- Titre :
- Moins de libertés, moins de fun
- Intervenant :
- Arthur Messaud
- Lieu :
- Pas Sage en Seine - Choisy-le-Roi
- Date :
- juin 2019
- Durée :
- 56 min 30
- Visionner ou télécharger la conférence
- Licence de la transcription :
- Verbatim
- Illustration :
- Logo de La Quadrature du Net - Licence Creative Commoms CC-BY-SA
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l’April, qui ne sera en aucun cas tenue responsable de leurs propos.
Description
Vous vous souvenez quand on disait : « Si on ne s’oppose pas à cette loi, elle sera utilisée demain pour tous nous censurer » ? Nous sommes demain.
L’époque où La Quadrature du Net s’en prenait à ses adversaires à coup d’images rigolotes et de chats est lointaine. Aujourd’hui, notre quotidien est fait de prétexte « terroriste », de répression policière, d’alliance entre l’État et les GAFAM, d’encore pires États privés.
Certes, Internet offre encore un paquet d’espoirs d’émancipation, d’utopies concrètes, de belles voies de sortie… Mais nous n’en parlerons pas ici. Nous ne venons que pour maudire et jurer.
Transcription
Bonjour à tous et toutes. Je suis Arthur de La Quadrature du Net [1]. J’ai deux options à vous proposer pour ce dont on va parler dans l’heure.
La première option qui est peut-être la plus simple pour tout le monde, c’est que je vous fasse un exposé de toutes les raisons qui font qu’on a moins de raisons de s’amuser aujourd’hui, en fait une liste de toutes les défaites de l’année en matière de libertés sur Internet et on va très rapidement évoquer les semi-victoires qui ne sont pas des vraies victoires, en matière de surveillance et de censure, enfin de censure puis de surveillance. En matière de surveillance, on a quand même beaucoup de choses à dire parce qu’on a quand même beaucoup de fronts différents à aborder, notamment tout ce qui est la surveillance d’État, l’avancée de nos contentieux, ce qui va être surveillance privée, pareil, où est-ce qu’on en est au niveau RGPD, au niveau CNIL. Et aussi un autre troisième gros volet nouveau à La Quadrature qui est la surveillance dans les villes, ce qu’on appelle nous « technopolice ». Ça fait trois gros sujets. Ce que je vous propose en deuxième option c’est qu’on ne parle que de censure, en gros censure ça sera directive copyright, règlement terroriste et loi anti-haine, et aussi nos propositions sur l’interopérabilité puis je m’arrête là et après on débat, enfin je passe un peu plus de temps sur ça et après on débat avec vous parce que je pense qu’il y a quand même pas mal d’idées intéressantes à partager entre nous.
Qu’est-ce que vous préférez ? On parle de censure et surveillance et c’est en mode assez vertical où je balance plein d’infos ? Ou on ne parle que de censure et on débat ? Qui est pour l’option 1 où on parle de tout ? Voilà. Qui est pour l’option 2, on parle surtout de censure et on débat plus ? D’accord. Vous me voulez pas débattre, vous êtes très fatigués, vous voulez juste dormir.
Donc pour l’enregistrement vidéo sachez que c’est l’option 1 qui a remporté un franc succès.
Première partie, censure. Il va y avoir trois textes important auxquels on va s’intéresser.
Le premier, ce n’est pas le premier chronologiquement mais ce sera plus simple comme ça, je vais vous parler du règlement terroriste, donc un texte européen qui a pris beaucoup d’énergie de La Quadrature dans l’année. Ensuite on parlera de la directive copyright sur laquelle on a moins été, sur laquelle on a moins travaillé mais qui était un parallèle du règlement terroriste et qui est, ne serait-ce qu’à cet effet, très intéressante à discuter et après on parlera de la loi actuellement débattue à l’Assemblée nationale, au Parlement français en tout cas, qui est la loi contre la haine.
Le règlement terroriste est un texte qui a été proposé en septembre par la Commission européenne. C’était un texte demandé par les ministères de l’Intérieur français et allemand, en septembre 2018, le même jour, d’ailleurs, petite blague, où la directive copyright avait un vote extrêmement important au Parlement européen, donc dans la confusion de la directive copyright, paf ! la Commission européenne dépose un règlement terroriste. Il a été débattu extrêmement rapidement et, au final, huit mois plus tard, le texte était adopté en première lecture au Parlement européen avec assez peu de modifications. Donc la première lecture est terminée, le texte a été mis en pause le temps de faire les élections. Maintenant que le Parlement est reconstitué, on va avoir les « trilogues », ces fameux moments assez ambigus où, derrière des rideaux fermés, le Parlement, les États membres et la Commission négocient comment modifier le texte. Là on risque de rentrer dans cette étape-là. Ça c’est le contexte du temps, donc en ce moment on n’est pas à fond sur ce dossier-là.
Le contenu du texte, je vais le répéter rapidement, ce n’est pas une conférence sur ça, donc je vous invite vraiment à aller voir sur notre site, vous verrez maintenant que sur le site, en haut, il y a des dossiers assez explicites – Censure, Surveillance, Données personnelles, Télécoms –, donc si vous allez sur la page Censure vous aurez un dossier détaillé sur le règlement terroriste. En deux mots, pour vous donner envie d’aller le voir, c’est l’obligation pour les hébergeurs, tous les hébergeurs, les petits comme les gros, de censurer en une heure un contenu terroriste, en tout cas que la police considère comme étant terroriste, sans contrôle judiciaire et une très forte incitation, entre les lignes ou parfois explicitement, à ce que les hébergeurs utilisent de l’intelligence artificielle, on ne sait pas laquelle mais c’est une pensée magique, pour détecter à l’avance, avant même que les contenus soient signalés, avant même qu’ils soient mis en ligne en fait, les contenus qui seraient terroristes. Parce que ces méthodes-là ont été soi-disant développées ou en tout cas beaucoup vendues par Facebook, Google, ces trois dernières années, qui ont réussi, Facebook et Google, à faire croire à tous les États membres qu’ils avaient la solution miracle pour modérer Internet et aujourd’hui, comme on le verra pendant encore quelques années, tous nos gouvernements disent : « Il faut que le reste d’Internet utilise les solutions miracles des géants », alors que ces solutions ne marchent pas. On a vu avec l’attentat de Christchurch que Facebook lui-même admet que le jour de l’attentat il y a eu 1,5 millions de copies de la vidéo de l’attentat qui ont été sur sa plateforme, que sa méthode magique a réussi à en supprimer quelques-unes et qu’il y en a quand même 300 000 qui sont passées complètement au travers de son filet. Donc 300 000 sur 1,5 million ! Surtout que les gens qui ont fait cette diffusion de la vidéo ce n’étaient pas des bots surentraînés russes, c’était des connards amateurs, en fait, qui n’étaient pas plus compétents que vous à mon avis. Voilà ! Si quelques connards en une après-midi ont réussi à mettre par terre la grande solution magique de Facebook pour réguler Internet, ça devrait calmer un peu les ardeurs des gouvernements et, sans surprise, ça ne le fait pas du tout.
Donc voilà, ça c’est pour aller assez vite sur ce texte. On a vraiment besoin de beaucoup d’aide dans l’année qui vient, je pense, pour lutter contre. C’était très dur de lutter contre le texte en première lecture, parce qu’il y avait beaucoup d’attention focalisée sur la directive copyright, sur laquelle je vais dire trois mots. Les médias, évidemment, ont très peu parlé de ce texte-là parce qu’ils étaient pris dans la directive copyright pour la défendre, pour le coup. Du coup, s’opposer à un texte qui ressemblait un peu, en tout cas parler ou évoquer des oppositions qu’il y avait au règlement terroriste, qui ressemblait un peu trop à la directive copyright, peut-être que ça les a dissuadés d’en parler trop. Dans l’ensemble, on a quand même des gens qui ont réussi à se mobiliser énormément et c’est cool parce qu’on a quand même réussi à faire pas mal de pression au Parlement européen et, en gros, on a échappé à un début de victoire à trois voix près : il y avait un amendement pour faire tomber le délai d’une heure, pour le faire transformer en un délai raisonnable, ce qui était un peu mieux. Et, en plénière au Parlement européen, à trois voix près, cet amendement n’est pas passé. Ça montre qu’on a encore des moyens d’action et, pour la seconde manche de la bataille, il y a vraiment des choses à faire.
