions qui ne sont pas partagées par les auteurs des violences. Retirer l’anonymat à ces personnes déjà victimes, c’est les exposer à des risques autrement plus importants que ceux qu’elles prennent déjà. Dans de nombreux cas, c’est l’anonymat qui a permis aux victimes de pouvoir s’exprimer sans craintes.

Est-ce dramatique ? Oui. Leur seul crime est celui de s’exprimer, comme n’importe quelle autre personne. Ils ne font rien de mal et sont victimes. C’est un problème, un problème qu’il faut régler, oui. Mais pas en supprimant ce qui les protège de bien d’autres problèmes que ceux déjà rencontrés actuellement. 

De nombreux propos haineux se tiennent sur Facebook, où la règle qui domine est celle des comptes identifiés et nominatifs. Pourtant, comme je viens de le dire, de très nombreux propos haineux sont sur cette plateforme. La levée de l’anonymat n’aurait aucune conséquence positive dans cette configuration. En effet, les propos haineux, racistes, diffamatoires et autres sont souvent exprimés sans pseudonymat pour donner plus de portée à ces propos, leur auteur pensant que cela leur donnera plus de crédibilité. Les seuls réellement concernés, pénalisés, si vous veniez à voter une loi pour la levée de l’anonymat en ligne, seraient précisément les personnes que vous cherchez à protéger. Par ailleurs il n’est pas certain que lever les conditions d’une forme d’exutoire soit bénéfique pour la société.

La levée de l’anonymat que Monsieur Macron souhaiterait mettre en place est en soi une atteinte grave à la liberté d’expression, une atteinte à l’essence même d’internet.

« Ce genre d’obligations – si elles passaient par la loi – seraient impossibles à respecter pour les petits acteurs et risqueraient fort de renforcer davantage les grandes plateformes américaines », explique Félix Tréguer, de la Quadrature du Net, l’association de défense des droits et libertés des citoyens sur Internet. « Emmanuel Macron oublie que l’anonymat constitue un droit associé à la liberté d’expression et de communication et au droit à la vie privée. Il est reconnu comme tel au niveau international, notamment par la Cour européenne des droits de l’Homme », a-t-il ajouté, avant de rappeler que les élites politiques ont de « la méfiance envers la parole critique ou irrévérencieuse qui se déploie sur Internet. » (source : https://www.laquadrature.net/2019/02/02/bfmtv-fin-de-lanonymat-sur-le-web-les-limites-du-projet-demmanuel-macron/)

Twitter France, avec lequel certains députés ont eu de récents échanges, n’est pas nécessairement opposé à l’usage d’une carte d’identité pour pouvoir s’inscrire, comme Facebook ne l’est pas. C’est une évidence, ils seront pour, à n’en pas douter. Le patron de Facebook, M. Zuckerberg, s’est déjà déclaré par le passé opposé à l’anonymat : https://www.lemonde.fr/technologies/article/2014/04/17/mark-zuckerberg-precise-sa-strategie-pour-facebook_4402706_651865.html. Il va sans dire que ces géants voient un intérêt certain à disposer de nos données d’identité, qui viendront alimenter leurs lucratives bases de données. Nous pourrions nous dire que Facebook ou Twitter traiteront nos données sérieusement, mais je crois que le scandale de Cambridge Analytica devrait vous prouver que non. Les pratiques de Facebook nous prouvent chaque jour que nous devons nous méfier des données que nous transmettons aux gros acteurs du monde des réseaux de communication. Sur un tout autre plan, offrir ces données à de si puissantes entreprises, revient à accroître leur pouvoir, que vous savez déjà trop important. En effet, la pire manière de corriger les inconvénients supposés de l’anonymat serait de faire cadeau des données personnelles à ces entreprises dont le business model consiste à en faire commerce.

À cela, vous pourriez prévoir des dispositions, dans la loi, pour que le dépôt de ces titres d’identité soient transmis par une autorité de confiance, comme France Connect. Je répondrai que centraliser l’ensemble de nos données d’identification adossées à nos pseudonymes, est une très mauvaise idée, pour de nombreuses raisons. En outre, si la plateforme est réputée sécurisée, elle n’est pas à l’abri d’une faille, d’une violation de données à caractère personnel, d’une exploitation malveillante. Confier cela à une entreprise privée ? Les citoyens ne souhaitent pas forcément confier leurs données à une entreprise privée, a fortiori celles déjà très décriées, qui seraient candidates pour gérer ces données. De plus vous ne savez pas qui vous succédera, quels seront les desseins du ou des prochains gouvernements. 

Lever l’anonymat, obliger les internautes à communiquer un titre d’identité à une plateforme, est une très mauvaise idée. Ce n’est pas l’anonymat, le problème, c’est l’écrit, de façon générale. L’écrit désinhibe la parole, on se sent « plus fort » à l’écrit, on ne voit pas la personne, on ne voit pas sa réaction, vous le savez, l’écrit est un canal où le paraverbal n’a que très peu de place, conduisant des personnes à ne pas avoir conscience de la portée de leurs propos, à en tenir d’autres inqualifiables, qu’ils ne tiendraient jamais à l’oral ou face à des gens. 

J’espère que vous n’aurez pas à vous prononcer sur un texte réclamant la levée de l’anonymat, mais, si ce jour venait à arriver, j’espère que vous aurez pris le temps de lire des avis éclairés, de spécialistes du sujet, et que vous aurez conscience de la portée d’une telle disposition. 

Je me tiens à votre disposition pour échanger sur le sujet. 

]]>
Défendre l’anonymat, épisode 42 000 http://pixellibre.net/?p=3255 ./?Défendre-l-anonymat-épisode-42-000 Wed, 30 Jan 2019 14:16:10 +0100 Dans une lettre publiée sur Libé, Luc Le Vaillant s’attaque très frontalement à l’anonymat. Alors, une fois encore, un peu de pédagogie, car une paire de baffes, même si ça fait du bien, n’est pas la solution. Analyse de ladite lettre du monsieur.

Ta parole ne vaut rien.

Premièrement, l’auteur écrit : « Parlant en mon nom et signant de mon patronyme ». Le ton est donné, il faut comprendre, entre les lignes « j’assume mes propos et ils ont plus de valeur que les tiens, qui sont publiés sous pseudonymat ».

Cette hiérarchisation de la parole est d’une idiotie sans nom, comme si une parole publiée sous une identité civile aurait plus de poids qu’une parole publiée sous pseudonyme.

Doit-on comprendre qu’un mensonge publié sous une identité civile aurait plus de valeur et de crédibilité qu’une vérité énoncée sous un pseudonyme ? L’auteur de la lettre déverse d’emblée sa haine de l’anonymat et on peut comprendre, en une phrase, tout le mépris qu’il témoigne aux personnes qui publient sous pseudonyme. Cette impression est confirmée, quelques lignes après, lorsque l’auteur écrit « je voudrais te dire, cher anonyme, combien je n’ai pour toi aucune estime. »

L’attaque est vive, insultante et totalement stupide, c’est l’expression d’un esprit étriqué, particulièrement fermé, que de rejeter « par défaut » la parole sous pseudonyme. Ici, l’auteur dit tout simplement que l’ensemble des paroles publiées sous pseudonyme n’ont, à ses yeux, absolument aucune valeur.

Une certaine idée de la liberté d’expression

L’auteur dit, au début de sa lettre « parce que je défends la liberté d’expression la plus large et que j’insiste pour que celle-ci s’exerce à voix nue et à visage découvert. » Il milite donc pour la liberté d’expression. Chouette !

Cependant… quelques paragraphes plus loin, il s’exprime en ces termes : « je me fiche qu’on te coupe la chique quand je me battrais pour que puissent continuer à s’exprimer des gens dont je déteste les idées mais qui ont le front de les énoncer clairement et en toute lumière ».

La liberté d’expression serait réservée aux personnes qui s’expriment avec leur identité civile ? Voici une conception de la liberté d’expression bien étrange. « Je défends la liberté d’expression* (*mais pas pour tout le monde, en résumé). Hélas pour l’auteur, défendre cette conception de la liberté d’expression, ce n’est pas défendre la liberté d’expression. Je n’irais pas jusqu’à dire qu’il s’oppose à la liberté d’expression, mais sa définition des choses est bien étrange…

La liberté d’expression est une chose dont nous, européens, pouvons bénéficier. C’est un luxe, que bien d’autres n’ont pas, ou plus et ce dans un nombre grandissant de pays. Il serait bon de la respecter, et de la défendre quotidiennement. Ce n’est jamais une chose acquise.

Le poids de l’identité

L’auteur s’efforce à démontrer qu’il existerait une forme de dissociation entre une identité civile et un pseudonyme, que les propos tenus sous pseudonyme ne seraient pas tenus avec un patronyme… sauf que les études tendent à prouver que ce n’est pas l’anonymat qui délie les langues ou qui fait que les trolls sont violents, comme l’explique cet article, basé sur une étude de l’université de Zurich, en 2016

L’étude tend même à expliquer que les menaces et les insultes sont encore plus prononcées lorsque les personnes utilisent leur identité civile pour s’exprimer. Diantre !

