Tribune de Ag3m, membre de La Quadrature du Net

08 juin 2018 - Force est de constater bien des ponts entre les discours des défenseurs des libertés numériques et les analyses féministes intersectionnelles. Les descriptions de l’exploitation de nos données et de notre travail par les GAFAM et autres géants du Net font écho à celles de l’exploitation des femmes et des personnes racisées et minorisées. Faire le pont entre ces analyses pourrait-il nous permettre d’appuyer notre militantisme sur les réflexions et les outils créés contre la domination patriarcale et raciste, pour les adapter aux situations d’exploitation économique capitaliste plus larges ?

Utilisation des données personnelles et échange des femmes

On connait bien, parmi les militants de la défense des libertés numériques, la formule « Si c’est gratuit, c’est toi le produit ! », un adage qui cherche à visibiliser la ressource économique que constitue l’exploitation des données personnelles des utilisateurs par les sites internet, et en particulier les GAFAM.

Alors les GAFAM utiliseraient les données personnelles pour vendre des profils utilisateurs. C’est marrant, ça me rappelle d’autres situations.

Au XVIIème et XVIIIème siècle se développent les agences matrimoniales.1 Elles sont alimentées par les familles ou les employés de maison qui leur vendent des informations sur les jeunes filles à marier dans le foyer. Les agences matrimoniales récupèrent, trient, reformulent et enfin revendent ces informations sous forme de service de mise en relation pour les jeunes gens qui cherchent une épouse.

L’analyse du mariage comme mise en vente des femmes n’est pas une idée neuve. En 1947, Claude Lévi-Strauss développe la théorie générale de l’échange,2 c’est-à-dire l’idée que notre société est basée sur le principe fondamental de l’échange des femmes entre les familles. Celles-ci tissent des liens, développent leur capital économique et leur pouvoir politique en mariant les jeunes filles. Elles s’échangent ainsi les femmes, leur force de travail lorsqu’elles aident leurs maris, leur travail de tenue de la maison, de procréation, d’intimité, … Dans Caliban et la sorcière : Femmes, corps et accumulation primitive3, Sylvia Federici montre que cette exploitation des femmes se développe en même temps que le système capitaliste, comme base même de ce système où les individus sont répartis entre classes sociales où certains dépendent d’autres. Les travailleurs dépendent des propriétaires des moyens de production, les femmes dépendent des hommes, les esclaves racisés des colonies dépendent des maîtres blancs.

Revenons à l’exemple des agences matrimoniales. C’est donc tout un marché qui s’organise. Les femmes sont mises en valeur à travers la publication de leur dot, puis par les petites annonces et les agences.

Un peu plus tard, au XIXème siècle, la culture épistolaire se développe : les gens commencent à écrire et à échanger des lettres ou à tenir des journaux intimes dans lesquelles ils se racontent. Les petites annonces sont désormais écrites par les gens eux-mêmes qui se mettent en valeur, présentent leur meilleur profil, et cherchent à rencontrer la bonne personne. Facebook much ?

Les technologies numériques que nous utilisons aujourd’hui, Facebook, Instagram, Twitter, LinkedIn, ne sont donc que la continuité de cette dynamique de nous mettre en avant sous notre plus beau jour pour trouver la bonne personne. Mais cette fois, il ne s’agit plus de vendre uniquement des femmes ou des personnes racisées, mais bien n’importe quel profil utilisateur, y compris ceux des hommes blancs, cisgenres et hétérosexuels de classe bourgeoise, si habitués à pouvoir choisir plutôt qu’à être choisis.

Espace numérique et espace intime

L’espace numérique est devenu notre nouvel espace intime : celui dans lequel nous vivons quotidiennement, où nous nous racontons à nous-mêmes, à nos amis, à nos proches, et parfois à un public plus large.

De la même manière que les femmes, bien que reléguées au foyer, sont observées, surveillées dans toutes leurs actions, les utilisateurs sont étudiés, analysés, contraints à suivre les règles de la plateforme et de la communauté dans laquelle ils évoluent.