Ça c’est pour le positif du futur, mais en tout cas le passé c’est de la défaite, pour rester sur la ligne rouge de la conférence qui est les trucs négatifs.
Maintenant la directive copyright. Elle, pour le coup, son débat au niveau européen est fini, vous ne l’avez pas raté. Les petits points de comparaison avec le règlement terroriste je trouve que c’est toujours utile. D’abord la directive copyright ne s’applique pas à tous les acteurs, elle ne va s’appliquer qu’aux acteurs qui ont une certaine taille, qui ont un rôle actif dans la façon de diffuser les œuvres, et c’est vrai que ça ressemble beaucoup à une loi qui a été faite sur mesure pour viser Google, Facebook, Twitter et les gros avec qui les ayants droit ont déjà des accords de partage de revenu, partage de revenu de la publicité ciblée, et nous on considère que cette directive a pour but de renforcer ces accords au bénéfice de l’industrie culturelle.
On trouve que cette directive a des effets assez limités, par contre elle a un effet symbolique dramatique qui est de venir mettre dans la roche l’accord qui existe depuis dix ans, en fait, entre l’industrie culturelle, qu’elle soit européenne ou étasunienne, avec cet accord-là avec YouTube ou Facebook pour partager les bénéfices de la publicité ciblée, ces bénéfices qui sont faits de façon illicite et sur notre dos !
Donc plutôt que de sanctionner ces accords qui sont illicites, plutôt que de sanctionner la publicité ciblée qui est illicite, vu que la CNIL ne fait pas son travail, le droit vient le reconnaître comme étant légitime. Ça c’est vraiment ce qui nous a dérangés. Aujourd’hui le texte doit être transposé au niveau français. Il y avait deux parties qui nous inquiétaient beaucoup dans la directive, quand je dis « nous » c’est général, c’était la première partie sur ce qui a été au final l’article 15 sur un nouveau droit voisin pour les éditeurs de presse qui, en gros, forcerait encore un peu plus Google News à partager ses revenus avec les journaux qui sont cités dans Google News, c’est ça l’objectif. Aujourd’hui la transposition en France de cette partie-là est extrêmement avancée, on arrive aux étapes finales du débat législatif français. C’est assez inquiétant parce que c’est allé beaucoup trop vite, il y a eu très peu de débat public sur ça ; à part Next INpact, je pense que personne n’a dû parler du texte ; même nous, je crois qu’on n’a pas pu trop parler, on n’a pas eu l’occasion de parler du texte français qui est assez lamentable parce que, évidemment, il ne reprend même pas les deux trois garanties qu’il y avait dans la directive, donc ça il faudra le corriger.
Après, tout ce qui est la partie article 17 qui nous inquiétait beaucoup plus, donc il y a la partie partage des revenus sur les œuvres diffusées ou alors censure des œuvres en cas d’absence d’accord commercial, donc la partie Content ID, ça ce n’est pas encore dans les textes qui ont été déposés en France, ça va venir dans la loi audiovisuelle qui va être débattue plutôt en 2020, a priori et sur laquelle il faudra être pas mal actifs, mais on a déjà des petits plans de stratégie pour foutre un peu la merde, donc ça sera chouette aussi.
C’est l’aspect copyright, je suis allé vite dessus parce que je pense que vous aurez des questions pour discuter de ça. Donc voilà, on reviendra au moment des questions.
On va venir à un moment plus d’actualité qui est la loi contre la haine, donc une loi qui a été déposée par Laetitia Avia qui est une députée En Marche, proche d’Emmanuel Macron, donc une loi qui est vraiment demandée par Macron lui-même — il ne s’en est pas caché, c’est tout à fait explicite — qui a pour but de prendre le troisième sujet, après le terrorisme et le copyright, le troisième sujet assez classique, ce sont les sujets de harcèlement, de haine, de racisme, de sexisme, qui est un sujet qu’on a vu être utilisé à maintes reprises, en France en tout cas, pour accroître la censure sur Internet, ce n’est pas très surprenant.
La particularité du texte, la première partie qu’il faut bien garder en tête, pour l’instant le texte n’est taillé que pour les grandes plateformes, donc ça ressemble un peu à la situation qu’on peut retrouver en matière de directive copyright. Le problème c’est que, dans les plateformes, ils n’ont pas pensé à préciser que ce sont les grandes plateformes commerciales, du coup, pour nous, Wikipédia serait concernée vu que ça reste une grande plateforme, par contre tout ce qui est Fediverse, tout ce qui est petit forum isolé, tout ça, a priori, ce ne sont pas les cibles actuelles de ce texte-là, même si, évidemment, le texte va évoluer dans les mois ou les années à venir et qu’on ne sait pas ce qu’il va devenir à la fin. Ça reste intéressant de voir que, pour l’instant, la volonté du gouvernement c’est, en fait, de serrer la vis à Twitter et peut-être aussi de serrer la vis à Facebook et, pour l’instant, son ambition ne va pas beaucoup plus loin.
Là on va retrouver un peu la même chose sur un autre aspect, la même chose qu’on avait en matière de règlement terroriste, c’est qu’en fait ce texte a été pas mal écrit main dans la main avec Facebook et Google, surtout Facebook, pour le coup, Facebook qui, depuis un an, dit explicitement et publiquement collaborer avec la France pour améliorer le droit et, en échange, le gouvernement français se félicite de collaborer avec Facebook pour améliorer le droit français.
Si vous avez des questions… Vous avez des questions à poser maintenant ? Sur ça ? OK.
Donc on a aujourd’hui une communication partagée où vous allez avoir littéralement En Marche qui, cette semaine, a publié une vidéo [2] où on a d’un côté Laetitia Avia, la députée qui défend la loi, et Manara, je crois que c’est Manara, ou Tabaka, je ne sais plus, un lobbyiste de Google, qui expliquent ensemble à quel point leur vision de comment modérer Internet est la même. Donc on a, comme en matière de règlement terroriste, les solutions miracles vendues par Facebook et Google qui vont se retrouver dans la loi.
C’est quoi ces solutions miracles ? En fait, dans la loi, elles sont dites de façon assez cheap, c’est obligation pour les grandes plateformes de censurer en 24 heures les contenus qui leur ont été signalés par le public ou par la police et quand ces contenus sont manifestement illicites. Cette notion de « manifestement illicite », en droit français on la connaît bien, je pense qu’on en a débattu sur cette scène un paquet de fois, c’est un truc qui existe depuis 15 ans, c’est une notion juridique qui est très floue, qui est faite pour être floue et qui, depuis 15 ans, si aujourd’hui vous êtes hébergeur en France et qu’on vous signale un contenu quel qu’il soit, vous devez le retirer s’il est manifestement illicite de façon prompte.
Aujourd’hui on n’a pas un délai fixe de 24 heures, mais un délai prompt, au cas par cas, et qui ne marche pas trop mal. Par contre la notion de « manifestement illicite », ça a toujours été un casse-tête et on ne sait pas ce que ça veut dire.
Bref ! Ce problème-là, profond, qu’il y a dans le droit français, personne aujourd’hui ne propose de le corriger, mais au contraire, on poursuit sur des sols un peu boueux, on poursuit pour aller plus loin, cette fois-ci c’est le délai de 24 heures, c’est ça la grande nouveauté. Évidemment, tous les membres du gouvernement ou les députés En Marche font le tour des plateaux de télé ou des tribunes de presse pour dire que c’est une grande nouveauté, que c’est génial. En fait, ça ne va rien changer de fondamental. Facebook, aujourd’hui, fait déjà de son mieux pour supprimer en 24 heures tout ce qui lui est signalé, YouTube aussi, même Wikipédia aussi, les membres de la communauté font de leur mieux pour que dans le quart d’heure une connerie ne soit pas maintenue sur un article important. Il y a juste Twitter, on nous explique que Twitter c’est le vilain petit canard ; quand je dis « on » nous explique, c’est En Marche qui nous explique que Twitter c’est le vilain petit canard des GAFAM, ce n’est même pas un GAFAM d’ailleurs, et qu’il faudrait que Twitter fasse aussi bien que Facebook. En fait, la grande lubie de Laetita Avia c’est ça, c’est que Twitter aille faire un stage de modération chez Facebook ; elle ne l’a pas dit comme ça, mais c’est comme ça qu’elle le pense.