L’identité, qu’elle soit sous un pseudonyme ou avec un nom civil, se construit au fil du temps, et un pseudonyme peut être une identité bien réelle. Lorsque j’écris avec Numendil, ce n’est pas juste un pseudonyme, c’est « moi », c’est une partie de moi, de mon identité, c’est une personne à part entière. N’y voyez aucune dissociation d’identité, comprenez simplement qu’un pseudonyme a autant de valeur qu’un nom dans la vie civile. Beaucoup de gens me connaissent comme « Numendil », s’en contentent très bien, et certains accordent du crédit à ce que je dis, à Numendil. Mon identité civile n’est connue que par très peu de personnes, bien qu’il soit aisé de la trouver, mais le poids de mes paroles n’a pas la même importance selon qu’elles soient dites par Numendil ou par la personne derrière le pseudonyme. L’identité, au-delà de son caractère officiel ou d’un pseudonyme, a une légitimité, donnée par les personnes qui l’acceptent.

A partir du moment où cette identité sous pseudonyme est connue, reconnue, acceptée, elle existe pour les personnes, elle existe tout court, dans le monde physique, au même titre qu’une identité civile.

Voir l’auteur de la lettre balayer d’un revers de la main l’identité sous pseudonyme, c’est rendre invisible un bon nombre de personnes.

L’identité civile en ligne est un luxe.

Autre point, fondamental : pouvoir publier sous son identité civile, sur Internet, relève d’un luxe que bien des gens, dont moi, ne peuvent bénéficier. L’auteur, Luc Le Vaillant, peut se le permettre, il est journaliste, il sait qu’il n’y aura pas de lourdes représailles de sa direction, il sait qu’il peut donner son avis sans trop de craintes. Certes, il se fera sans doute insulter par des personnes, certes il sera moqué, mais c’est un problème global, que l’on soit sous pseudonyme ou non.

Publier avec son identité civile, c’est un luxe que bien des personnes ne peuvent pas s’offrir car il y aurait des représailles. Combien de personnes, sous pseudonyme, sont traquées, insultées, menacées à cause d’idiots dangereux qui n’aiment pas leurs opinions, avis, religion ou orientation sexuelle ? Combien de personnes voient « l’anonymat-qui-n’en-n’est-pas-vraiment-un » comme une condition nécessaire à leur liberté d’expression ? Ces personnes ne pourraient pas s’exprimer comme elles le font avec leur identité civile, c’est juste inconcevable, les conséquences pourraient être dramatiques dans un certain nombre de cas.

D’autres ne peuvent pas s’exprimer avec leur identité civile car ils sont tenus à un devoir de réserve, prenons par exemple un avocat, Maitre Eolas pour ne pas le nommer. Son nom n’est pas vraiment maître Eolas, et il est certain qu’il ne pourrait pas s’exprimer aussi librement s’il publiait sous son « vrai » nom. Comme Maître Mô et bien d’autres personnes.

Enfin, dans ma vie, j’ai travaillé avec des personnes dont l’anonymat était une condition de survie, littéralement. Certaines car elles sont traqués par leur gouvernement ou par des groupuscules terroristes, d’autres car elles souhaitaient dénoncer des pratiques odieuses sans craindre de représailles, d’autres, encore, maltraitées ou battues, qui ne pouvaient juste pas s’exprimer autrement que de façon pseudonymisée ou anonymisée.

Alors, vous le comprendrez aisément, voir un journaliste, jouissant de la capacité à s’exprimer sous son patronyme civil, déclarer : « je voudrais te dire, cher anonyme, combien je n’ai pour toi aucune estime. », voir cet insupportable mépris, écrit par une personne qui est une forme de représentation de notre liberté d’expression… ce n’est pas acceptable.

De la même façon, un journaliste devrait intégrer qu’il bénéficie d’un pouvoir énorme, d’un droit que beaucoup n’ont pas : celui de pouvoir s’exprimer via des médias connus et reconnus. A ce titre, j’ai énormément de difficultés à comprendre comment il est possible que l’auteur tienne de tels propos, à ce point déconnectés et profondément méprisants.

Cher Monsieur Le Vaillant, si vous lisez ce billet, je ne vous salue pas et je vous témoigne le même respect que celui que vous témoignez aux personnes sous pseudonyme.

La lecture de ladite lettre est conseillée, je ne présente que quelques parties de l’écrit, et d’autres joyeusetés y figurent.


Lettre de Luc Le Vaillant, sur Libération, à charge contre l'anonymat
Lettre de Luc Le Vaillant, sur Libération, à charge contre l’anonymat, source : David Abiker
]]>
Dans une lettre publiée sur Libé, Luc Le Vaillant s’attaque très frontalement à l’anonymat. Alors, une fois encore, un peu de pédagogie, car une paire de baffes, même si ça fait du bien, n’est pas la solution. Analyse de ladite lettre du monsieur.

Ta parole ne vaut rien.

Premièrement, l’auteur écrit : « Parlant en mon nom et signant de mon patronyme ». Le ton est donné, il faut comprendre, entre les lignes « j’assume mes propos et ils ont plus de valeur que les tiens, qui sont publiés sous pseudonymat ».

Cette hiérarchisation de la parole est d’une idiotie sans nom, comme si une parole publiée sous une identité civile aurait plus de poids qu’une parole publiée sous pseudonyme.

Doit-on comprendre qu’un mensonge publié sous une identité civile aurait plus de valeur et de crédibilité qu’une vérité énoncée sous un pseudonyme ? L’auteur de la lettre déverse d’emblée sa haine de l’anonymat et on peut comprendre, en une phrase, tout le mépris qu’il témoigne aux personnes qui publient sous pseudonyme. Cette impression est confirmée, quelques lignes après, lorsque l’auteur écrit « je voudrais te dire, cher anonyme, combien je n’ai pour toi aucune estime. »

L’attaque est vive, insultante et totalement stupide, c’est l’expression d’un esprit étriqué, particulièrement fermé, que de rejeter « par défaut » la parole sous pseudonyme. Ici, l’auteur dit tout simplement que l’ensemble des paroles publiées sous pseudonyme n’ont, à ses yeux, absolument aucune valeur.

Une certaine idée de la liberté d’expression

L’auteur dit, au début de sa lettre « parce que je défends la liberté d’expression la plus large et que j’insiste pour que celle-ci s’exerce à voix nue et à visage découvert. » Il milite donc pour la liberté d’expression. Chouette !

Cependant… quelques paragraphes plus loin, il s’exprime en ces termes : « je me fiche qu’on te coupe la chique quand je me battrais pour que puissent continuer à s’exprimer des gens dont je déteste les idées mais qui ont le front de les énoncer clairement et en toute lumière ».

La liberté d’expression serait réservée aux personnes qui s’expriment avec leur identité civile ? Voici une conception de la liberté d’expression bien étrange. « Je défends la liberté d’expression* (*mais pas pour tout le monde, en résumé). Hélas pour l’auteur, défendre cette conception de la liberté d’expression, ce n’est pas défendre la liberté d’expression. Je n’irais pas jusqu’à dire qu’il s’oppose à la liberté d’expression, mais sa définition des choses est bien étrange…

La liberté d’expression est une chose dont nous, européens, pouvons bénéficier. C’est un luxe, que bien d’autres n’ont pas, ou plus et ce dans un nombre grandissant de pays. Il serait bon de la respecter, et de la défendre quotidiennement. Ce n’est jamais une chose acquise.

Le poids de l’identité

L’auteur s’efforce à démontrer qu’il existerait une forme de dissociation entre une identité civile et un pseudonyme, que les propos tenus sous pseudonyme ne seraient pas tenus avec un patronyme… sauf que les études tendent à prouver que ce n’est pas l’anonymat qui délie les langues ou qui fait que les trolls sont violents, comme l’explique cet article, basé sur une étude de l’université de Zurich, en 2016

L’étude tend même à expliquer que les menaces et les insultes sont encore plus prononcées lorsque les personnes utilisent leur identité civile pour s’exprimer. Diantre !

L’identité, qu’elle soit sous un pseudonyme ou avec un nom civil, se construit au fil du temps, et un pseudonyme peut être une identité bien réelle. Lorsque j’écris avec Numendil, ce n’est pas juste un pseudonyme, c’est « moi », c’est une partie de moi, de mon identité, c’est une personne à part entière. N’y voyez aucune dissociation d’identité, comprenez simplement qu’un pseudonyme a autant de valeur qu’un nom dans la vie civile. Beaucoup de gens me connaissent comme « Numendil », s’en contentent très bien, et certains accordent du crédit à ce que je dis, à Numendil. Mon identité civile n’est connue que par très peu de personnes, bien qu’il soit aisé de la trouver, mais le poids de mes paroles n’a pas la même importance selon qu’elles soient dites par Numendil ou par la personne derrière le pseudonyme. L’identité, au-delà de son caractère officiel ou d’un pseudonyme, a une légitimité, donnée par les personnes qui l’acceptent.