La frontière entre « privé » et « public » est ténue. Ainsi, les questions dites « privées » de la contraception, de l’avortement, du viol conjugal ont été débattues dans l’espace public. Ainsi, encore aujourd’hui, des manifestations et des débats publics continuent de discuter de ce que chacun fait chez lui, du droit à certaines sexualités ou à certaines familles d’être reconnues.

De la même manière, on juge aujourd’hui sur SnapChat de l’apparence des jeunes filles, Facebook sait qui nous avons invité chez nous et nos commentaires apparaissent sur Youporn.

On entend parfois que l’espace numérique brouille la frontière entre privé et public, et pourtant on pourrait plutôt dire qu’il rend évidente la sentence politique des féministes de la seconde vague : « le privé est politique4 ». L’espace intime, et celui des femmes en particulier, est depuis longtemps l’affaire de tous, et il est, en particulier, l’affaire d’experts masculins (politiques, médecins, …) qui savent mieux qu’elles-mêmes ce dont elles ont besoin, et ne se privent pas de les examiner constamment, parfois sans leur consentement5.

La vie privée de chacun est désormais l’affaire des algorithmes et des publicitaires. Les assistants personnels et autres mouchards s’introduisent chez nous, écoutent en permanence tout ce que nous disons (sinon comment entendre « ok Google » lorsqu’il est prononcé ?), analysent nos comportements et nous proposent des solutions avant même que nous y pensions6.

De la même manière que la mise sous tutelle des femmes s’est faite pour le bien de la société, pour les protéger et les préserver, ces nouvelles technologies sont présentées sous l’angle des services qu’elles nous rendent et de la productivité qu’elles nous apportent.

Pourtant, en pratique, entre les défenseurs de la liberté qui luttent contre l’hégémonie des GAFAM et les féministes qui veulent accéder à l’autonomie et l’empowerment, les liens ne sont pas évidents.

Digital labour et travail domestique

De la même manière le digital labour7 s’inscrit dans cette continuité de l’exploitation surveillée.

Le travail des femmes, permanent et invisible, fait tourner la société en assurant la stabilité du foyer et celle, émotionnelle, du travailleur, et donc toutes les coulisses de la société capitaliste8.

Ce travail est volontaire, non par charité, mais par dépendance. En travaillant pour leur mari, les femmes bénéficient de son statut et de ressources auxquelles elles ne peuvent pas accéder par elles-mêmes. De la même manière que les utilisateurs de Google Maps fournissent leurs données à un système dont ils dépendent entièrement et auquel ils ne peuvent pas construire d’alternatives.

Il est bien sûr possible de chercher, autant que faire se peut, des alternatives à cette situation de dépendance. En utilisant Mastodon plutôt que Twitter, Diaspora plutôt que Facebook, un fournisseur d’email associatif plutôt que Gmail… Ce faisant, les utilisateurs gagnent en indépendance, mais se privent d’un certain nombre de fonctionnalités auxquelles ont accès la majeure partie de la société. Ce faisant, ils créent un réseau, parallèle et minoritaire, et dépensent plus d’énergie et de ressources pour accéder aux fonctionnalités dont ils ont besoin, y compris en termes d’accès au réseau social ou aux informations.

Les femmes de la renaissance, pouvaient, si elles le souhaitaient, ne pas se marier. Elles devenaient alors le plus souvent vagabondes, étaient privées de ressources financières, puisque moins payées que leurs collègues masculins, voire privées d’un accès à un travail, les reléguant à des métiers en périphérie de la société : prostituées, vendeuses itinérantes, … Privées de la sécurité (relative) garantie par le système familial, elles s’exposaient également à de nombreux risques, allant jusqu’à l’accusation de sorcellerie (et donc à la condamnation à mort). Elles intégraient alors des réseaux souterrains d’entraide et d’échanges de services, qui compensaient maigrement les discriminations sociales et économiques liées à leur statut.