On comprend pourquoi ils ont ce discours-là parce que ça marche assez bien dans la presse, c’est facile. Elle-même, Laetita Avia, a une expérience personnelle ; si vous ne voyez pas qui c’est, c’est une femme noire qui a été harcelée gravement sur Twitter, du coup eh bien oui, c’est sa situation personnelle et, de façon assez sincère, elle veut que Twitter s’améliore.
Le problème, pour nous, c’est que ça ne changera rien, ça sera complètement inefficace, parce que vouloir que Twitter soit aussi bien que Facebook, c’est une ambition de merde, parce que Facebook c’est tout pourri, ils sont nuls, en fait. Facebook, en modération, eh bien non, ça ne marche pas ! Sur Facebook vous avez bien plus de violence, bien plus de harceleurs, bien plus de lourds que sur les petits forums sur lesquels on a pu grandir, en tout cas sur les petits forums il y en avait moins. Aujourd’hui si vous êtes harceleur, si vous avez accès à une plateforme où il y a deux milliards de victimes potentielles, vous êtes content. Vous êtes bien plus content que si vous vous retrouvez sur jeuxvideo.com où, mine de rien, il y a beaucoup moins de gens ou, si vous voulez harceler sur le Fediverse, par exemple sur Mastodon, où là, mine de rien, la diversité d’instances et la modération de certaines instances vous freinent, en fait, dans vos stratégies de harcèlement.
Nous, ce qu’on dit, c’est que c’est le modèle économique de ces géants qui est la source du problème qu’essaye de régler la loi, ce problème-là ça serait l’anxiété, la haine, le harcèlement qu’il y a sur Internet, qu’on ne nie pas du tout, on ne nie pas ce problème-là, mais on dit que la source de ce problème c’est notamment, la vraie source c’est qu’il y a beaucoup d’humains qui sont des connards, mais, une des autres sources qui aggrave cette situation, c’est que Facebook et YouTube sont beaucoup trop gros et qu’il n’y aura jamais aucune une intelligence artificielle qui pourra compenser leur taille immense.
Et ça, en plus, En Marche ils sont d’accord avec nous. Avia elle-même, dans des rapports plus anciens, reconnaissait que le modèle économique de ces plateformes était problématique, mais ils n’ont juste pas le courage de proposer des vraies solutions, en général.
L’autre chose qu’on reproche à ces géants c’est leur économie de l’attention, c’est comme ça qu’on appelle ça, ou la culture du buzz, qui est que pour nous maintenir le plus longtemps sur les plateformes, nous faire interagir le plus, nous faire révéler le plus de données personnelles, ils poussent, ils nous mettent en avant les contenus qui provoquent le plus d’émotion et ces contenus, on manque encore pas mal d’études pour avoir une vision parfaite dessus, mais les premières études, les premières impressions, c’est que les contenus mis en avant de cette façon renforcent les conflits, renforcent les caricatures et censurent par enterrement, au final, les discussions les plus subtiles, les plus à même d’apaiser les situations.
L’un dans l’autre nous on dit : « OK, le sujet de la haine en ligne c’est un vrai sujet, c’est grave, mais vous, ce que vous faites, ce n’est pas une solution. Vous vous foutez un peu de la gueule des vraies victimes en leur faisant croire que vous allez les aider mais surtout, vous refusez les vraies solutions ».
Nous, les vraies solutions qu’on propose ce ne sont pas des solutions qui sont suffisantes en elles-mêmes, mais au moins elles sont sincères et on ne se fout pas de la gueule des gens entièrement, c’est de permettre avant tout aux victimes et à tout le monde de pouvoir fuir Facebook, Twitter et YouTube, en forçant ces plateformes à devenir interopérables [3]. Je ne vais pas m’étaler dix ans dessus, parce que je pense que vous êtes déjà nombreuses à voir ce dont je parle, je vous renvoie vers le site de La Quadrature pour voir ce que ça veut dire. En deux mots, quand même, vraiment pour les personnes qui n’auraient pas eu l’occasion de voir ça, forcer Facebook à devenir interopérable ça veut dire que Facebook doit implémenter les outils, qui ne sont pas très compliqués à implémenter, pour que vous puissiez, demain, partir de Facebook, aller sur une autre plateforme, par exemple l’instance Mastodon de La Quadrature, Mamot [4], et pouvoir continuer à échanger des messages depuis Mamot, sans être sur Facebook, avec vos amis qui sont restés sur Facebook.
On pense que cette impossibilité aujourd’hui de pouvoir partir de Facebook en gardant le contact avec ses amis de Facebook explique que beaucoup de gens restent sur Twitter et Facebook, alors qu’ils détestent ces plateformes, alors qu’ils sont harcelés sur ces plateformes, alors qu’ils considèrent que la modération qu’il y a sur ces plateformes est excessive ou insuffisante et que, si on veut que ça marche, il faut permettre aux personnes de partir librement.
Voilà. Ça c’est la partie sur laquelle j’aurais aimé débattre longuement avec vous, mais on pourra aussi le faire en off, parce que c’est assez nouveau de mettre ça dans la loi, c’est dur de bien le penser. On a bien pris un an, quand même, pour chercher mille solutions pour proposer ça. Aujourd’hui on arrive à avoir des propositions précises. Les amendements qui ont été déposés au Parlement, tant par le Centre que par la Gauche pour proposer ça pour l’instant n’ont pas été recevables, mais on continue et on a espoir qu’au moins cette loi sur la haine soit l’occasion de faire parler de la solution qu’est l’interopérabilité, qui est une bonne solution contre la haine et qui est aussi une très bonne solution pour plein d’autres problèmes. Donc on espère que ce débat sera bien et c’est encore une lutte sur laquelle votre aide va être utile à un moment ou à un autre.
Je ferme le sujet censure qui, globalement, ressemble à pas mal d’échecs pour le passé. Copyright, terroriste, ce sont vraiment des échecs, mais même ces deux dossiers ne sont pas entièrement clos parce que copyright va être transposée, terroriste il faut qu’il y ait une deuxième lecture, et nos échecs passés, finalement, n’étaient pas des échecs à 100 % et nous laissent penser qu’on pourra gagner, peut-être l’année prochaine ou dans deux ans. En tout cas c’est cool.
Maintenant on va parler de la surveillance, on va passer à la surveillance, il nous reste une demi-heure pour parler de ça.
La surveillance, comme je vous l’ai dit, je vais diviser ça en trois sujets. Désolé, on passe du coq à l’âne, bon courage pour suivre, mais c’est notre travail de tous les jours de passer du coq à l’âne, donc je partage ça.
On va faire trois sujets, surveillance d’État, en gros tout ce qui va être le renseignement, surveillance privée, tout ce qui va être RGPD, et enfin surveillance dans les villes.
Surveillance d’État, les activités qu’il y a eues dans l’année ne sont pas folles. L’actualité principale, qui est une bonne nouvelle mais comme ce n’est pas tout en fait en accord avec le thème de la conférence qui sont les mauvaises nouvelles, je vais aller vite dessus. En gros nos questions, enfin nos arguments qui disent que le renseignement français, que la loi renseignement où différentes mesures de surveillance de masse ne sont pas conformes au droit de l’Union européenne, ces arguments ont été validés d’abord par le Conseil d’État qui a reconnu que, dans le fond, on avait probablement raison, mais le Conseil d’État pense que le droit européen se trompe et devrait changer, que ce n’est pas le droit français qui doit changer ! En effet, le droit français n’est pas conforme au droit européen, mais c’est le droit européen qui doit changer ! Là, précisément, ça veut dire quoi, en fait, quand je parle de droit européen ? Ce ne sont pas des textes écrits très précis, ce sont plus des jurisprudences de la Cour de justice de l’Union Européenne, la Cour de justice c’est la Cour suprême de l’Union européenne. Dans sa jurisprudence, la Cour de justice a dit des choses qui, en effet, ne sont pas compatibles avec le droit français, on est tous d’accord, mais le Conseil d’État a demandé à la Cour de justice de changer sa position pour que sa position devienne compatible avec le droit français. Nous, ça nous va très bien comme débat, parce qu’on veut que la Cour de justice maintienne sa position et dise, explicitement, enfin à la France : « Vous êtes en violation de notre droit et vous faites de la merde à changer », nous ça nous va très bien. Ça c’était il y a déjà plus de six mois. Je pense que ces questions-là, que ces débats-là ont été transmis au niveau européen et je pense que dans le cours de l’année on aura des audiences devant la Cour de justice de l’Union européenne ; du coup on devra défendre notre position et continuer à lutter contre la loi renseignement. Ça c’était bien, donc je vais vite.
