Mise à jour de la base de données, veuillez patienter...

Tribune de Taziden, membre de La Quadrature du Net

Le 20 juin, des perquisitions ont été menées1 chez plusieurs dirigeants de l'association allemande « Zwiebelfreunde ». Tous leurs ordinateurs et supports de stockage (disques durs, clés usb) ont été saisis par la police allemande.

Le motif invoqué ? Ces trois personnes seraient des « témoins » dans le cadre d'une enquête en cours sur un blog appelant à des manifestations anti-fascistes à Augsbourg, toujours en Allemagne. La police considère que ce blog appelle à des actions violentes.

Le lien entre ce blog et Zwiebelfreunde ? Il faut s'accrocher. L'adresse e-mail associée au blog est hébergée par l'organisation américaine Riseup. Et Zwiebelfreunde recueille des dons pour le compte de Riseup. On imagine difficilement une saisie du même acabit chez Google si les personnes à l'origine du blog avaient choisi Gmail.
Un peu comme si le local de La Quadrature du Net ainsi que les domiciles de ses dirigeants avaient été perquisitionnés à cause d'un compte créé sur mamot.fr, l'instance Mastodon de l'association.
Ça n'a aucun sens.

Il s'agit donc d'une attaque claire contre Zwiebelfreunde qui, depuis des années, promeut et facilite l'utilisation d'outils de protection de la vie privée, comme ceux du projet Tor. Elle œuvre à collecter des fonds pour ces projets, Riseup dans le cas présent.
L'argent recueilli par Zwiebelfreunde sert notamment à développer les outils et services fournis par Riseup, à rembourser des frais de déplacement et à maintenir l'infrastructure Tor de Riseup.

Des perquisitions ont également eu lieu au siège de l'association, se trouvant être le bureau d'un avocat, ainsi qu'au domicile d'un ancien dirigeant.
On peine à comprendre un tel déploiement policier et une telle intrusion dans la vie privée de personnes considérées comme « témoins ».

Ne se contentant pas de ces descentes, la police a d'elle-même choisi d'étendre ses recherches au hackerspace d'Augsbourg, OpenLab2. Interprétant le contenu d'un tableau blanc comme décrivant l'élaboration d'une bombe (sic), trois personnes présentes au hackerspace ont été arrêtées et une fouille du local s'en est suivie.
La police a saisi du matériel et forcé les cadenas des armoires du lieu contenant des informations personnelles sur les membres du hackerspace. Il ne fait aucun doute que ces données ont été copiées par la police.
L'accusation de « préparation d'un attentat à l'aide d'explosifs » semble tout aussi ridicule que le motif de « témoin » invoqué dans le cas des dirigeants de Zwiebelfreunde.

Tout comme ces derniers mois avec Bure3, la police allemande semble faire peu de cas des libertés individuelles au profit d'une répression féroce contre les mouvements sociaux et toutes les personnes et organisations pouvant les soutenir, ou fournir une infrastructure indépendante leur permettant de s'organiser.

Cette tendance est inquiétante et elle montre qu'il est plus que jamais important de soutenir les initiatives fournissant des outils et services informatiques permettant de s'organiser en autonomie. Nous pensons notamment à Riseup, Tor, Tails, Nos Oignons mais également à Mastodon, Funkwhale, Peertube, Pixelfed et toute cette vague d'outils décentralisés et fédérés qui ne manqueront pas d'être les prochains à être inquiétés par la police, que ça soit par incompétence ou malice.

Vous avez encore quelques heures pour soutenir le développement de PeerTube, le réseau de streaming vidéo génial et non-centralisé de nos amis de chez Framasoft.

Vous pouvez aussi revoir la vidéo de Lunar, membre du projet Tor et de La Quadrature du Net, qui nous explique pourquoi utiliser Tor.

• 1. Police searches homes of „Zwiebelfreunde“ board members as well as „OpenLab“ in Augsburg, ccc.de, 04/07/2018 ; Coordinated raids of Zwiebelfreunde at various locations in Germany, torservers.net, 04/07/2018
• 2. En 2009, la police suédoise avait effectué une perquisition et saisi du matériel dans le hackerspace de Malmö en Suède (Police raid in hack labs? is it still the 80s?, tmplab.org, 08/12/2009).
• 3. Bure : vague d’interpellations chez les opposants à Cigéo, liberation.fr, 20/06/2018.