Les femmes mariées, elles, contribuaient (et continuent à contribuer) à la force de travail de la société. Comme les micro-travailleurs du clic aident les intelligences artificielles ou décodent du texte sur des Captcha, les femmes aidaient leurs maris à accomplir leur travail, suppléant à toutes les taches qu’ils ne pouvaient réaliser seuls. Elles animaient la vie du foyer, le tenant propre et rangé, prenant soin qu’il soit accueillant, qu’il y ait à manger, … Tout comme les utilisateurs sont amenés à prendre soin de leurs réseaux, en participant bénévolement à la modération des forums et discussions auxquels ils participent (coucou Webedia), en alimentant de leurs contenus les différentes plateformes à leur disposition, …

Conclusion

Tant que le travail du care et de la création de contenu exploitable (tu le vois le lien avec la procréation ?) ne pourra être effectué par les robots, il restera l’apanage des femmes et, de plus en plus, il s’agira de mettre tout le monde au travail, grâce à la subdivision en micro-tâches, de l’éducation des IA à l’animation de la communauté. On pourrait penser à une démocratisation de ce travail invisible et sous-valué.

Pourtant, on reste encore dans une configuration où le travail technique reste un milieu ultra masculin, où sont reconnus et parfois rémunérés les développeurs et administrateurs systèmes, tandis que le travail invisible et quotidien, traditionnellement féminin, se répartit sur tous les « prolétaires du clic », dont le travail n’est pas ou peu rémunéré, sauf à être dans les bons cercles, à avoir le bon réseau social, bref la bonne classe sociale qui permet d’avoir de la street cred et de monnayer la reconnaissance sociale.

Entre rapports de genre et rapports de classe, les relations de pouvoir dans le monde numérique ne semble pas pouvoir se passer des outils du féminisme intersectionnel et, plus largement, d’une analyse matérialiste des rapports de pouvoirs entre tous les acteurs du Net.

Retrouver la publication originale de cette tribune sur ce blog.

• 1. L’économie de la vie privée (1/4) Aux origines de l’intime Podcast de l’émission « Entendez-vous l’éco ? » par Maylis Besserie.
• 2. Sur l’échange des femmes ou Théorie de l’Alliance, voir sur Wikipédia.
• 3. S. Federici, Caliban et la sorcière. Femmes, corps et accumulation primitive (2014).
• 4. Pour plus d’infos sur l’histoire de ce slogan, voir Wikipédia.
• 5. Voir à ce sujet les nombreux témoignages sur les violences gynécologiques, qu’elles viennent d’étudiants en médecine ou de services de gynéco-obstétrique/maternité.
• 6. À titre d’exemple, cet article (en anglais) sur ce qui se produit lorsque l’on dit à Internet que l’on est enceinte.
• 7. Au sujet du digital labor, voir notamment le travail d’Antonio Casilli.
• 8. Voir l’ensemble des théories féministes matérialistes.

Alors que La Quadrature du Net dénonçait il y a quelques semaines l'instauration de nouvelles mesures de surveillance au nom de la lutte contre la cybersécurité dans la loi de programmation militaire en cours d'examen au Parlement, le gouvernement d'Emmanuel Macron persiste et signe.

Cette fois, il s'agit de toucher aux grands équilibres de la loi renseignement, notamment en ouvrant aux services de renseignement intérieurs (notamment la DGSI) les montagnes de données accumulées par la DGSE dans le cadre de son dispositif de surveillance massive des communications Internet dites « internationales ». Et parce qu'il est toujours préférable de contourner le débat public quand il s'agit d'étendre les capacités de surveillance secrète de l'État, c'est en catimini, par voie d'amendement au Sénat que le gouvernement a choisi de procéder, avec l'aide de quelques parlementaires complices.

Déni de réalité, déni démocratique

Le 22 mai dernier au Sénat, la ministre des Armées Florence Parly présente dans l'hémicycle un amendement à la loi de programmation militaire, déjà adoptée en première lecture à l'Assemblée. À première vue, c'est sensible, puisqu'il s'agit de toucher au livre VIII du code de la sécurité intérieure, celui qui encadre les activités des services de renseignement. Mais la ministre se veut rassurante :

« Le Gouvernement ne souhaite évidemment pas, par le biais d’un amendement au détour du projet de loi relatif à la programmation militaire, remettre sur le métier la loi relative au renseignement. C’est un chantier qui nous occupera plutôt en 2020 et auquel il paraît indispensable d’associer étroitement la délégation parlementaire au renseignement, la DPR.