L’autre aspect qui était moins bien, je pense que tout le monde dans la salle ne l’a pas vu passer, même nous on n’a pas pu beaucoup en parler, c’est donc la LPM 2019. Les LPM ce sont les lois de programmation militaire qui sont prises en France tous les cinq ans et qui sont un peu fourre-tout : on va retrouver les budgets de l’armée, on va retrouver tout ce qui a trait de près ou de loin à l’armée, du coup il n’y a pas de ligne précise dans ces lois-là. On y retrouve souvent des conneries, des conneries mises un peu à la dernière minute, un petit article discret qui, en fait, change tout.
En 2013, juste avant la loi renseignement, c’était la LPM 2013 qui avait initié tout le chamboulement qu’il allait y avoir, en fait, dans les années à venir pour ouvrir les pouvoirs des services de renseignement. À l’époque, on n’avait pas vu dans la LPM 2013 ce problème-là, on ne l’avait pas vu tout de suite, on avait pris beaucoup de temps à le voir, et quand on s’est aperçu de la merde que c’était, eh bien le processus avait déjà beaucoup avancé, on s’était fait un peu écraser et c’était un peu dur. Après la loi renseignement est arrivée, donc ce n’était pas grave.
Là on est en 2019, pareil, une loi très dense, dans laquelle se cache un truc qu’on met un peu de temps à repérer et qui, du coup, est passée sans vrai débat.
Ce truc c’est quoi ? Ce truc ressemble beaucoup aux boîtes noires qu’on a dans la loi renseignement, seulement ces boîtes noires il ne s’agit plus de les poser sur le réseau pour analyser tout le trafic, pour repérer les terroristes, là c’est pour repérer des attaques informatiques. Des attaques informatiques contre lesquelles l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information – merci Stéphane –, donc l’ANSSI, cette fois-ci, a agi comme une autorité de protection de l’administration, on imagine, même si sa mission, dans ce cadre-là, n’est pas très claire. Elle peut surveiller la population via des boîtes noires, de la même façon que les services de renseignement surveillent la population pour lutter contre le terrorisme. C’est très curieux de voir l’ANSSI qui est plutôt une autorité de défense se mettre à utiliser des outils qui sont plutôt les outils de l’attaque et ça révèle, pour nous, une confusion générale à laquelle on assiste depuis quelques années en matière de renseignement français où le renseignement intérieur se mélange avec le renseignement extérieur de plus en plus ; le renseignement défensif se mélange avec le renseignement d’attaque et une confusion générale qui, en général, a pour but, pour les services de renseignement, de faire tomber les barrières et de s’ouvrir plus de pouvoirs.
Donc l’ANSSI peut poser des boîtes noires pour repérer des… La loi est tellement floue qu’on ne peut pas trop vous la décrire, on reproche à la loi d’être trop floue. On imagine qu’elle cherche des patterns : typiquement, tous les x temps il y a tel type de message, entre telle taille et telle taille, qui est envoyé depuis telle région et telle région et, peut-être, c’est possible que ça révèle une attaque. C’est très flou. Peut-être que ce genre de recherche-là peut être juste utilisé pour faire ce que ce que je vous ai décrit ; peut-être que ça peut être utilisé pour chercher des choses beaucoup plus intimes. Le président de l’ANSSI, lui-même, disait que ces boîtes noires devraient accéder au contenu des communications, qu’ils ne pouvaient pas juste regarder quel message est envoyé, enfin juste les données de connexion, qu’il fallait regarder le contenu. Ça c’est extrêmement inquiétant de voir que des boîtes noires peuvent regarder le contenu alors que sur la loi renseignement on nous avait promis que les boîtes des services de renseignement, elles, ne pourraient jamais regarder le contenu. Bref ! Beaucoup de confusions.
Donc on a attaqué ce texte-là devant le Conseil d’État et l’affaire est en cours, je crois que c’est juste ça. C’était vraiment une mauvaise nouvelle et surtout le fait qu’il n’y a pas eu de débat public sur ce texte-là, que tout le monde ait dû réagir assez tard parce que c’est dans une LPM et que la LPM c’est imbitable, ça c’était une vraie défaite.
Dernier point sur le renseignement, c’est un article d’il y a deux mois, presque jour pour jour, dans Le Monde de Follorou qui est un journaliste qui suit d’assez près les services de renseignement, donc un article dans Le Monde qui révèle que les services de renseignement qui s’intéressent à l’étranger, donc plutôt DGSE [Direction générale de la Sécurité extérieure], et les services de renseignement intérieur qui s’intéressent plutôt aux Français dans les relations franco-françaises, plutôt DGSI, Direction générale de la Sécurité intérieure, donc ces deux types de services, international et national, mélangent leurs données, mélangent les renseignements qu’ils collectent dans une grosse base de données qui est appelée « l’entrepôt » [5] et que les agents, que les fonctionnaires qui doivent gérer ça auraient révélé au journaliste, sous couvert d’anonymat, qu’ils pensent que ce mélange de données n’est pas constitutionnel, que, du coup, ils n’ont pas pu prendre de décret pour créer l’entrepôt vu que ce décret aurait forcément été inconstitutionnel et qu’ils sont obligés de le faire en secret. C’est pour ça que Follorou le révèle, en gros clin d’œil à La Quadrature du Net et aux anciens Exégètes Amateurs, en mode « si c’est inconstitutionnel attaquez-les ». Du coup on les a attaqués cette semaine, donc on a saisi le Conseil d’État en attaquant un décret qui n’avait pas été pris. En fait en attaquant l’acte qui crée l’entrepôt, un acte qui n’est pas publié, on ne sait même pas quelle forme il a. C’est une procédure qui n’est jamais très simple à comprendre ou à expliquer, même pour nous ce n’est pas très simple, on attaque un acte qu’on ne connaît pas en disant « le fait qu’on ne le connaît pas ça révèle son illicéité » ; en vrai, juridiquement, ce sont des arguments assez simples au final.
Ça, ça pourrait être une victoire. Franchement ça pourrait être une victoire. C’est le genre de chose sur lequel le Conseil d’État qui, d’habitude, est assez lâche, pourrait au moins, pour une fois, être un peu courageux et dire « OK, si vous créez un énorme entrepôt pour mélanger toutes les données de tous les renseignements, que tout ça n’est pas encadré par la loi, au moins prenez un décret », donc sanctionner l’administration pour ça c’est carrément crédible.
Voilà pour la partie surveillance d’État, assez classique.
Maintenant la partie surveillance privée.