A partir du moment où cette identité sous pseudonyme est connue, reconnue, acceptée, elle existe pour les personnes, elle existe tout court, dans le monde physique, au même titre qu’une identité civile.

Voir l’auteur de la lettre balayer d’un revers de la main l’identité sous pseudonyme, c’est rendre invisible un bon nombre de personnes.

L’identité civile en ligne est un luxe.

Autre point, fondamental : pouvoir publier sous son identité civile, sur Internet, relève d’un luxe que bien des gens, dont moi, ne peuvent bénéficier. L’auteur, Luc Le Vaillant, peut se le permettre, il est journaliste, il sait qu’il n’y aura pas de lourdes représailles de sa direction, il sait qu’il peut donner son avis sans trop de craintes. Certes, il se fera sans doute insulter par des personnes, certes il sera moqué, mais c’est un problème global, que l’on soit sous pseudonyme ou non.

Publier avec son identité civile, c’est un luxe que bien des personnes ne peuvent pas s’offrir car il y aurait des représailles. Combien de personnes, sous pseudonyme, sont traquées, insultées, menacées à cause d’idiots dangereux qui n’aiment pas leurs opinions, avis, religion ou orientation sexuelle ? Combien de personnes voient « l’anonymat-qui-n’en-n’est-pas-vraiment-un » comme une condition nécessaire à leur liberté d’expression ? Ces personnes ne pourraient pas s’exprimer comme elles le font avec leur identité civile, c’est juste inconcevable, les conséquences pourraient être dramatiques dans un certain nombre de cas.

D’autres ne peuvent pas s’exprimer avec leur identité civile car ils sont tenus à un devoir de réserve, prenons par exemple un avocat, Maitre Eolas pour ne pas le nommer. Son nom n’est pas vraiment maître Eolas, et il est certain qu’il ne pourrait pas s’exprimer aussi librement s’il publiait sous son « vrai » nom. Comme Maître Mô et bien d’autres personnes.

Enfin, dans ma vie, j’ai travaillé avec des personnes dont l’anonymat était une condition de survie, littéralement. Certaines car elles sont traqués par leur gouvernement ou par des groupuscules terroristes, d’autres car elles souhaitaient dénoncer des pratiques odieuses sans craindre de représailles, d’autres, encore, maltraitées ou battues, qui ne pouvaient juste pas s’exprimer autrement que de façon pseudonymisée ou anonymisée.

Alors, vous le comprendrez aisément, voir un journaliste, jouissant de la capacité à s’exprimer sous son patronyme civil, déclarer : « je voudrais te dire, cher anonyme, combien je n’ai pour toi aucune estime. », voir cet insupportable mépris, écrit par une personne qui est une forme de représentation de notre liberté d’expression… ce n’est pas acceptable.

De la même façon, un journaliste devrait intégrer qu’il bénéficie d’un pouvoir énorme, d’un droit que beaucoup n’ont pas : celui de pouvoir s’exprimer via des médias connus et reconnus. A ce titre, j’ai énormément de difficultés à comprendre comment il est possible que l’auteur tienne de tels propos, à ce point déconnectés et profondément méprisants.

Cher Monsieur Le Vaillant, si vous lisez ce billet, je ne vous salue pas et je vous témoigne le même respect que celui que vous témoignez aux personnes sous pseudonyme.

La lecture de ladite lettre est conseillée, je ne présente que quelques parties de l’écrit, et d’autres joyeusetés y figurent.


Lettre de Luc Le Vaillant, sur Libération, à charge contre l'anonymat
Lettre de Luc Le Vaillant, sur Libération, à charge contre l’anonymat, source : David Abiker
]]>
La levée de l’anonymat est-elle une bonne idée ? http://pixellibre.net/?p=3243 ./?La-levée-de-l-anonymat-est-elle-une-bonne-idée Mon, 21 Jan 2019 19:40:57 +0100 Lors d’une élocution du président de la république face aux maires, un point a été soulevé : celui de l’anonymat. Emmanuel Macron souhaite que l’anonymat, sur Internet, soit levé progressivement. Pourquoi ? Quel est le problème ? Est-ce une bonne idée ? Décryptage.

L’anonymat, un problème ?

Dans son élocution, dont la partie qui nous intéresse est consultable ici, Emmanuel Macron a déclaré qu’il souhaitait une levée progressive de l’anonymat. Cela répondrait à un besoin « d’hygiène démocratique du statut de l’information », il estime que c’est une priorité pour la démocratie, afin de pouvoir « distinguer le vrai du faux » car « aujourd’hui, on a beaucoup d’informations, tout le temps, mais on ne sait pas d’où elle vient. »

C’est une façon de remettre chaque personne face à ses responsabilités et ses propos, l’idée est qu’il ne soit plus possible de diffuser de fausses informations, de proférer des insultes, des menaces ou autres joyeusetés sans qu’on sache immédiatement qui tient de tels propos.

On notera qu’à la fin du passage, le président déclare que cette levée d’anonymat permettrait de savoir « d’où les gens parlent et pourquoi ils disent des choses. », des propos assez larges, flous et inquiétants.

Il est vrai que l’usage de l’anonymat a, comme toute chose, deux faces, une bonne et une mauvaise. La mauvaise est que de nombreuses personnes pensent pouvoir tout dire, tout déclarer, certains allant même jusqu’à proférer des insultes, des intimidations, voire des menaces de mort. De plus, des profils un peu techniques savent globalement bien masquer leurs traces afin d’être difficilement identifiables. Dans certains cas, l’anonymat est un obstacle pour les forces de l’ordre, qui ont parfois besoin de réponses rapides, voire immédiates dans certaines enquêtes, l’anonymat serait également un obstacle à lever pour ces raisons.

Si le souhait de lutter contre la diffusion des fausses informations, contre les propos outrageants, contraires à la loi et, plus généralement, contre les comportements conduisant à tout cela est plus que louable et va dans l’intérêt commun, il est néanmoins nécessaire de s’interroger quant à la solution proposée, qui n’est pas sans conséquences.

Pour commencer, l’anonymat, le vrai, est-ce que ça existe ?

La réponse est simple : non, ou très peu et dans des conditions très spécifiques. Disposer d’un pseudonyme ne fait pas de vous une personne anonyme, des recherches, généralement assez rapides, permettent aisément de vous identifier. Pour être exact, il faudrait parler de pseudonymat, de « presque anonymat », ou « d’anonymat en surface ». Votre serviteur, par exemple, est derrière un pseudonyme : Numendil. Seulement, des recherches rapides, non techniques et accessibles à tout le monde permettent de savoir quelle est mon identité civile (et si vous vous posez la question, oui, c’est voulu, et assumé, ce fut un temps nécessaire).

L’anonymat n’existe pas, ou très peu comme je le disais, car le fonctionnement même d’Internet fait qu’il est plutôt ardu de l’obtenir.

Prenons un cas pratique (et déjà peu commun) : une personne derrière un pseudonyme, inscrite à partir d’une adresse e-mail factice, utilisant un VPN pour se connecter.

Il faut que l’individu reste connecté à son VPN, il ne doit ni se connecter en direct au réseau social où il est enregistré, ni directement à son adresse e-mail factice pour valider son inscription, et encore… son VPN connait sans doute sa véritable adresse IP, voire des informations plus poussées dans le cadre d’un VPN payant. Cette adresse IP peut être raccordée à un individu par l’intermédiaire d’une demande à son fournisseur d’accès à Internet… il peut, alors, être identifié. C’est pour cette raison qu’on préfère parler de pseudonymat, pseudo-anonymat : ça y ressemble, ça s’en rapproche, mais ce n’est pas un anonymat total, complet, parfait, quelqu’un, quelque part, sait qui vous êtes.

Si les personnes à l’appétence technique le savent et le comprennent, il n’en est pas de même pour une partie non négligeable des techniciens de la loi, députés, ministres, voire manifestement du président…

Pour ces derniers, les efforts d’identification semblent trop lourds, trop longs à mettre en œuvre, c’est une des raisons qui fait que, depuis des années, des politiques déclarent çà et là que l’anonymat d’Internet est un réel problème.

La solution consisterait, purement et simplement, selon ces derniers, à faire sauter cet anonymat, sur les réseaux sociaux, blogs, sites, …

Une mauvaise réponse à un vrai problème.

Je l’ai déjà dit par le passé, faire sauter l’anonymat est une très mauvaise idée, qui serait, à n’en pas douter, contreproductive et à l’exact inverse du but recherché de la démarche.