Je vous propose donc, mesdames, messieurs les sénateurs, de permettre simplement une utilisation plus rationnelle des données légalement recueillies dans le cadre de la surveillance des communications internationale. Nous ne donnons pas aux services de nouveaux moyens de collecte ni ne modifions en profondeur les équilibres retenus en 2015 ».

Il s'agit donc d'être « rationnel » sans toucher aux « équilibres retenus en 2015 ». Un petit patch bureaucratique pour faire en sorte de fluidifier le travail des services et qui, comme nous l'apprend la ministre, a été validé par la Commission nationale de contrôle des techniques de renseignement (la CNCTR) et par le Conseil d'État dans leurs avis respectifs sur l'amendement proposé.

Sauf que ces propos tiennent plus du déni de réalité, voire d'une volonté manifeste de tromper son monde. Car loin d'être anecdotique, l'amendement transforme radicalement les fameux « équilibres » de la loi renseignement.

Surveillance intérieure / surveillance extérieure

Pour le comprendre, quelques rappels sont de rigueur.

Traditionnellement, les activités de surveillance d'un État envers les personnes résidant sur son territoire sont plus étroitement encadrées que les activités de surveillance dite « internationale », c'est-à-dire de personnes situées hors du territoire national. C'est donc dans le cadre des activités de surveillance internationale que les programmes de surveillance les plus « massifs » se sont d'abord développés (par exemple le programme UPSTREAM de la NSA, le programme TEMPORA du GCHQ britannique, ou le programme similaire lancé à partir de 2008 par la DGSE française pour collecter à grande échelle le trafic Internet au niveau des câbles sous-marins, et l'exploiter à l'envie par la suite1).

Dans les hautes sphères de l'État, ce principe continue d'être défendu. Ainsi, dans son rapport annuel de 2014 sur les libertés à l'ère numérique, le Conseil d'État notait :

« Le fait que les garanties entourant l’interception des communications soient moindres lorsqu’elles se situent à l’étranger plutôt que sur le territoire se justifie (...). (...) Dès lors que les personnes situées à l’étranger échappent à la juridiction de l’État, l’interception de leurs communications n’est pas susceptible de porter atteinte à leurs droits dans la même mesure que si elles se situaient sur le territoire ; elles ne peuvent en particulier faire l’objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés »2.

C'est en vertu de ces arguments que, en 2015, la loi renseignement a prévu un régime juridique beaucoup plus lâche pour la surveillance internationale : le Premier ministre autorise l'interception non-ciblée de vastes quantités de données associées à une région du monde, à des organisations, groupes de personne, etc. ; ces données sont conservées pendant beaucoup plus longtemps que dans le cadre de la surveillance nationale ; elles peuvent faire l'objet d'analyse « en masse » des données via des traitements « Big Data » (ce que, soit dit en passant, la DGSI a également commencé à faire depuis quelques mois grâce aux algorithmes de Palantir sur les données saisies dans le cadre de l'état d'urgence, et ce en dehors de tout cadre juridique3).

Or, comme le rappelait dès 2013 la coalition internationale « Necessary and Proportionate » en réponse aux révélations d'Edward Snowden, cette distinction national/international n'a plus lieu d'être. À l'heure où les communications Internet sont par nature transfrontières (même lorsque j'échange un mail avec ma voisine, il est probable qu'il transite via l'étranger), et où les doctrines du renseignement font de moins en moins la différence entre menace extérieure et « ennemi intérieur », les arguments qui la fonde son caducs. En outre, comme le rappelaient La Quadrature du Net, FFDN et FDN dans leur mémoire envoyé en 2015 au Conseil constitutionnel alors que celui-ci se penchait sur la loi renseignement, cette distinction revient au plan juridique à bafouer l'universalité des droits4. De notre point de vue, il s'agirait donc d'abolir tout simplement le régime dérogatoire de surveillance internationale pour faire appliquer à toutes et tous le régime le plus protecteur : celui associé à la surveillance nationale.

L'extension du régime dérogatoire de la surveillance internationale

Mais, comme on pouvait le redouter, non seulement le régime de la surveillance internationale tient bon, mais il est en fait en train de devenir le dénominateur commun pour l'ensemble du champ du renseignement.