Il y a plus d’un an, d’ailleurs ici au dernier PSES, je vous racontais comment on a fait nos plaintes collectives contre Google, Apple, Facebook, Amazon et Microsoft ; c’était il y a un an. Depuis on a eu une semi-bonne nouvelle mais qui pourrait aussi être une mauvaise nouvelle. On a eu une sanction de Google sur la base de nos plaintes et de celles de NOYB [6]. Je dis sur la base de nos plaintes parce qu’en fait pas vraiment. La sanction de la CNIL contre Google en janvier d’une amende de 50 millions d’euros ne concerne qu’Android alors que nos plaintes ne concernaient pas du tout Android, concernaient d’autres services de Google, d’autres services plus importants type YouTube ou moteur de recherche et la sanction de la CNIL ne s’intéresse qu’aux personnes qui créent un compte alors que notre plainte s’intéressait à tous les utilisateurs, qu’ils aient un compte ou pas. Et surtout on demandait des sanctions beaucoup plus élevées, une amende beaucoup plus élevée, nous on espérait plutôt aller dans les quatre milliards, ce qui était possible, quatre milliards d’euros de sanction pour Google ça aurait eu de la gueule, mais c’était la première sanction RGPD de la CNIL et elle n’a pas eu le courage d’aller plus loin ; elle a fait une sanction très faible, sur des sujets très limités, donc juste Android, en utilisant des arguments qui n’étaient pas très intéressants. L’argument principal qu’elle a reproché à Google c’est le manque d’informations, les informations qu’on reçoit, on ne les reçoit pas au bon endroit ou pas de la bonne façon, et le fait que des cases étaient pré-cochées ; ce sont des arguments qui sont justes mais assez légers.
D’abord le manque d’informations, nous on considère que ce n’est pas le principal problème autour de Google, en tout cas qu’il y a autour des données personnelles en général. Typiquement, si comme ça peut être le cas sur Apple par exemple ou d’autres trucs, on vous dit : « La seule façon que vous avez d’utiliser notre service c’est d’accepter d’être surveillé jour et nuit par nos espions », vous avez toute l’information du monde qui vous est donnée — en effet on est sincère on ne vous cache rien —, mais ça ne change rien au problème, ça ne change rien ! Vous allez accepter parce que souvent vous n’avez pas le choix d’utiliser le service ou parce que bon, vous n’avez pas assez d’argent pour payer un service alternatif. Donc la transparence, face à des services qui nous menacent systématiquement de couper l’accès à leurs services si on n’accepte pas de livrer notre vie privée, on pense que ce n’est pas le bon angle.
Les cases pré-cochées c’est intéressant, c’est cool, mais c’est un truc tellement facile à corriger pour YouTube ! YouTube a juste à décocher la case et dire « très bien, vous devez avoir une action, vous devez donner votre consentement de façon explicite, de façon active, il faut que vous cochiez la case, mais si vous ne cochez pas la case, vous n’aurez pas accès au service ». Si YouTube fait ça, il aura satisfait les reproches que la CNIL lui fait dans la décision, mais il sera toujours hors des clous.
En fait, le sujet que la CNIL n’a pas abordé, et pour nous c’est le sujet au centre de nos plaintes, ce n’est pas tellement l’information avant le consentement, ce n’est pas le consentement explicite du consentement, mais c’est le caractère libre. Je suis très longuement revenu dessus l’année dernière, donc je vais aller plus vite aujourd’hui sur le caractère libre : dans le RGPD [7] il est très explicitement et clairement dit que vos données personnelles ne sont pas des marchandises et que si un site ou quelqu’un qui vend des biens conditionne le fait que vous ayez accès au service ou aux biens au fait que vous cédiez vos données personnelles, c’est illicite. Votre consentement n’est pas valide s’il est donné sous la menace d’une perte ou dans l’espoir d’un profit.
Donc ça, la CNIL, très faiblement, n’a pas abordé ce sujet. Pourquoi ? Parce qu’en fait, quelques semaines avant, Google, ça vous l’avez vu, avait changé ses conditions générales d’utilisation pour dire que, finalement, il était situé en Irlande, alors qu’avant il était situé aux États-Unis ce qui rendait la CNIL française ou n’importe quelle CNIL européenne compétente pour le sanctionner. Mais là, par peur de nos plaintes et d’autres plaintes, il a dit : « Finalement, maintenant on ne sera plus situé aux États-Unis, on ira sur le sol de l‘Europe, on est situé en Irlande » dans l’espoir que la CNIL irlandaise soit la seule CNIL compétente pour la sanctionner, que la CNIL française ne soit plus compétente. Nous on pense que ça ne devrait rien changer à la situation. La CNIL, avec son manque de courage habituel, s’est dit « peut-être, quand même, qu’on n’est pas vraiment compétente pour sanctionner Google, du coup on ne va le sanctionner que sur un petit bout, que sur Android, en faisant une petite amende, juste 50 millions, avec des arguments qui ne sont pas géniaux, juste le consentement explicite et l’information. Comme ça on fait une petite décision parce qu’on a peur que notre décision ne soit pas valide, parce que Google est parti en Irlande et qu’on a peur de contester son départ en Irlande parce qu’on est des gros lâches ». Voilà !
Du coup cette décision n’est pas ouf, mais ça prouve que les plaintes collectives, que d’aller à 12 000 personnes pour attaquer des grosses boîtes c’est marrant et ça produit des effets.
Les affaires contre Facebook, Apple et Microsoft, qui sont en Irlande, ont l’air d’avancer beaucoup plus lentement, mais je pense qu’à la rentrée on pourra vous donner des choses plus concrètes, parce qu’on a pu parler avec l’autorité irlandaise qui a l’air, après plusieurs mois, de s’être réveillée et de se mettre un peu au travail. On n’a aucun indice sur leur courage et leur véhémence pour l’instant ; on sait juste qu’ils avancent, qu’ils ont l’air de prendre enfin ça au sérieux. Je pense qu’en septembre-octobre on aura eu des informations, qu’on pourra vous décrire ça.
La dernière actualité en matière de surveillance privée, ça c’est un peu révélé hier, du coup peut-être qu’il y en a pas mal d’entre vous qui ne l’ont pas vue encore, en fait ça remonte à avril, fin avril. Le GESTE, un syndicat des médias français en ligne, donc gros lobby pro-publicité ciblée, anti-RGPD, qu’on a l’habitude de combattre sur un peu tout et n’importe quoi, enfin en matière de données personnelles, est entré en tractation avec la CNIL. La CNIL venait de changer de présidente, a une nouvelle présidente qui connaît très mal les dossiers, a manifestement peu d’expérience en matière de données personnelles. Le GESTE entre en négociation avec la CNIL et arrive à convaincre la CNIL que les médias français, en tout cas les médias sur Internet, pourront encore, jusqu’à juin 2020, poser et collecter des cookies et des traceurs sur nos machines pour faire de la publicité ciblée sans notre consentement.
Qu’est-ce que c’est que cette histoire ? La CNIL qui accepterait que des sites de presse, principalement, puissent faire de la publicité en ligne sans notre consentement. Pour être clair, tout ça c’est complètement illégal. Ce n’est pas à la CNIL de décider quel est le droit, le droit c’est le RGPD qui le fixe et d’autres textes qui, mis ensemble de façon très claire, exigent, sans aucun doute, qu’on doit donner notre consentement quand le cookie est déposé à des fins publicitaires ou en mode traceur.
Ce qui se passe, je ne sais pas trop ce qui se passe ! La CNIL, en 2013, avait sorti des recommandations pour expliquer à l’époque ce qu’étaient les conditions légales pour tracer les utilisateurs sur Internet. En 2013, la loi était beaucoup moins exigeante qu’aujourd’hui et, à l’époque, vous vous en souvenez parce que c’est encore le cas de fait aujourd’hui, si vous avez un simple bandeau cookie qui vous prévient de ce qui se passe, si le bandeau cookie vous donne les informations nécessaires pour que vous alliez modifier votre navigateur, en fait pour que vous alliez bloquer le dépôt de cookie pour ce site dans votre navigateur, vous êtes considéré avoir consenti. Le fait que vous ne vous opposiez pas techniquement à la surveillance, c’est considéré comme un consentement de votre part, c’est un consentement implicite. C’est exactement un des points qui a été balayé par le RGPD. Nous, en 2014 et pendant toutes les années qui ont suivi, notre cause principale, quand on allait au Parlement européen pour renforcer le RGPD, c’était de détruire le consentement implicite pour le remplacer par un consentement explicite. C’est ce qu’on a eu au final. C’est-à-dire qu’il faut que vous ayez un bouton « J’accepte » ; si vous ne cliquez pas sur le bouton « J’accepte », vous êtes considéré comme n’ayant pas consenti. Des choses très simples, philosophiquement ça ne vole pas très haut, et on a gagné, et c’est le cas, et depuis toutes les autorités de protection des données françaises ont eu l’occasion de rendre des lignes directrices, des recommandations pour donner cette interprétation-là du droit.