En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. C'est d'ailleurs le premier syndicat de la police municipale qui l'écrit, en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City », en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

Dans un nouveau Projet d'expérimentation Safe City », Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Dans l'immédiat, ces projets sont bien des expérimentations, avec des « cas d'usage » relativement délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle ainsi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ce texte s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces coûteuses expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser tout cela7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

• 1. Source : La Croix
• 2. Dans le projet marseillais, 500 000 euros viennent des fonds FEDER consacré à la cohésion des territoires européens (voir PDF).
• 3. La BPI finance le projet d'expérimentation à Nice, à en croire la délibération du Conseil municipal.
• 4. Voir par exemple les cas de Google ou d'Amazon
• 5. “Smart City et Données Personnelles : Quels Enjeux de Politiques Publiques et de Vie Privée ?”, CNIL, Octobre 2017. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf.
• 6. En mars, la CNIL estimait ainsi : « Au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, la CNIL a donc estimé qu’il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique ; par ailleurs elle a conclu que la proportionnalité du dispositif REPORTY n’était en l’état pas garantie ».
• 7. Pour le ministre, la « police 3.0 » renvoie à « la vision que nous devons avoir d’une police et d’une gendarmerie qui doivent sans cesse savoir prendre le virage des évolutions technologiques et d’un monde en réseaux » (source). Voir aussi : Gerric Poncet, « Gérard Collomb : "À délinquance numérique, police numérique" ». Le Point, Février 2018. http://www.lepoint.fr/politique/gerard-collomb-a-delinquance-numerique-police-numerique-08-02-2018-2193250_20.php.

Fichier attaché	Taille
courrier_CNIL_marseille_anon.pdf	143.88 Ko
Convention_expérimentation_SafeCity_Nice.pdf	2.52 Mo
Deliberation14091.pdf	52.93 Ko

4 juillet 2018 - Demain, l'ensemble du Parlement européen votera sur la nouvelle directive Copyright. Il y a deux semaines, la commission « Affaires juridiques » du Parlement a adopté un premier texte, obligeant les plateformes commerciales à activement bloquer les contenus qui, envoyés par leurs utilisateurs, sont soumis à droit d'auteur. Demain, le Parlement doit rejeter ce texte.

Le 20 juillet, la commission « Affaires juridiques », qui réunit 25 eurodéputés, a arrêté une première position sur la directive Copyright. La majorité de ses membres a adopté un article 13 imposant des techniques de filtrage automatisé sur les plateformes commerciales qui publient et « optimisent » la présentation des contenus envoyés par leurs utilisateurs. YouTube ou Facebook ont déjà mis en place de telles techniques de filtrage depuis longtemps : cet article 13 les rendrait légitimes.

Nos communications publiques ne doivent jamais être régulées au moyen de mesures automatisées, que ce soit pour « protéger des droits d'auteur » ou pour lutter contre les discours de haine ou les « fakenews ». Les comportements humains ne doivent pouvoir être encadrés que par des humains, et ce d'autant plus lorsque des libertés fondamentales sont en jeu.

Demain, à midi, l'ensemble des 750 eurodéputés pourront et devront rejeter un tel solutionnisme technologique, qui ne ferait que renforcer des géants de l'Internet déjà surpuissants. Une fois rejeté, l'actuel texte sera renégocié par le Parlement.

Appelez aujourd'hui les eurodéputés : demandez-leur de renégocier la directive Copyright !

La Quadrature du Net se réjouit à l'idée que des plateformes commerciales non-neutres puissent être soumises à des règles différentes de celles encadrant les services neutres ou non lucratifs. Mais cette distinction ne doit en aucun cas légitimer la censure actuellement imposée par une poignée d'entreprises sur de larges pans du Web. Les futures négociations sur la directive Copyright devront interdire toute mesure de filtrage automatisé plutôt que d'en imposer.

25 juin 2018 - 62 associations, fournisseurs d'accès Internet associatifs, universitaires et militants envoient ensemble une lettre ouverte à la Commission européenne et déposent plusieurs plaintes contre la législation de dix-sept États membres en matière de conservation généralisée des données.

Quels sont les enjeux ?

La « rétention généralisée des données » est l'obligation imposées aux opérateurs de télécommunications (téléphonie et Internet) de conserver les données de connexion (numéros appelés, adresses IP, données de localisation, d'identité) de l'ensemble de leurs utilisateurs pendant plusieurs mois ou plusieurs années (selon la loi de chaque État). Cette conservation s'applique à toute personne, même si elle n'est suspectée d'aucun crime ou délit.