Premièrement, comme expliqué précédemment, la plupart des personnes derrière un pseudonymat sont aisément identifiables, au prix de quelques efforts. L’arsenal juridique en la matière est déjà fort riche, l’arsenal technique pour automatiser l’identification d’une personne l’est tout autant : chercher des adresses IP, des métadonnées, des logs laissés çà et là, recroiser des informations, ça se fait déjà, parfois de façon automatisée, via des logiciels qui font très bien le travail.

Secundo, l’objectif concerne une partie très minoritaire, quoi que très visible et très présente, des individus… mais la levée d’anonymat concernerait tout le monde. Pour de nombreuses personnes, bien plus nombreuses que les nuisibles abordés précédemment, la levée de l’anonymat aurait de très fâcheuses conséquences : limitation de la capacité à s’exprimer librement, exposition à des risques de représailles, persécutions, harcèlement à plus grande échelle ou par d’autres moyens que les actuels. De nombreux professionnels ne sont pas en capacité de s’exprimer s’ils doivent le faire en utilisant leur identité civile : l’armée, la gendarmerie, la police, les médecins, les avocats et bien d’autres encore sont tenus à des obligations et à un secret professionnel. Ils ne pourraient pas alerter l’opinion publique ou relater des faits inadmissibles sous leur identité civile.

Certaines situations (des vols, des agressions ou des viols par exemple) ne sont connues que grâce à l’anonymat qu’Internet permet. Les victimes de ces actes ne pourraient pas s’exprimer sans anonymat, les représailles seraient rapides et évidentes. Dans ces situations, les femmes seraient davantage touchées par tout ce qui pourrait survenir. Elles sont déjà, malgré l’anonymat dont certaines disposent, insultées, traquées, stalkées, menacées voire agressées physiquement par des dérangés qui vont jusqu’à les retrouver… si elles étaient obligées d’être sous leur identité civile, ça ne pourrait qu’être pire.

Comment parler de violences conjugales en utilisant son identité civile ? C’est tout bonnement inconcevable.

En résumé : la levée de l’anonymat conduirait nécessairement à une diminution de notre capacité à nous exprimer, entraverait notre liberté d’expression et pourrait avoir de très importantes conséquences.

Pire, la levée de l’anonymat conduirait à une forme d’autocensure, de méfiance permanente des propos tenus, ce n’est bon pour personne, y compris pour le semblant de démocratie dont nous disposons.

Tertio, les personnes diffusant de fausses informations ou tenant des propos inadmissibles, voire illégaux, ne changeraient pas de façon de faire. La plupart ne sont pas derrière un pseudonyme, ils s’expriment avec leurs noms et prénoms de la vie civile, et assument totalement les propos tenus. Dès lors, lever progressivement l’anonymat pour en trouver quelques-uns reviendrait surtout à pénaliser la grande majorité.

L’anonymat est un sujet à part entière, de nombreux papiers et de nombreuses études existent sur le sujet. Par exemple, pour le rapporteur spécial de l’ONU sur la liberté d’expression, l’anonymat est même une composante essentielle à la liberté d’expression. En 2015 déjà, David Kaye, alors Rapporteur spécial des Nations unies sur la promotion et la protection de la liberté d’opinion et d’expression, exhortait les gouvernements à renoncer à la levée de l’anonymat sur Internet car cela pouvait interférer avec le droit à la liberté d’expression. Le rapport est consultable ici (doc) et on peut d’ailleurs y lire la chose suivante :

« In this sense, encryption and anonymity technologies are specific media through which individuals exercise their freedom of expression. » (Section C, point 26, dernières ligne, page 10).

Pour beaucoup de personnes, certainement plus neutres, plus objectives et moins impliquées que moi, l’anonymat n’est donc ni plus ni moins qu’un des piliers de la liberté d’expression, et c’est bien vrai. Sans la capacité actuelle dont nous bénéficions, à savoir celle d’une forme d’anonymat tout relatif certes, mais une forme d’anonymat quand même, nous ne serions pas libre d’aborder un tas de sujets, allant de situations de la vie quotidienne à des drames, en passant par les métiers, la religion, la sexualité, …

Vous l’aurez compris, je ne souhaite pas qu’un jour, nous soyons dans l’obligation de devoir présenter un titre d’identité pour pouvoir s’inscrire et communiquer en ligne, consommer un contenu sur une plateforme ou écrire un commentaire. Cela conduirait irrémédiablement à un affaiblissement de notre capacité nous exprimer librement.

En conclusion, l’anonymat, c’est comme quasi n’importe quelle chose sur terre : c’est un outil, un moyen, on peut s’en servir pour faire le mal, certes, mais la vaste majorité des personnes ne l’utilisent pas ainsi. L’outil est neutre, les comportements non. Et il ne faut ni blamer ni interdire l’outil, il n’y est pour rien.

]]>
Lors d’une élocution du président de la république face aux maires, un point a été soulevé : celui de l’anonymat. Emmanuel Macron souhaite que l’anonymat, sur Internet, soit levé progressivement. Pourquoi ? Quel est le problème ? Est-ce une bonne idée ? Décryptage.

L’anonymat, un problème ?

Dans son élocution, dont la partie qui nous intéresse est consultable ici, Emmanuel Macron a déclaré qu’il souhaitait une levée progressive de l’anonymat. Cela répondrait à un besoin « d’hygiène démocratique du statut de l’information », il estime que c’est une priorité pour la démocratie, afin de pouvoir « distinguer le vrai du faux » car « aujourd’hui, on a beaucoup d’informations, tout le temps, mais on ne sait pas d’où elle vient. »

C’est une façon de remettre chaque personne face à ses responsabilités et ses propos, l’idée est qu’il ne soit plus possible de diffuser de fausses informations, de proférer des insultes, des menaces ou autres joyeusetés sans qu’on sache immédiatement qui tient de tels propos.

On notera qu’à la fin du passage, le président déclare que cette levée d’anonymat permettrait de savoir « d’où les gens parlent et pourquoi ils disent des choses. », des propos assez larges, flous et inquiétants.

Il est vrai que l’usage de l’anonymat a, comme toute chose, deux faces, une bonne et une mauvaise. La mauvaise est que de nombreuses personnes pensent pouvoir tout dire, tout déclarer, certains allant même jusqu’à proférer des insultes, des intimidations, voire des menaces de mort. De plus, des profils un peu techniques savent globalement bien masquer leurs traces afin d’être difficilement identifiables. Dans certains cas, l’anonymat est un obstacle pour les forces de l’ordre, qui ont parfois besoin de réponses rapides, voire immédiates dans certaines enquêtes, l’anonymat serait également un obstacle à lever pour ces raisons.

Si le souhait de lutter contre la diffusion des fausses informations, contre les propos outrageants, contraires à la loi et, plus généralement, contre les comportements conduisant à tout cela est plus que louable et va dans l’intérêt commun, il est néanmoins nécessaire de s’interroger quant à la solution proposée, qui n’est pas sans conséquences.

Pour commencer, l’anonymat, le vrai, est-ce que ça existe ?

La réponse est simple : non, ou très peu et dans des conditions très spécifiques. Disposer d’un pseudonyme ne fait pas de vous une personne anonyme, des recherches, généralement assez rapides, permettent aisément de vous identifier. Pour être exact, il faudrait parler de pseudonymat, de « presque anonymat », ou « d’anonymat en surface ». Votre serviteur, par exemple, est derrière un pseudonyme : Numendil. Seulement, des recherches rapides, non techniques et accessibles à tout le monde permettent de savoir quelle est mon identité civile (et si vous vous posez la question, oui, c’est voulu, et assumé, ce fut un temps nécessaire).

L’anonymat n’existe pas, ou très peu comme je le disais, car le fonctionnement même d’Internet fait qu’il est plutôt ardu de l’obtenir.

Prenons un cas pratique (et déjà peu commun) : une personne derrière un pseudonyme, inscrite à partir d’une adresse e-mail factice, utilisant un VPN pour se connecter.

Il faut que l’individu reste connecté à son VPN, il ne doit ni se connecter en direct au réseau social où il est enregistré, ni directement à son adresse e-mail factice pour valider son inscription, et encore… son VPN connait sans doute sa véritable adresse IP, voire des informations plus poussées dans le cadre d’un VPN payant. Cette adresse IP peut être raccordée à un individu par l’intermédiaire d’une demande à son fournisseur d’accès à Internet… il peut, alors, être identifié. C’est pour cette raison qu’on préfère parler de pseudonymat, pseudo-anonymat : ça y ressemble, ça s’en rapproche, mais ce n’est pas un anonymat total, complet, parfait, quelqu’un, quelque part, sait qui vous êtes.

Si les personnes à l’appétence technique le savent et le comprennent, il n’en est pas de même pour une partie non négligeable des techniciens de la loi, députés, ministres, voire manifestement du président…

Pour ces derniers, les efforts d’identification semblent trop lourds, trop longs à mettre en œuvre, c’est une des raisons qui fait que, depuis des années, des politiques déclarent çà et là que l’anonymat d’Internet est un réel problème.