D’ailleurs Google, quand il se fait sanctionner en janvier, c’est sur cette même base que les cases pré-cochées, c’est du consentement implicite et pas explicite, donc même la CNIL est d’accord avec nous. Par contre là, en matière de cookies, en matière de presse en ligne, là non ! Là, la CNIL nous dit que ces recommandations 2013, en effet ne sont pas conformes au RGPD, du coup elle va les abroger la semaine prochaine, mais que, comme c’est trop violent tout d’un coup d’abroger des trucs qui sont là depuis 2013, elle laisse un an aux acteurs pour pouvoir encore se fonder sur ces recommandations de 2013, un an encore ! Alors que le RGPD est en application depuis un an, qu’il a été adopté en 2016, qu’absolument tous les acteurs concernés savent très bien ce que le RGPD veut dire. Et là on nous fait croire que retirer, qu’abroger une vieille recommandation obsolète de 2013 que plus personne ne consultait, que c’est un changement trop radical pour ces pauvres acteurs français qui ont besoin d’argent pour survivre, qui ont besoin d’argent !, qui ont besoin d’exploiter nos libertés fondamentales pour survivre !
Donc cette décision-là de la CNIL d’offrir un an de bonus aux médias en ligne pour violer nos droits, cette décision devrait être prise le 4 juillet de ce qu’on a compris. Le 4 juillet ce sera une assemblée générale, en gros, de la CNIL, des 18 membres de la CNIL. Nous, on a demandé aux membres de ne pas prendre cette décision et s’ils prennent cette décision on leur a dit qu’on devra attaquer devant le Conseil d’État leur décision parce que c’est juste une violation du droit européen, une violation du RGPD et que c’est complètement injustifiable. Il n’y a pas besoin de donner mille arguments sur pourquoi la CNIL démissionne et pourquoi il ne faut pas qu’elle fasse ça.
Donc on risque d’être en conflit aussi avec la CNIl. C’est drôle parce que j’imagine qu’il va y avoir un jour où on va se retrouver, peut-être le même jour, une audience qui opposera Google à la CNIL, Google contestant la sanction qu’il a reçue, où nous on sera en intervention du côté de la CNIL pour défendre la décision de la CNIL et peut-être le même jour, au même Conseil d’État, une autre audience où il y aura la CNIL d’un côté et nous, en face, où cette fois-ci c’est nous qui les attaquerons et, après tout, pourquoi pas aussi Google de notre côté parce qu’on peut s’amuser à rêver et ce ne serait pas surprenant parce qu’en fait Google peut vraiment râler. Il peut dire « pourquoi moi j’ai été sanctionné pour défaut de consentement explicite alors qu’en même temps vous autorisez mes concurrents français à faire la même chose que moi et eux, sans être sanctionnés ». Google pourrait vraiment attaquer la même décision qu’on attaquera de la CNIL, juste pour traitement différencié injustifié. Donc on pourrait avoir cette situation complètement ubuesque, mais on n’est pas à ça près et ça serait comique à défaut d’être désespérant.
Voilà pour la surveillance privée. Je pense que ce sont les parties intéressantes.
Pour les personnes qui nous suivent tous les ans ici, je pense qu’il y a deux ans on avait dû faire un long exposé sur le règlement E-privacy, je ne vais pas y revenir ici, juste pour ceux qui s’en souviennent ça n’a pas avancé et peut-être tant mieux que ça n’a pas avancé, donc je ne vais pas vous embêter plus que ça avec.
Le dernier point qui est, pour nous, une nouveauté assez cool et qui va être une grosse campagne à la rentrée, c’est la surveillance dans les villes. Malheureusement en France il y a peu d’acteurs qui arrivent à trouver du temps pour s’intéresser aux Safe Cities, enfin aux Smart Cities et à leur volet sécuritaire. Il y a quelques associations qui commencent à le faire mais c’est souvent très local et un peu pris de court par le côté vertigineux de ces projets-là.
À La Quadrature on est contents, on a réussi à débloquer pas mal de temps pour s’intéresser à ce qui se passe dans plusieurs villes. Pour l’instant les villes qu’on a bien réussi à étudier ce sera surtout dans le Sud, Nice, Marseille, où il y a nos amis droitiers, Estrosi en tête, qui ont l’habitude de faire un spectacle lamentable en matière de liberté sur tous les sujets. Donc là qui non seulement ont des projets à l’échelle de villes, des projets qui vont être soit de reconnaissance faciale ou de caméras intelligentes dans les rues. Ce sont des projets qui ont pour but de enfin rendre utiles les milliers et milliers de caméras qu’on a mises partout, dans toutes les villes de France, qui ne servent à rien.
Là ils ont une nouvelle idée c’est de mettre du logiciel dedans soit de détection de mouvement, soit directement de reconnaissance faciale, dans l’espoir de faire du meilleur flicage. Il y a aussi surveillance des réseaux sociaux, surveillance des infrastructures en général, infrastructures électriques ou d’autres choses pour repérer par exemple les lieux de manifestations sauvages, les lieux de délinquance, pour déployer de façon plus efficace, on nous dit, la police dans les villes. Et après il y a tous les délires qu’on peut aussi avoir avec Mounir Mahjoubi, candidat à la mairie de Paris, de mettre deux drones par quartier ou par rue, je ne sais plus quel est son délire. Ça dans le Sud, on a eu quelques cas assez nets.
On a aussi eu des cas qui n’étaient pas au niveau de la ville, qui étaient plus sectoriels : on a deux lycées, en tout cas au moins un, dans lequel a déjà été installé un portique de reconnaissance faciale pour remplacer les pions, pour remplacer les humains. Aujourd’hui, dans la plupart des lycées, ce sont des humains qui sont chargés de dire aux personnes qui n’ont pas le droit de rentrer dans le lycée, qui ne sont pas invitées, de leur dire de ne pas rentrer, eh bien dans ces lycées ce sont des portiques qui sont expérimentés. Les élèves ont donné leur photo au service informatique du lycée, ils ont une petite carte et, quand ils arrivent devant le portique, ils mettent leur carte et la caméra vérifie que le visage correspond à la photo enregistrée, associée à la carte dans le système. Donc très simple.
Ce qui en dit tellement long sur tout ce projet et suffit pour nous, en tout cas pour moi, à résumer cette histoire : là on est en train de prendre des enfants, des enfants qui sont de futurs électeurs, qui sont de futures personnes politisées et on est en train de leur dire que la reconnaissance faciale c’est normal. Les humains ce sont de choses bizarres. Les pions, etc., ça c’est l’ancien monde. Le nouveau monde ce sont des portiques froids, le portique on l’a mis en photo sur les réseaux sociaux, ce sont des barrières orange, froides, de métal. C’est ça vivre ensemble, c’est avec des caméras qui vérifient que votre visage correspond à ce qu’il y a sur votre carte.
En matière de propagande, en matière de comment vendre un nouveau monde, c’est 100 fois plus efficace que n’importe quel Black Mirror ou n’importe quelle campagne publicitaire. Là vraiment on dit aux enfants : « La reconnaissance faciale, c’est normal ». Nous aujourd’hui, quand on voit la reconnaissance faciale arriver dans les aéroports, quand on la voit arriver dans les drones, dans les manifs ou les choses comme ça on est super choqués ! Mais si on avait eu la moitié de ce que les gosses ont aujourd’hui dans ces lycées, on serait incapables d’être choqués. On ne comprendrait pas pourquoi c’est nouveau. On trouverait ça tout à fait normal et raisonnable.
Rien que pour ça c’est une bonne raison d’aller casser ces portiques. On ne va pas les casser tout de suite parce qu’on a l’opportunité de les attaquer d’abord en justice. C’est ce qu’on a fait avec la LDH [Ligue des Droits de l’Homme] et des syndicats autant de parents d’élèves que de profs, localement. On les a attaqués, on espère pouvoir gagner. Aujourd’hui on nous dit que ce sont que des expérimentations, laissez-nous expérimenter, on va vous montrer que ce n’est pas grave et une fois qu’on vous aura montré que ce n’est pas grave, on pourra les mettre dans tous les lycées de la région. C’est ce qu’ils veulent faire, ce qu’ils disent vouloir faire. Expérimentation ou pas, justement, si on réfléchit en termes de symboles, on sait très bien que ces portiques-là ont une portée de propagande avant d’avoir une portée d’efficacité et que dès l’expérimentation il faut les détruire.