Dix-sept États membres de l'Union européenne prévoient toujours une telle rétention généralisée dans leur droit national.

Pourquoi est-ce contraire au droit de l'Union européenne ?

La Cour de justice de l'Union européenne a clairement jugé qu'une telle conservation généralisée et indifférenciée des données était contraire au droit à la vie privée, à la protection des données personnelles et la liberté d'expression et d'information -- protégées par la Charte des droits fondamentaux de l'Union européenne.

Pour la Cour, ces mesures de surveillance généralisées sont inacceptables.

Quel est notre but ?

En l'espèce, le droit de l'Union européenne, censé prévaloir sur les lois nationales, est plus protecteur de nos droits et libertés. Nous souhaitons le faire appliquer et que les régimes de conservation généralisée des données encore en vigueur dans dix-sept États membres soient abrogés.

Pour cela, nous avons envoyé des plaintes à la Commission européenne afin de l'inviter à enquêter sur l'affaire et saisir, à terme, la Cour de justice de l'Union européenne (CJUE) pour sanctionner directement chacun des États violant le droit européen. Pour expliquer notre démarche, nous accompagnons ces plaintes d'une lettre ouverte commune, portée par plus de 60 signataires dans 19 pays de l'Union, également envoyée à la Commission européenne.

Téléchargez notre lettre ouverte

Comment aider ?

Vous aussi, envoyez une plainte à la Commission européenne ! Il vous suffit de reprendre ce modèle, de mettre vos coordonnées et de l'envoyer à cette adresse e-mail : SG-PLAINTES@ec.europa.eu

En plus, c'est sans risque, sans frais et à la portée de chacun-e.

Telecharger le formulaire de plainte

Retrouvez toutes les informations sur http://stopdataretention.eu/

12 juin 2018 - Le 20 juin prochain, le Parlement européen arrêtera sa décision sur la directive Copyright, symbole d'une nouvelle période de régulation de l'Internet. La Quadrature du Net vous invite à appeler les eurodéputés pour exiger qu'ils agissent contre l'automatisation de la censure au nom de la protection du droit d'auteur et, plus largement, contre la centralisation du Web.

Pour comprendre la décision complexe qui se jouera le 20 juin, il faut d'abord revenir sur les base de la régulation des contenus diffusés sur Internet.

Un équilibre incertain

La directive « eCommerce » adoptée en 2000 par l'Union européenne a posé les fondements de la régulation des contenus diffusés sur Internet. Elle crée le principe suivant : si vous hébergez et diffusez du texte, des images ou des vidéos fournis par des tiers et que ces contenus sont illicites (car portant atteinte au droit d'auteur, sont sexistes ou racistes, font l'apologie du terrorisme, etc.), vous n'en êtes pas responsable. Cette absence de responsabilité exige toutefois deux choses : que vous n'ayez pas eu un rôle actif dans la diffusion des contenus (en les hiérarchisant pour en promouvoir certains, par exemple) et que, si on vous signale un contenu « illicite », vous le retiriez « promptement ». Si vous échouez à respecter ces conditions, vous pouvez être considéré comme ayant vous-même publié le contenu.

Cet équilibre, particulièrement incertain (l'évaluation de « illicite » et de « promptement » étant bien difficile), s'est appliqué indistinctement pendant vingt ans à tous les hébergeurs. ceux qui nous louent les serveurs où diffuser nos sites Internet (l'entreprise française OVH en est un bon exemple) ; les forums et les wiki où nous partageons nos expériences et nos savoirs ; les réseaux non-centralisés tels que Mastodon ou PeerTube ; et, bien sûr, les géants du Web - Facebook et autres YouTube, qui semblent avoir enfermé entre leurs mains la plus grande partie de nos échanges publics.

Cet équilibre s'est rompu au fur et à mesure que ces géants ont abandonné toute idée de rester neutres : assumant aujourd'hui leur rôle actif, ils hiérarchisent tous les contenus qu'ils diffusent selon des critères économiques (mettant en avant les publicités de ceux qui les paient ainsi que les contenus qui nous feront rester chez eux le plus longtemps) ou politiques (Facebook ayant par exemple une lourde politique de censure de la nudité).