La solution consisterait, purement et simplement, selon ces derniers, à faire sauter cet anonymat, sur les réseaux sociaux, blogs, sites, …

Une mauvaise réponse à un vrai problème.

Je l’ai déjà dit par le passé, faire sauter l’anonymat est une très mauvaise idée, qui serait, à n’en pas douter, contreproductive et à l’exact inverse du but recherché de la démarche.

Premièrement, comme expliqué précédemment, la plupart des personnes derrière un pseudonymat sont aisément identifiables, au prix de quelques efforts. L’arsenal juridique en la matière est déjà fort riche, l’arsenal technique pour automatiser l’identification d’une personne l’est tout autant : chercher des adresses IP, des métadonnées, des logs laissés çà et là, recroiser des informations, ça se fait déjà, parfois de façon automatisée, via des logiciels qui font très bien le travail.

Secundo, l’objectif concerne une partie très minoritaire, quoi que très visible et très présente, des individus… mais la levée d’anonymat concernerait tout le monde. Pour de nombreuses personnes, bien plus nombreuses que les nuisibles abordés précédemment, la levée de l’anonymat aurait de très fâcheuses conséquences : limitation de la capacité à s’exprimer librement, exposition à des risques de représailles, persécutions, harcèlement à plus grande échelle ou par d’autres moyens que les actuels. De nombreux professionnels ne sont pas en capacité de s’exprimer s’ils doivent le faire en utilisant leur identité civile : l’armée, la gendarmerie, la police, les médecins, les avocats et bien d’autres encore sont tenus à des obligations et à un secret professionnel. Ils ne pourraient pas alerter l’opinion publique ou relater des faits inadmissibles sous leur identité civile.

Certaines situations (des vols, des agressions ou des viols par exemple) ne sont connues que grâce à l’anonymat qu’Internet permet. Les victimes de ces actes ne pourraient pas s’exprimer sans anonymat, les représailles seraient rapides et évidentes. Dans ces situations, les femmes seraient davantage touchées par tout ce qui pourrait survenir. Elles sont déjà, malgré l’anonymat dont certaines disposent, insultées, traquées, stalkées, menacées voire agressées physiquement par des dérangés qui vont jusqu’à les retrouver… si elles étaient obligées d’être sous leur identité civile, ça ne pourrait qu’être pire.

Comment parler de violences conjugales en utilisant son identité civile ? C’est tout bonnement inconcevable.

En résumé : la levée de l’anonymat conduirait nécessairement à une diminution de notre capacité à nous exprimer, entraverait notre liberté d’expression et pourrait avoir de très importantes conséquences.

Pire, la levée de l’anonymat conduirait à une forme d’autocensure, de méfiance permanente des propos tenus, ce n’est bon pour personne, y compris pour le semblant de démocratie dont nous disposons.

Tertio, les personnes diffusant de fausses informations ou tenant des propos inadmissibles, voire illégaux, ne changeraient pas de façon de faire. La plupart ne sont pas derrière un pseudonyme, ils s’expriment avec leurs noms et prénoms de la vie civile, et assument totalement les propos tenus. Dès lors, lever progressivement l’anonymat pour en trouver quelques-uns reviendrait surtout à pénaliser la grande majorité.

L’anonymat est un sujet à part entière, de nombreux papiers et de nombreuses études existent sur le sujet. Par exemple, pour le rapporteur spécial de l’ONU sur la liberté d’expression, l’anonymat est même une composante essentielle à la liberté d’expression. En 2015 déjà, David Kaye, alors Rapporteur spécial des Nations unies sur la promotion et la protection de la liberté d’opinion et d’expression, exhortait les gouvernements à renoncer à la levée de l’anonymat sur Internet car cela pouvait interférer avec le droit à la liberté d’expression. Le rapport est consultable ici (doc) et on peut d’ailleurs y lire la chose suivante :

« In this sense, encryption and anonymity technologies are specific media through which individuals exercise their freedom of expression. » (Section C, point 26, dernières ligne, page 10).

Pour beaucoup de personnes, certainement plus neutres, plus objectives et moins impliquées que moi, l’anonymat n’est donc ni plus ni moins qu’un des piliers de la liberté d’expression, et c’est bien vrai. Sans la capacité actuelle dont nous bénéficions, à savoir celle d’une forme d’anonymat tout relatif certes, mais une forme d’anonymat quand même, nous ne serions pas libre d’aborder un tas de sujets, allant de situations de la vie quotidienne à des drames, en passant par les métiers, la religion, la sexualité, …

Vous l’aurez compris, je ne souhaite pas qu’un jour, nous soyons dans l’obligation de devoir présenter un titre d’identité pour pouvoir s’inscrire et communiquer en ligne, consommer un contenu sur une plateforme ou écrire un commentaire. Cela conduirait irrémédiablement à un affaiblissement de notre capacité nous exprimer librement.

En conclusion, l’anonymat, c’est comme quasi n’importe quelle chose sur terre : c’est un outil, un moyen, on peut s’en servir pour faire le mal, certes, mais la vaste majorité des personnes ne l’utilisent pas ainsi. L’outil est neutre, les comportements non. Et il ne faut ni blamer ni interdire l’outil, il n’y est pour rien.

]]>
Le difficile (et long) exercice des droits sous le RGPD http://pixellibre.net/?p=3222 ./?Le-difficile-(et-long)-exercice-des-droits-sous-le-RGPD Thu, 25 Oct 2018 11:01:14 +0200 L’arrivée du RGPD, le 25 mai 2018, renforce la protection des données à caractère personnel des individus et confère de nouveaux droits à ces derniers. J’ai décidé de faire usage de mon droit d’accès auprès d’un certain nombre d’entreprises et vous partage, ici, le bilan de mes actions.

Plantons le décor

Comme le dit si bien Rayna Stamboliyska dans son article : « Exercice des droits à l’ère du RGPD : un sport de combat »  , c’est une « fausse surprise que de réaliser le désordre » ambiant en matière de protection des données à caractère personnel. La première loi relative au sujet existe depuis 1978. Nous sommes en 2018 et certaines entreprises n’appliquent pas totalement une loi déjà vieille de 40 ans.

Absence de procédure pour certains, de moyens de contact voire de mentions relatives à l’exercice des droits pour d’autres, réponse automatique indiquant que l’adresse mail contactée, pourtant récupérée sur le site officiel, n’existe pas … sont tant d’obstacles qui vous donnent envie de jeter l’éponge. N’y voyez pas le mal, 40 ans après informatique et libertés, des mois après RGPD, les entreprises ne sont simplement pas toutes organisées pour pouvoir répondre à des demandes d’individus, malgré les obligations existantes, c’est ça, la réalité du terrain.

Même s’il est problématique pour une organisation gérant des données à caractère personnel de ne pas savoir s’organiser pour respecter les droits des personnes, il faut aussi avouer que peu de gens connaissent leurs droits. Encore moins en font usage. Les entreprises se pensaient donc globalement « tranquilles », convaincues qu’elles avaient « le temps ». Jusqu’au RGPD, où de nombreux individus ont simplement pris conscience des droits existants, et ont décidé de les utiliser.

Résumons donc : une majorité d’entreprises n’est pas encore prête à répondre correctement à des demandes d’exercice d’un droit, qu’il existe depuis des années ou non. J’ai souhaité faire le point sur ma vie numérique, savoir qui disposait de quoi, sur ma personne, et j’ai commencé à solliciter différentes organisations traitant mes données afin d’exercer mon droit d’accès.

Le droit d’accès, mais encore ?

Exercer ses droits, ça semble plutôt facile sur le papier. En pratique, c’est loin d’être le cas.

Les mentions légales, les conditions générales d’utilisation, les politiques de confidentialité, sont autant de documents à lire et analyser pour trouver qui contacter, quelle procédure utiliser pour faire exercer ses droits. Conseil, si vous souhaitez exercer les vôtres, armez-vous d’un (grand) café avant de démarrer votre lecture.

Je ne détaillerai pas davantage l’exercice des droits, l’article de Rayna le faisant très bien, je vous invite à le lire, à nouveau. Ici, nous allons nous pencher sur « la suite », la pratique, et les réponses apportées.

La pratique

Round 1 : j’ai sollicité 21 entreprises afin de faire exercer mon droit d’accès. Sur ces 21, 18 disposaient d’un e-mail fonctionnel, les trois autres indiquant une adresse qui tombe en erreur et m’offrant pour seul réconfort un mail automatique, poli, me disant « désolé, l’adresse e-mail n’existe pas ».

Six des 18 entreprises ont été éliminées au round 2… pour avoir supprimé mes données alors que j’en demandais l’accès. J’imagine que ces entreprises ne doivent pas être habituées à recevoir des demandes, et sous le stress et la panique, elles ont supprimé l’intégralité de mes données au lieu de me les communiquer.