On va faire une plateforme à la rentrée, une plateforme des outils pour permettre à tout le monde, au maximum de personnes de s’intéresser à ce qui se passe dans leur ville, parce que c’est souvent difficile de comprendre ce qui se passe. Il faut aller éplucher les appels d’offres, il faut aller éplucher des comptes-rendus de décisions des collectivités, que ce soit la région ou la ville, pour voir ce qui se passe. Ce n’est pas La Quadrature avec ses petits bras qui va y arriver toute seule, mais ce n’est pas non plus une petite association de quartier perdue à Toulouse qui y arrivererait parfaitement toute seule, donc il faut qu’on s’entraide tous et dans toutes les villes. C’est ce qu’on va essayer de faire.
Il y a aussi un problème parce qu’il y a une diversité d’acteurs et c’est assez intéressant. Au début, dans les premiers projets qu’on a vus, c’était surtout des gros acteurs français assez classiques type Thalès ou Engie. On comprenait, en fait, qu’ils voulaient utiliser la manne financière des villes pour faire leur recherche et développement gratuitement. En gros, disons que Thalès a besoin de thune pour développer de nouvelles armes, pour aller vendre des armes à des pays qui font des vraies guerres et qui tuent vraiment leurs populations, et pour faire ça, aller voir les mairies, leur faire croire, leur faire miroiter des projets de Safe City qui ne servent à rien mais qui feraient bien dans les campagnes électorales, ça leur permettait d’avoir un peu d’argent.
Au début, on avait ce sentiment-là que tout ça était un peu bidon, si ce n’est sur le côté Estrosi qui veut vraiment droitiser son discours au maximum ; ça permettait surtout de développer des entreprises françaises. Seulement après, on a vu aussi des entreprises qui n’étaient pas du tout françaises entrer dans ce petit jeu-là. Les portiques sont développés par Cisco, je crois, Cisco c’est plutôt chinois, je ne sais plus, c’est américain Cisco ? Je ne sais plus s’il y a un chinois dans les trucs qu’on va vus – comme vous voyez, je ne suis pas expert sur les « technopolices », ce sont d’autres camarades que moi qui sont meilleurs.
Donc Cisco fait ça. Là, la thèse de conglomérat militaro-industriel est quand même moins marquée, du coup. On peut aussi avoir d’autres acteurs, ça peut être des startups, ça peut être des grosses boîtes, du coup ça devient vraiment difficile à suivre et à comprendre politiquement, donc on aura besoin de beaucoup d’aide pour démêler tout ça et faire des actions locales, aller peindre tout ça en rouge ou en blanc pour s’amuser.
Voilà. C’est terminé pour la surveillance dans les villes. Du coup c’est terminé pour la section surveillance, du coup c’est terminé pour la conférence.
Merci à vous et aux questions.
[Applaudissements]
Animateur : On a le temps pour quelques questions. Il y a une question sur IRC de Gof qui nous demande : est-ce que le délai, donné par la CNIL aux éditeurs de presse, ne le serait-il pas au nom de l’intérêt légitime, le fameux intérêt légitime du RGPD, que ces éditeurs auraient mis en avant en attendant une éventuelle E-privacy ou une autre réglementation qui leur serait plus favorable ?
Arthur Messaud : On va faire un peu de droit. Je suis désolé, je sais que je fais beaucoup de droit, que je dis beaucoup de choses vite et denses et je vais continuer à faire ça pour répondre à cette question. Je ne pense pas que vous avez compris tout ce que j’ai dit et ce n’est pas grave ; je pense que des fois qu’il faut être un peu humble tant moi que vous ! On ne peut pas faire passer toutes les idées. Moi je préfère vous faire passer les idées telles qu’on les voit tous les jours, telles qu’on les discute, en vous invitant à aller vous renseigner davantage sur notre site ou sur d’autres sites. Désolé ! Je préfère faire ça plutôt que de simplifier et au final ne plus rien dire. Là je vais répondre de façon précise à la question.
En matière de RGPD, pour faire des traitements de données personnelles, il y a tout un tas de conditions possibles qu’on peut remplir pour faire un traitement, il n’y a pas que le consentement. Le consentement c’est celui dont on parle souvent parce qu’il est formé de façon très protectrice dans le RGPD, mais il y a aussi la loi. Par exemple, si la loi autorisait YouTube à faire du traitement automatisé des vidéos afin de censurer celles qui enfreindraient le droit d’auteur, ce serait une loi de merde mais ça donnerait à YouTube un fondement légal pour faire du Content ID et pour nous censurer de façon automatisée.
Aujourd’hui la loi n’autorise pas YouTube à faire ça donc YouTube viole le RGPD quand il fait du Content ID, mais bon ! Peut-être que ça sera autorisé dans la prochaine loi et peut-être qu’il faudrait attaquer YouTube. Donc la loi peut autoriser un traitement de données, le consentement peut l’autoriser, l’exécution d’un contrat peut l’autoriser, ou d’un pré-contrat. Par exemple si vous envoyez votre CV à une boîte ou à une association, vous voulez être embauché, votre CV ce ne sont que des données personnelles, évidemment l’entreprise n’a pas besoin d’avoir votre consentement pour traiter les données personnelles, pour enregistrer votre CV dans une base et le comparer avec d’autres CV. Ce traitement de données personnelles est autorisé parce que c’est nécessaire à l’exécution ou à la demande pré-contractuelle que vous faites implicitement qui est d’être embauché.
On a comme ça tout un tas de conditions plus ou moins précises et il y a une dernière condition qui est très floue et très large, c’est si vous avez un intérêt légitime à faire un traitement de données personnelles et que cet intérêt légitime est supérieur à l’atteinte aux intérêts de la personne concernée. C’est vraiment l’histoire de « votre liberté s’arrête là où commence celle des autres ». C’est aussi flou que ça. C’est fait pour être flou. En fait, au moment où on a fait le RGPD il y avait deux camps. Il y avait un camp qui était plutôt le nôtre où on disait qu’il fallait faire la liste de toutes les conditions où il était légitime de traiter les données personnelles sans le consentement de la personne et que cette liste devait être fermée. Le camp d’en face disait : « On ne peut pas faire une liste fermée, on va toujours rater des cas, il faut que la loi soit un peu floue pour pouvoir s’adapter aux évolutions de la pratique, du coup il faut qu’on ait un cas un peu fourre-tout » et l’intérêt légitime c’était ce cas-là. L’intérêt légitime existe depuis 1995 comme notion en matière de données personnelles mais là ça a été conservé dans le RGPD.
Nous, on a essayé que ça ne soit pas conservé dans le RGPD parce qu’on pensait que c’est trop flou, on préférait la logique de liste fermée des surveillances qui étaient autorisées sans consentement ; c’est pour ça que c’est un échec, on n’a pas réussi à l’avoir.
Là Gof, sur IRC, me dit : « Est-ce que cette histoire de dépôt de cookies ne pourrait pas être une façon pour la CNIL de dire OK, l’intérêt légitime je vais l’interpréter pour dire que la surveillance publicitaire est légitime, n’est pas une atteinte trop importante à la vie privée des individus, donc je peux l’autoriser pendant un an ».
Il se trouve justement que ce débat-là n’est pas possible, c’est ça qui rend la situation très pratique.