En théorie, comme on l'a vu, le filtrage généralisé du débat public, qui repose souvent sur l'application automatique de ces critères économiques et politiques, devrait les rendre responsables de tous les contenus qu'ils diffusent. En pratique, toutefois, on comprend pourquoi ce principe n'est pas vraiment appliqué : il inciterait ces géants à censurer tout discours potentiellement illicite, limitant drastiquement les capacités d'expression des millions de personnes qui les utilisent encore pour participer au débat public, bon gré mal gré. Le droit semble donc imparfait, car étant trop strict en théorie pour s'appliquer en pratique.

Filtrage automatique

En septembre 2016, pour répondre à une partie de ce problème, la Commission européenne a proposé une « directive Copyright ».

L'article 13 de ce texte entend créer de nouvelles règles pour les gros hébergeurs - qui diffusent un « grand nombre d'œuvres ». Ceux-ci devraient passer des accords avec les ayants-droit des œuvres qu'ils diffusent, afin de définir les modes de répartition des revenus (publicitaires ou d'abonnement) avec ceux-ci ou de prendre des mesures pour empêcher la diffusion de contenus signalés par ces derniers.

Le texte mentionne des « techniques efficaces de reconnaissance des contenus », faisant clairement référence au Content ID déployé sur YouTube depuis dix ans - outil qui permet à Google de détecter automatiquement les œuvres publiées sur son site afin de permettre à leurs ayants-droit d'empêcher ou de permettre leur diffusion (auquel cas contre rémunération).

Les propositions de la Commission doivent connaître les mêmes critiques que celles portées depuis des années contre YouTube : elles reportent tous les équilibres de la régulation sur des outils automatisés, présentés en solution miracle. Ignorant toutes les subtilités des comportements humains, ces outils censurent un peu tout et n'importe quoi au gré des bugs techniques, de critères mal calibrés et de logiques absurdes, et neutralisent au passage l'exercice légitime des exceptions au droit d'auteur (droit de citation, de parodie...).

Pour saisir l'importance de ce débat, il faut bien comprendre que ces filtrages automatisés sont déjà largement déployés et vantés par Facebook ou Google, au-delà de la question du droit d'auteur, pour prétendre lutter contre tout type de contenus illicites. Nombre de gouvernements semblent ici aussi tentés de leur emboîter le pas.

La directive Copyright ne doit pas légitimer et généraliser ce solutionnisme technologique, automatisant nos relations sociales et traitant les humains comme de quelconques machines laissées aux mains de quelques entreprises privées. Au contraire, le débat d'aujourd'hui doit être l'opportunité de limiter le recours qu'en font les géants du Web et de contester l'emprise qu'ils exercent sur notre monde.

Une nouvelle distinction

Le 25 mai dernier, les États membres de l'Union européenne ont arrêté leur position sur la directive Copyright. Cette position comporte un ajout décisif en créant clairement une nouvelle catégorie d'acteurs : toute personne qui, hébergeant et diffusant un large nombre d'œuvres, organise et promeut celles-ci à des fins lucratives - qui a un « rôle actif » dans leur présentation.

Cette nouvelle catégorie est instaurée pour échapper à la protection offerte par le directive « eCommerce » de 2000, sans toutefois être soumise à un régime de responsabilité systématique. Il s'agit donc d'une catégorie intermédiaire, entre « tout » et « rien », qui pourrait résoudre nombre des problèmes apparus ces vingts dernières années. Appelons « plateformes » cette nouvelle catégorie d'acteurs car, même si le terme est aussi générique que vague, il semble être celui que la pratique et les discours officiels commencent à consacrer.

Selon la position des États membres, ces plateformes devraient être responsables des œuvres qu'elles diffusent sans l'autorisation des ayants-droit si elles n'ont pas mis en place de système qui, dans la mesure de leurs moyens, aurait pu empêcher leur mise en ligne. L'idée d'un filtrage automatique tel que le « Content ID » n'est pas écartée, mais son recours y est moins explicitement visé.

De son côté, le Parlement européen arrêtera sa position le 20 juin prochain, au sein de sa commission « Affaires juridiques » (JURI). Au terme de longs débats, le rapporteur du texte, Axel Voss (PPE, Allemagne), semble vouloir reprendre les ajouts proposés par les États membres (voir ses dernières propositions publiées), ainsi qu'ajouter une précision nouvelle : la censure opérée par les plateformes ne doit pas conduire au filtrage de contenus qui ne contreviennent pas à un droit d'auteur, ni au déploiement d'une surveillance généralisée des contenus mis en ligne. La distance mise avec le filtrage automatique généralisé se dessine un peu plus. Il est cependant crucial qu'elle figure de manière explicite dans le texte final de même qu'un seuil clair soit fixé (de contenus diffusés, d'utilisateurs inscrits, etc.) de manière à avoir la certitude que le dispositif concernera surtout le problème de la centralisation.