Mention spéciale sur ce round : une entreprise contactée pour un droit d’accès a supprimé mes données et m’a communiqué un e-mail m’indiquant la purge.

Quelques jours après, elle m’a communiqué un second e-mail, me disant qu’ils ne pouvaient pas satisfaire ma demande de droit d’accès, puisqu’ils ne disposaient d’aucune donnée sur moi…

Enfin, quelques jours après ce deuxième e-mail, une dernière communication est arrivée, me disant que si je voulais m’inscrire à nouveau au service, j’étais obligé de prendre contact directement avec l’entreprise, car mon adresse e-mail était « blacklistée », afin que je ne sois pas inscrit à nouveau sur leur systèmes… Il semble donc que la société conserve des informations sur moi, malgré la suppression annoncée, l’opération de « blacklistage » n’étant pas réalisable autrement.

Nous voilà au round 3, avec 12 entreprises toujours en course. Sur ces 12 entreprises, une m’a répondu en une heure qu’elle avait besoin d’un délai supplémentaire pour m’apporter une réponse. J’attends donc le retour de ladite entreprise.

Quatre entreprises ont répondu correctement, avec de bonnes informations, en me demandant de justifier de mon identité car elles n’étaient pas à même d’affirmer avec certitude que j’étais bien qui je prétendais être. A ce titre, ils m’ont demandé de justifier de mon identité, par tout moyen valable, et une entreprise m’a d’ores et déjà communiqué mes données. Bon point pour elle. Les trois autres n’ont pas encore donné suite, mais nous sommes dans le délai légal.

Ce qui nous laisse sept entreprises.

Bienvenue à Galère-Land.

Sur les sept entreprises restantes, cinq entreprises n’ont pas accusé la réception de ma demande. Je ne sais donc pas si elle est reçue, si elle est traitée, en cours de traitement ou si elle est tombée aux oubliettes.

Une entreprise n’a pas donné suite à ma demande pour le moment, mais phénomène improbable… je reçois des communications d’eux, communication que je ne recevais pas avant et qui sont clairement à vocation commerciale. Ecrire au DPO a donc conduit l’entreprise à m’adresser des e-mails commerciaux, que je n’avais pas avant et auxquels je n’ai pas consenti. Je vous laisse apprécier l’ironie de la situation, et j’espère pour eux qu’ils vont corriger rapidement le tir, la CNIL n’appréciant sans doute pas la pratique.

Enfin… mon « grand gagnant ». Une entreprise s’est retrouvée à commettre une violation de données en répondant à ma demande de droit d’accès. Ladite entreprise m’a communiqué les informations relatives à mon identifiant… qui appartenait manifestement à une autre personne avant. Et c’est ainsi que j’ai appris l’identité de la personne disposant de mon identifiant avant moi, de son nom, son prénom, son adresse, bref. Il semble que le service juridique se soit rendu compte de « la boulette », puisqu’ils m’ont contacté, pour tenter de me justifier l’erreur, me dire qu’elle n’arriverait plus, que c’était de ma faute et de celle du service client, qui a traité la demande, qui était « offshore ».

Non seulement les informations transmises ne sont pas les miennes, mais en plus l’entreprise n’assume pas son erreur et comble du comble elle ne m’a pas indiqué que ma demande était traitée en dehors du territoire de l’Union.

J’étais quelque peu…mécontent, mécontentement que j’ai signalé. Depuis, plus aucune nouvelle, plus de réponses. Dommage.

Bilan

Sur 21 entreprises, cinq ont répondu « dans les clous » à ma demande. Moins de 25%. Ce n’est certes pas un bon chiffre, mais il reste encourageant pour la suite. Les réponses qui m’ont été fournies sont complètes, bonnes, citent la règlementation de façon précise. Les réponses m’invitant à patienter également, le délai de réponse est mentionné, les justifications du temps de réponse sont communiquées.

Le niveau de maturité des organisations n’est pas homogène, certaines comprennent bien les enjeux, font preuve de sérieux, d’autres pas. Certaines s’y prennent parfois mal, peuvent être maladroites, là où d’autres ne vous répondent pas, ne semblent pas vous considérer et vous spamment alors que vous ne l’avez jamais demandé. Il reste encore un long chemin à parcourir pour un certain nombre d’entreprises, reste à savoir si cela se fera dans la bonne intelligence, ou dans la douleur des sanctions.

]]>
L’arrivée du RGPD, le 25 mai 2018, renforce la protection des données à caractère personnel des individus et confère de nouveaux droits à ces derniers. J’ai décidé de faire usage de mon droit d’accès auprès d’un certain nombre d’entreprises et vous partage, ici, le bilan de mes actions.

Plantons le décor

Comme le dit si bien Rayna Stamboliyska dans son article : « Exercice des droits à l’ère du RGPD : un sport de combat »  , c’est une « fausse surprise que de réaliser le désordre » ambiant en matière de protection des données à caractère personnel. La première loi relative au sujet existe depuis 1978. Nous sommes en 2018 et certaines entreprises n’appliquent pas totalement une loi déjà vieille de 40 ans.

Absence de procédure pour certains, de moyens de contact voire de mentions relatives à l’exercice des droits pour d’autres, réponse automatique indiquant que l’adresse mail contactée, pourtant récupérée sur le site officiel, n’existe pas … sont tant d’obstacles qui vous donnent envie de jeter l’éponge. N’y voyez pas le mal, 40 ans après informatique et libertés, des mois après RGPD, les entreprises ne sont simplement pas toutes organisées pour pouvoir répondre à des demandes d’individus, malgré les obligations existantes, c’est ça, la réalité du terrain.

Même s’il est problématique pour une organisation gérant des données à caractère personnel de ne pas savoir s’organiser pour respecter les droits des personnes, il faut aussi avouer que peu de gens connaissent leurs droits. Encore moins en font usage. Les entreprises se pensaient donc globalement « tranquilles », convaincues qu’elles avaient « le temps ». Jusqu’au RGPD, où de nombreux individus ont simplement pris conscience des droits existants, et ont décidé de les utiliser.

Résumons donc : une majorité d’entreprises n’est pas encore prête à répondre correctement à des demandes d’exercice d’un droit, qu’il existe depuis des années ou non. J’ai souhaité faire le point sur ma vie numérique, savoir qui disposait de quoi, sur ma personne, et j’ai commencé à solliciter différentes organisations traitant mes données afin d’exercer mon droit d’accès.

Le droit d’accès, mais encore ?

Exercer ses droits, ça semble plutôt facile sur le papier. En pratique, c’est loin d’être le cas.

Les mentions légales, les conditions générales d’utilisation, les politiques de confidentialité, sont autant de documents à lire et analyser pour trouver qui contacter, quelle procédure utiliser pour faire exercer ses droits. Conseil, si vous souhaitez exercer les vôtres, armez-vous d’un (grand) café avant de démarrer votre lecture.

Je ne détaillerai pas davantage l’exercice des droits, l’article de Rayna le faisant très bien, je vous invite à le lire, à nouveau. Ici, nous allons nous pencher sur « la suite », la pratique, et les réponses apportées.

La pratique

Round 1 : j’ai sollicité 21 entreprises afin de faire exercer mon droit d’accès. Sur ces 21, 18 disposaient d’un e-mail fonctionnel, les trois autres indiquant une adresse qui tombe en erreur et m’offrant pour seul réconfort un mail automatique, poli, me disant « désolé, l’adresse e-mail n’existe pas ».

Six des 18 entreprises ont été éliminées au round 2… pour avoir supprimé mes données alors que j’en demandais l’accès. J’imagine que ces entreprises ne doivent pas être habituées à recevoir des demandes, et sous le stress et la panique, elles ont supprimé l’intégralité de mes données au lieu de me les communiquer.

Mention spéciale sur ce round : une entreprise contactée pour un droit d’accès a supprimé mes données et m’a communiqué un e-mail m’indiquant la purge.

Quelques jours après, elle m’a communiqué un second e-mail, me disant qu’ils ne pouvaient pas satisfaire ma demande de droit d’accès, puisqu’ils ne disposaient d’aucune donnée sur moi…

Enfin, quelques jours après ce deuxième e-mail, une dernière communication est arrivée, me disant que si je voulais m’inscrire à nouveau au service, j’étais obligé de prendre contact directement avec l’entreprise, car mon adresse e-mail était « blacklistée », afin que je ne sois pas inscrit à nouveau sur leur systèmes… Il semble donc que la société conserve des informations sur moi, malgré la suppression annoncée, l’opération de « blacklistage » n’étant pas réalisable autrement.

Nous voilà au round 3, avec 12 entreprises toujours en course. Sur ces 12 entreprises, une m’a répondu en une heure qu’elle avait besoin d’un délai supplémentaire pour m’apporter une réponse. J’attends donc le retour de ladite entreprise.