L’intérêt légitime c’est du RGPD, mais les cookies ce n’est pas seulement géré par le RGPD. Les cookies c’est un traitement de données personnelles particulier qui, du coup, va être traité par un autre texte qui est la directive E-privacy, qui est une directive de 2002, encore un texte européen, et qui, depuis 2009, traite de façon très particulière directement la question des cookies. En matière de cookies on a un texte qui parle juste des cookies et qui dit que les cookies vous pouvez les déposer et les exploiter juste pour des conditions très limitées : consentement, nécessité pour rendre le service, est-ce qu’il y a autorisation de la loi, je ne pense pas, et sécurité du service. Donc que des choses, en gros, « vous ne pouvez traiter les cookies que si c’est indispensable au service que la personne vous demande d’exécuter ». Typiquement des cookies de connexion très classiques : si vous êtes sur eBay il faut bien un cookie pour pouvoir garder votre panier ouvert et votre compte connecté, donc ça pas besoin de votre consentement, mais tout le reste il faut votre consentement et là il n’y a pas de question d’intérêt légitime. Du coup c’est super pratique, le raisonnement juridique est très simple : consentement ou rien.
En matière de cookie il n’y a pas d’intérêt légitime, du coup la CNIL ne peut pas du tout prétendre que le droit ne serait pas assez précis alors qu’on a un texte qui a épuisé le débat sur la question depuis 2009.
Donc G0f, bien tenté d’avoir cherché une excuse pour la CNIL, mais là ça ne marche pas !
Animateur : Merci pour cette réponse. Est-ce qu’il y a d’autres questions dans la salle ?
Public : Bonjour. Pour revenir sur le premier sujet, je pense que c’est une question bateau, je suis un peu désolé de la poser, la définition de l’acte ou de l’activité d’hébergeur, c’est quoi au juste ?
Arthur Messaud : Je ne peux pas répondre à cette question avec une seule réponse.
Le mot « hébergeur » on ne le retrouve pas en droit ou alors on va le retrouver dans des cas très limités.
Souvent on va qualifier un acteur qui ressemble beaucoup à un hébergeur mais, en fonction des textes, en fonction des obligations qu’on va lui donner, on va le qualifier différemment.
Si on prend les trois textes différents, celui que j’ai le mieux en tête c’est celui contre la haine, là on ne parle pas d’hébergeur, on va parler d’opérateur de plateforme qui met en relation des personnes ou qui fait de la hiérarchisation de référencement ou des moteurs de recherche. Là c’est ça les acteurs visés, à la base ce ne sont pas les moteurs ce sont juste les plateformes qui mettent en relation des personnes. C’est un texte un peu à part, ce n’est pas cette définition-là qu’on utilise d’habitude en matière de responsabilité des hébergeurs ; là c’est ça.
En matière de responsabilité des hébergeurs, classiquement la définition la plus usuelle on va la retrouver dans la loi de confiance pour l’économie numérique de 2004, qui est une transposition de la directive e-commerce de 2000 où là on a une définition plus classique qui est « mettre à disposition du public des contenus qui ont été fournis par ses utilisateurs ». Donc ce sont des contenus qui ne sont pas les tiens, genre, Le Monde n’est pas hébergeur de ses propres articles, il faut que ça vienne de tiers, il faut que ça vienne de tiers qui sont tes utilisateurs, après tu les mets à disposition du public et là tu es hébergeur et tu vas bénéficier de statuts particuliers.
Pour la directive copyright ou pour le règlement terroriste, je pense qu’ils ne font même pas appel à ces notions-là, ils partent cash sur « du site internet qui héberge un grand nombre de contenus », ça c’est plutôt pour copyright, du contenu fourni par le public je pense, la directive copyright précise quand même ça.
Pour le règlement terrorisme je me souviens que la définition n’était pas très critique, n’était pas très importante, mais je pense que c’est encore une autre définition, tu vois.
Je suis désolé que le droit ne soit pas mieux foutu, c’est un des problèmes qu’on a. T’imagines quand on va parler à un juge, là ça va, toi tu es bienveillant ! Imagine qu’un juge, en audience, nous dise : « Je ne comprends pas très bien. Pour recommencer simplement : c’est quoi un hébergeur ? Parce que je ne peux pas rendre de décision tant que vous ne m’avez pas expliqué ça ». Bon courage ! En général ce sera Alexis [Alexis Fitzjean O Cobhthaigh], membre de la Quadrature et avocat qui devra répondre à cette question au juge, donc bon courage à Alexis. Mais c’est aussi ce qu’on aime bien faire : aller devant les juges, profiter de ces moments-là pour répondre à ces questions-là.
Moi je t’ai répondu de façon un peu trop sincère. Devant un juge, je pense qu’il faudrait un peu simplifier les choses pour lui faire croire que le droit est moins compliqué que ça, mais voilà ! Ta question était complètement légitime parce que, en fait, il n’y a pas de réponse agréable.
Public : Bonjour. J’avais juste une question sur le grand 1, petit 1, petit 1, petit 1 sur la loi contre la haine. Tu as évoqué l’interopérabilité, je ne sais pas si c’était une solution ou une proposition. Je voulais savoir dans quel cadre l’interopérabilité permettait de lutter contre la haine, en fait.
Arthur Messaud : Vraiment, là je t’invite à aller voir tous nos derniers articles sur le site de La Quadrature qui diront ça mieux que moi, fatigué et sous la chaleur. En fait, ce sont des choses que j’ai dites, sur lesquelles je n’ai pas dû faire des liens évidents à l’instant.
Une très, très grande plateforme, avec deux milliards de personnes soi-disant, je ne sais pas combien de personnes sont sur Facebook, ne serait-ce que ça soit grand, c’est un outil qui favorise le harcèlement et qui facilite le travail de harceleur ou de ceux qui veulent foutre la pression au plus grand nombre, un. Deux, aujourd’hui le modèle économique des grandes plateformes c’est celui de la publicité ciblée, c’est probablement leur seul modèle économique viable à court terme, c’est possible. Pour pouvoir héberger autant de personnes il faut un modèle économique ultra-violent, la publicité ciblée. La publicité ciblée marche bien quand les gens restent longtemps sur la plateforme et quand ils interagissent beaucoup. Plus ils interagissent, plus ils révèlent de données personnelles pour être ciblés et plus, au passage, ils donnent des bons arguments à leurs amis pour rester sur la plateforme.
Faire rester les gens longtemps, les faire interagir beaucoup, nous on a une intuition qui est que les plateformes ont intérêt à modifier ta timeline, à modifier les vidéos recommandées sur Google à droite pour favoriser un certain type de vidéos en particulier, les vidéos pour lesquelles eux ont constaté, priori, qu’elles faisaient rester les gens plus longtemps, tout simplement. Sur YouTube, dans leur algorithme de recommandation qui n’est pas public, mais des gens qui ont travaillé là-bas ou des gens qui ont fait des tests, apparemment un des critères les plus importants pour faire une recommandation c’est : est-ce que les gens ont regardé la vidéo longtemps et jusqu’au bout ? Ce n’est pas de savoir si elle a été regardée par beaucoup de personnes, ce n’est pas de savoir si elle a eu le plus de pouces bleus, ce n’est pas le critère le plus important ; apparemment, le critère le plus important, c’est : est-ce que les gens ont regardé jusqu’au bout ? S’ils ont regardé jusqu’au bout, la vidéo est très recommandée.
Nous on pense que cette méthode-là assez cynique et très pragmatique met en avant des contenus qui ne favorisent pas du tout la bonne entente, qui ne favorisent pas la paix, qui ne favorisent pas le débat, mais au contraire favorisent le clash. Typiquement beaucoup de youtubeurs sur YouTube n’ont pas eu besoin qu’on leur explique ça pour comprendre que le clash faisait qu’ils étaient mieux référencés et qu’ils allaient avoir plus de vues. Ce n’est pas que le clash.
Juste sur Twitter, le fait que les messages soient très courts, ça rend les conflits extrêmement simples, l’invective n’a pas besoin d’être longue. Par contre si tu veux apaiser quelqu’un, si tu connais quelqu’un de très inquiet et que tu veux le rassurer, tu ne pourras pas parce que les messages sont beaucoup trop courts pour ça.
Des choses aussi simples que ça, on considère que ça renforce la haine, l’anxiété et le harcèlement, du coup il faut que les personnes puissent partir.
Je pense que tu as compris la partie enfermement qu’il y a actuelement.
En fait on pense que les GAFAM sont source de haine et qu’une stratégie anti-GAFAM est une stratégie, entre autres, de lutter contre la haine.
[Applaudissements]