Enfin, les propositions d'Axel Voss précisent certaines garanties contre des censures arbitraires ou abusives : un mécanisme de contestation rapide auprès de la plateforme, ainsi que la possibilité de saisir un juge afin de faire valoir des exceptions au droit d'auteur qui rendraient le filtrage injustifié. Il faudrait néanmoins aller bien plus loin, car faire peser sur les internautes la charge de saisir le juge pour faire valoir leurs droits est encore trop lourd, vu le déséquilibre des parties en présence. Mieux vaudrait inverser les règles en cas de contestation d'une demande de retrait : les contenus censurés doivent revenir en ligne quand un utilisateur estime être dans son bon droit, et c'est aux ayants-droit de saisir la justice pour obtenir le retrait définitif, sous le contrôle d'un juge.

Un compromis décevant

Ces différentes propositions, au lieu de légitimer clairement le modèle de régulation automatisée qui fonde la puissance de géants du Web, pourraient au contraire commencer à l'encadrer et à en limiter les effets. Mais ne nous réjouissons pas : la régulation automatisée, plutôt que d'être mollement encadrée à la marge comme ici, devrait être entièrement déconstruite et bannie - il n'en est rien pour l'instant. De plus, la position du Parlement européen reste à faire, et celui-ci pourrait très bien retomber dans le solutionnisme technologique qui a animé tant de décisions récentes.

Jusqu'au 20 juin, La Quadrature du Net vous invite donc à appeler les eurodéputés pour exiger :

1. que les nouvelles obligations en matière de droit d'auteur ne concernent que des hébergeurs qui hiérarchisent les contenus à des fins lucratives et qui atteignent un certain seuil fixé de manière claire ;
2. que ces obligations ne se transforment jamais en filtrage automatisé, qui doit être clairement interdit ;
3. que la charge de saisir la justice pour faire valoir ses droits en cas de demande de retrait pèse sur les ayants-droit et non sur les internautes.

Si le texte s'arrête sur ce compromis, le pire sera peut-être évité, mais cette directive Copyright n'en restera pas moins un échec, car le débat s'est encore une fois focalisé sur des mesures répressives et régressives, alors qu'il s'agissait à la base de réfléchir les équilibres du droit d'auteur à l'heure du numérique. Cette ambition a été abandonnée avec le rejet par le Parlement européen des propositions du Rapport Reda, qui étaient elles-mêmes déjà en retrait par rapport aux propositions de la Quadrature du Net sur la réforme du droit d'auteur.

Un nouvel équilibre

Comme on l'a dit, ce débat dépasse largement celui du droit d'auteur. Il concerne la régulation des hébergeurs dans son ensemble, en matière de lutte contre les « fake news », contre la diffusion de la haine, contre la propagande terroriste, etc., tel qu'on le voit de plus en plus vivement discuté. Il concerne la façon dont chacun et chacune peut accéder au débat public, pour s'y exprimer comme s'y informer.

Tous ces enjeux connaissent un ennemi commun : la centralisation du Web, qui a enfermé la très grande majorité des internautes dans des règles uniques et rigides, qui n'ont que faire de la qualité, de la sérénité ou de la pertinence de nos échanges, n'existant que pour la plus simple recherche du profit de quelques entreprises.

L'une des principales causes de cette centralisation est le frein que le droit a longtemps posé contre l'apparition de son remède - le développement d'hébergeurs non-centralisés qui, ne se finançant pas par la surveillance et la régulation de masse, ne peuvent pas prendre le risque de lourds procès pour avoir échoué à retirer « promptement » chaque contenu « illicite » qui leur serait signalé. Des hébergeurs qui, souvent, peuvent à peine prendre le risque d'exister.

La condition du développement de tels services est que, enfin, le droit ne leur impose plus des règles qui depuis vingt ans ne sont presque plus pensées que pour quelques géants. Prévoir une nouvelle catégorie intermédiaire dédiée à ces derniers offre l'espoir de libérer l'Internet non-centralisé du cadre absurde dans lequel juges et législateurs l'ont peu à peu enfermé.