Quatre entreprises ont répondu correctement, avec de bonnes informations, en me demandant de justifier de mon identité car elles n’étaient pas à même d’affirmer avec certitude que j’étais bien qui je prétendais être. A ce titre, ils m’ont demandé de justifier de mon identité, par tout moyen valable, et une entreprise m’a d’ores et déjà communiqué mes données. Bon point pour elle. Les trois autres n’ont pas encore donné suite, mais nous sommes dans le délai légal.

Ce qui nous laisse sept entreprises.

Bienvenue à Galère-Land.

Sur les sept entreprises restantes, cinq entreprises n’ont pas accusé la réception de ma demande. Je ne sais donc pas si elle est reçue, si elle est traitée, en cours de traitement ou si elle est tombée aux oubliettes.

Une entreprise n’a pas donné suite à ma demande pour le moment, mais phénomène improbable… je reçois des communications d’eux, communication que je ne recevais pas avant et qui sont clairement à vocation commerciale. Ecrire au DPO a donc conduit l’entreprise à m’adresser des e-mails commerciaux, que je n’avais pas avant et auxquels je n’ai pas consenti. Je vous laisse apprécier l’ironie de la situation, et j’espère pour eux qu’ils vont corriger rapidement le tir, la CNIL n’appréciant sans doute pas la pratique.

Enfin… mon « grand gagnant ». Une entreprise s’est retrouvée à commettre une violation de données en répondant à ma demande de droit d’accès. Ladite entreprise m’a communiqué les informations relatives à mon identifiant… qui appartenait manifestement à une autre personne avant. Et c’est ainsi que j’ai appris l’identité de la personne disposant de mon identifiant avant moi, de son nom, son prénom, son adresse, bref. Il semble que le service juridique se soit rendu compte de « la boulette », puisqu’ils m’ont contacté, pour tenter de me justifier l’erreur, me dire qu’elle n’arriverait plus, que c’était de ma faute et de celle du service client, qui a traité la demande, qui était « offshore ».

Non seulement les informations transmises ne sont pas les miennes, mais en plus l’entreprise n’assume pas son erreur et comble du comble elle ne m’a pas indiqué que ma demande était traitée en dehors du territoire de l’Union.

J’étais quelque peu…mécontent, mécontentement que j’ai signalé. Depuis, plus aucune nouvelle, plus de réponses. Dommage.

Bilan

Sur 21 entreprises, cinq ont répondu « dans les clous » à ma demande. Moins de 25%. Ce n’est certes pas un bon chiffre, mais il reste encourageant pour la suite. Les réponses qui m’ont été fournies sont complètes, bonnes, citent la règlementation de façon précise. Les réponses m’invitant à patienter également, le délai de réponse est mentionné, les justifications du temps de réponse sont communiquées.

Le niveau de maturité des organisations n’est pas homogène, certaines comprennent bien les enjeux, font preuve de sérieux, d’autres pas. Certaines s’y prennent parfois mal, peuvent être maladroites, là où d’autres ne vous répondent pas, ne semblent pas vous considérer et vous spamment alors que vous ne l’avez jamais demandé. Il reste encore un long chemin à parcourir pour un certain nombre d’entreprises, reste à savoir si cela se fera dans la bonne intelligence, ou dans la douleur des sanctions.

]]>
Confier son cul à un tiers de confiance, une bonne idée ? http://pixellibre.net/?p=3215 ./?Confier-son-cul-à-un-tiers-de-confiance-une-bonne-idée Thu, 04 Oct 2018 21:14:29 +0200 Il fallait bien un titre un peu « putaclick » pour un sujet qui l’est tout autant. Et pour un retour sur ce blog, délaissé depuis des mois, faute de temps. Rentrons directement, sans mauvais jeux de mots, dans le vif du sujet : l’accès aux sites pornographiques, le Pr0n, comme on dit sur les Internets. Notre bon Secrétaire d’État au Numérique, Mounir Mahjoubi, vient de proposer une solution « innovante » pour contrôler l’accès aux sites dédiés à la pornographie : le tiers de confiance. Qu’est-ce ? Est-ce une bonne idée ? C’est la question à laquelle je vais essayer de répondre.

Posons le décor…

Le problème est le suivant : sur Internet, personne ne sait qui vous êtes vraiment, comprenez par là qu’un enfant de, admettons, 12 ans, peut cliquer sans aucun problème sur « oui, je suis un adulte et oui je veux voir des gens en train de pratiquer une activité sexuelle X, Y ou Z » (plutôt X en l’occurrence).

Les sites pornographiques ne vous demandent pas, en France du moins, de justifier ou de prouver votre identité pour accéder aux contenus, il vous suffit de cliquer sur un « je reconnais être majeur », voire simplement taper une adresse et « paf », vous voilà sur le site, avec un accès direct aux contenus.

De nombreuses personnes, des parents, des hommes et des femmes politiques, des personnalités, cherchent depuis des années un moyen de restreindre l’accès à ces contenus destinés aux adultes… seulement, une solution – entendons-nous bien, une solution fonctionnelle et respectueuse de votre intimité – n’existe tout simplement pas, dès lors qu’elle se situe ailleurs que sur votre ordinateur, installée, en dur. A ce titre, un proxy, type « contrôle parental », peut répondre à ce besoin, de façon plus ou moins précise.

Ce constat semble partagé par la classe politique, qui cherche, depuis des années, un moyen fiable de restreindre l’accès des sites pornographiques aux seules personnes adultes identifiées comme telles, et comme étant donc en droit d’aller se rincer l’œil, et autres joyeusetés, le secteur étant très imaginatif.

La solution miracle de « Magic Mounir »

Le « tiers de confiance ». Un « tiers de confiance », tel que présenté par le secrétaire d’état au numérique, consiste à s’identifier sur une plateforme, laquelle va dans un premier temps attester de votre identité; avant de transmettre un jeton, ou token, au site que vous souhaitez visiter, qui vous laissera alors passer et naviguer en paix.

On pourrait résumer cela en un agent de sécurité, connu de l’endroit que vous souhaitez visiter, qui vérifie votre carte d’identité et qui vous laisse rentrer. La direction de l’endroit ne sait pas qui vous êtes, n’a pas connaissance de votre identité, mais elle fait confiance à l’agent, le « tiers de confiance » donc, qui lui a dit « Ok il peut passer ».

La mise en place d’un tel système revient à poser une question, la plus importante sans doute : à qui doit-on faire confiance ? Qui peut devenir votre tiers de confiance pour identifier les visiteurs et leur permettre un accès aux vidéos ?

Il faut que le tiers soit sérieux, exemplaire, qu’il soit neutre, qu’il soit au fait que les accès qu’il va permettre sont tout de même sensibles, puisque ces derniers donnent accès à des images, sites et vidéos, disons-le clairement, de cul.

Est-ce que l’accès, une fois autorisé, est autorisé pendant une durée ? Si oui, laquelle ? Le temps d’une vidéo ? Le temps d’une session de navigation ? Un temps humain, en jour ? Si c’est en jour, comment s’assurer que la personne qui était sur un site porno de 08h12 à 08h40 ce matin est la même que celle de 22h00 ? Bref, de nombreuses questions sont soulevées par la présence de ce tiers de confiance et par son mode de fonctionnement également.

Seulement, ces questions techniques soulèvent d’autres questions, plus « morales » : est-ce que je peux, moi, faire confiance à ce tiers de confiance ?

Qu’est-ce qui me dit que les données de ce tiers ne vont pas être utilisées à d’autres fins que celles prévues, à savoir l’identification ? Qu’est-ce qui me dit que ces données ne vont pas être volées, un jour, par un … tiers ? Est-ce que j’ai vraiment envie de signaler chaque visite que j’effectue à un tiers ? Je la signale déjà à mon opérateur, à celui qui gère mon DNS, je ne vais pas, en plus, la signaler à un tiers qui n’a aucune raison technique d’exister, non ?

A ces questions, M. Mahjoubi répond : « nous pourrions utiliser France Connect ».

France Connect, pour celleux qui ne connaissent pas, est le système d’authentification unifiée (SSO en anglais) de l’Etat. Grâce à France Connect, vous pouvez être connecté à certains services de l’Etat, comme le site des Impôts, celui de la Sécurité Sociale (Ameli.fr) ou encore La Poste, et d’autres s’ajouteront à la liste au fil du temps.

L’idée serait donc de rajouter dans ce SSO l’accès à certains sites pornographiques, à côté d’Ameli et des Impôts. Pardonnez-moi l’expression, mais l’idée n’est pas franchement bandante.

La question à vous poser est « est-ce que je suis d’accord pour que l’Etat soit en capacité de savoir que je me suis connecté à telle, telle ou telle heure à tel, tel ou tel site de cul ? »

La réponse, normalement, est non, sauf si vous êtes excités à l’idée que l’Etat puisse disposer de ces informations (après tout, chacun sa source d’excitation).

Enlarge your problem

L’autre problème, plus large, est le suivant : si un tel système était adopté, quels seraient les sites concernés par cette authentification ? Les sites français ? Les sites européens ? Les sites à l’échelle de la planète ?

Et « les sites », quels sites, d’ailleurs ? Avec deux trois mots clefs évidents, il est possible de trouver des images, ou des GIFS, explicitement pornographiques, sur… Google. Est-ce que Google doit être connecté à ce « tiers de confiance », dans la mesure où il permet d’accéder à du contenu pornographique ? La question se pose aussi pour les réseaux sociaux, comme Twitter, où il n’est pas rare de croiser des vidéos entières, des images, des GIFS, de cul, voire de disposer de comptes spécifiquement dédiés au plaisir charnel. Twitter devrait-il être connecté à ce « tiers de confiance » ? Et la question peut se poser sur de très, très très très nombreux sites qui n’ont pas pour objectif principal de permettre l’accès à du contenu pornographique mais, qui, via leurs utilisateurs, en contiennent (coucou Tumblr).

La proposition de M. Mahjoubi est une mauvaise réponse à un vrai problème. L’industrialisation du porno a standardisé un certain nombre de pratiques, et le visionnage de ces vidéos ne devrait pas être possible pour les plus jeunes, premièrement car ces derniers pourraient être choqués, ensuite car ils peuvent ne pas être en capacité de comprendre que c’est un jeu, que ce sont généralement des acteurs, ou des amateurs qui se mettent en scène.

Mais… le « tiers de confiance », ce n’est pas une réponse adéquate. Pour toutes les raisons et les questions indiquées et pour bien plus encore.

Et si « le tiers de confiance », c’était l’éducation (sexuelle) des enfants, et l’accompagnement des parents, sur ce sujet encore trop tabou ?

]]>
Il fallait bien un titre un peu « putaclick » pour un sujet qui l’est tout autant. Et pour un retour sur ce blog, délaissé depuis des mois, faute de temps. Rentrons directement, sans mauvais jeux de mots, dans le vif du sujet : l’accès aux sites pornographiques, le Pr0n, comme on dit sur les Internets. Notre bon Secrétaire d’État au Numérique, Mounir Mahjoubi, vient de proposer une solution « innovante » pour contrôler l’accès aux sites dédiés à la pornographie : le tiers de confiance. Qu’est-ce ? Est-ce une bonne idée ? C’est la question à laquelle je vais essayer de répondre.

Posons le décor…

Le problème est le suivant : sur Internet, personne ne sait qui vous êtes vraiment, comprenez par là qu’un enfant de, admettons, 12 ans, peut cliquer sans aucun problème sur « oui, je suis un adulte et oui je veux voir des gens en train de pratiquer une activité sexuelle X, Y ou Z » (plutôt X en l’occurrence).

Les sites pornographiques ne vous demandent pas, en France du moins, de justifier ou de prouver votre identité pour accéder aux contenus, il vous suffit de cliquer sur un « je reconnais être majeur », voire simplement taper une adresse et « paf », vous voilà sur le site, avec un accès direct aux contenus.

De nombreuses personnes, des parents, des hommes et des femmes politiques, des personnalités, cherchent depuis des années un moyen de restreindre l’accès à ces contenus destinés aux adultes… seulement, une solution – entendons-nous bien, une solution fonctionnelle et respectueuse de votre intimité – n’existe tout simplement pas, dès lors qu’elle se situe ailleurs que sur votre ordinateur, installée, en dur. A ce titre, un proxy, type « contrôle parental », peut répondre à ce besoin, de façon plus ou moins précise.

Ce constat semble partagé par la classe politique, qui cherche, depuis des années, un moyen fiable de restreindre l’accès des sites pornographiques aux seules personnes adultes identifiées comme telles, et comme étant donc en droit d’aller se rincer l’œil, et autres joyeusetés, le secteur étant très imaginatif.

La solution miracle de « Magic Mounir »

Le « tiers de confiance ». Un « tiers de confiance », tel que présenté par le secrétaire d’état au numérique, consiste à s’identifier sur une plateforme, laquelle va dans un premier temps attester de votre identité; avant de transmettre un jeton, ou token, au site que vous souhaitez visiter, qui vous laissera alors passer et naviguer en paix.

On pourrait résumer cela en un agent de sécurité, connu de l’endroit que vous souhaitez visiter, qui vérifie votre carte d’identité et qui vous laisse rentrer. La direction de l’endroit ne sait pas qui vous êtes, n’a pas connaissance de votre identité, mais elle fait confiance à l’agent, le « tiers de confiance » donc, qui lui a dit « Ok il peut passer ».

La mise en place d’un tel système revient à poser une question, la plus importante sans doute : à qui doit-on faire confiance ? Qui peut devenir votre tiers de confiance pour identifier les visiteurs et leur permettre un accès aux vidéos ?

Il faut que le tiers soit sérieux, exemplaire, qu’il soit neutre, qu’il soit au fait que les accès qu’il va permettre sont tout de même sensibles, puisque ces derniers donnent accès à des images, sites et vidéos, disons-le clairement, de cul.

Est-ce que l’accès, une fois autorisé, est autorisé pendant une durée ? Si oui, laquelle ? Le temps d’une vidéo ? Le temps d’une session de navigation ? Un temps humain, en jour ? Si c’est en jour, comment s’assurer que la personne qui était sur un site porno de 08h12 à 08h40 ce matin est la même que celle de 22h00 ? Bref, de nombreuses questions sont soulevées par la présence de ce tiers de confiance et par son mode de fonctionnement également.

Seulement, ces questions techniques soulèvent d’autres questions, plus « morales » : est-ce que je peux, moi, faire confiance à ce tiers de confiance ?

Qu’est-ce qui me dit que les données de ce tiers ne vont pas être utilisées à d’autres fins que celles prévues, à savoir l’identification ? Qu’est-ce qui me dit que ces données ne vont pas être volées, un jour, par un … tiers ? Est-ce que j’ai vraiment envie de signaler chaque visite que j’effectue à un tiers ? Je la signale déjà à mon opérateur, à celui qui gère mon DNS, je ne vais pas, en plus, la signaler à un tiers qui n’a aucune raison technique d’exister, non ?

A ces questions, M. Mahjoubi répond : « nous pourrions utiliser France Connect ».

France Connect, pour celleux qui ne connaissent pas, est le système d’authentification unifiée (SSO en anglais) de l’Etat. Grâce à France Connect, vous pouvez être connecté à certains services de l’Etat, comme le site des Impôts, celui de la Sécurité Sociale (Ameli.fr) ou encore La Poste, et d’autres s’ajouteront à la liste au fil du temps.

L’idée serait donc de rajouter dans ce SSO l’accès à certains sites pornographiques, à côté d’Ameli et des Impôts. Pardonnez-moi l’expression, mais l’idée n’est pas franchement bandante.

La question à vous poser est « est-ce que je suis d’accord pour que l’Etat soit en capacité de savoir que je me suis connecté à telle, telle ou telle heure à tel, tel ou tel site de cul ? »

La réponse, normalement, est non, sauf si vous êtes excités à l’idée que l’Etat puisse disposer de ces informations (après tout, chacun sa source d’excitation).

Enlarge your problem

L’autre problème, plus large, est le suivant : si un tel système était adopté, quels seraient les sites concernés par cette authentification ? Les sites français ? Les sites européens ? Les sites à l’échelle de la planète ?

Et « les sites », quels sites, d’ailleurs ? Avec deux trois mots clefs évidents, il est possible de trouver des images, ou des GIFS, explicitement pornographiques, sur… Google. Est-ce que Google doit être connecté à ce « tiers de confiance », dans la mesure où il permet d’accéder à du contenu pornographique ? La question se pose aussi pour les réseaux sociaux, comme Twitter, où il n’est pas rare de croiser des vidéos entières, des images, des GIFS, de cul, voire de disposer de comptes spécifiquement dédiés au plaisir charnel. Twitter devrait-il être connecté à ce « tiers de confiance » ? Et la question peut se poser sur de très, très très très nombreux sites qui n’ont pas pour objectif principal de permettre l’accès à du contenu pornographique mais, qui, via leurs utilisateurs, en contiennent (coucou Tumblr).

La proposition de M. Mahjoubi est une mauvaise réponse à un vrai problème. L’industrialisation du porno a standardisé un certain nombre de pratiques, et le visionnage de ces vidéos ne devrait pas être possible pour les plus jeunes, premièrement car ces derniers pourraient être choqués, ensuite car ils peuvent ne pas être en capacité de comprendre que c’est un jeu, que ce sont généralement des acteurs, ou des amateurs qui se mettent en scène.

Mais… le « tiers de confiance », ce n’est pas une réponse adéquate. Pour toutes les raisons et les questions indiquées et pour bien plus encore.

Et si « le tiers de confiance », c’était l’éducation (sexuelle) des enfants, et l’accompagnement des parents, sur ce sujet encore trop tabou ?

]]>