Certes, dès 2015, la loi renseignement ouvrait la voix à de telles évolutions. Les dispositions régulant les usages du puissant système de surveillance de la DGSE prévoyaient déjà la possibilité de surveiller des communications « rattachables au territoire national » (via leurs identifiants techniques comme l'adresse IP ou le numéro de téléphone) dès lors que les communications en question traversaient les frontières. Mais à ce jour ces formes de surveillance étaient uniquement possible pour les résidents français situés hors du territoire national.

Ici, il s'agit d'aller encore plus loin. En vertu de l'amendement adopté au Sénat, et comme l'explique la ministre :

« Nous voulons d’abord permettre l’exploitation des données d’un identifiant technique rattachable au territoire national interceptées dans le cadre de la surveillance des communications internationales, alors même que son utilisateur est en France5.»

Il s'agit notamment d'ouvrir aux services de renseignement intérieur les vannes du vaste système de surveillance déployé par la DGSE depuis 2008, et dans lequel l'État a depuis investi près de 1,5 milliards d'euros. Cela permet en effet d'accéder à quantité de données qui, dans le cadre strictement national, étaient plus difficilement exploitables6.

Remonter le passé pour confirmer des suspicions

Mais ce n'est pas tout. Le gouvernement a également souhaité autoriser des opérations de surveillance dites de « levée de doute ». Et la ministre d'expliquer :

« La levée de doute prendra la forme d’une vérification ponctuelle sur les données de connexion légalement interceptées dans le cadre de la surveillance des communications internationales.

Il s’agit d’opérations très rapides, non répétées et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne, qui pourra alors être surveillée si elle présente une menace. Dès que la vérification fera apparaître la nécessité d’une surveillance, l’exploitation des communications ne pourra être poursuivie que via les techniques de renseignement inscrites dans la loi de 2015 ».

En gros, les services utilisent un ou plusieurs « sélecteurs » ou « identifiants » correspondant à des personnes ou groupes de personnes situés à l'étranger, avec lesquels on va sonder les bases de données pour établir le graphe social et tenter de faire émerger les données de suspects résidant en France7. On peut ensuite se livrer à une surveillance plus poussée de ces suspects dans le cadre du régime de surveillance nationale (en demandant par exemple une autorisation pour procéder à une interception de sécurité)8.

L'amendement inaugure également deux régimes dérogatoires à ce dispositif de « levée de doute », qui permettent non pas de constituer ces graphes à partir d'identifiants « étrangers », mais à partir d'identifiants directement rattachables au territoire national : l'un en cas de « menace terroriste urgente », l'autre s'agissant « d'éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation »9.

Au plan opérationnel, ces opérations de levée de doutes poursuivent la même logique « exploratoire » que les boîtes noires de l'article L. 851-3 ou la surveillance en temps réel des données de connexion du L. 851-2 (elle aussi sont des manières de repérer des signaux faibles, en préalable d'une surveillance plus poussée). Sauf qu'il s'agit cette fois de sonder les données conservées massivement dans les data-centers de la DGSE, et non de faire de la surveillance de flux en « temps réel ». Pour rappel, les métadonnées des résidents français sont conservées quatre ans...

La fuite en avant de la surveillance

Quand un outil technique existe, il n'y a aucune raison de ne pas l'utiliser à fond... C'est en tous cas la position des caciques du renseignement et des responsables politiques qui président à ces activités secrètes, et qui estiment nécessaire de mettre au service du renseignement intérieur les vastes dispositifs de surveillance de la DGSE. La fin justifie les moyens, et tant pis pour l'État de droit.

Ni le gouvernement, ni la CNCTR, ni le Conseil d'État n'ont donc de problème à s'asseoir sur les arguments qu'ils invoquaient il y a tout juste trois ans pour justifier l'instauration d'un régime dérogatoire pour la surveillance internationale,10 à savoir que celle ci ne concernait que des personnes situées hors du territoire, et donc échappant a priori au pouvoir coercitif de l'État. Aujourd'hui, ils rendent ce régime dérogatoire toujours plus poreux à la surveillance des résidents français, en permettant au renseignement intérieur de piocher allégrement dans les bases de données de la DGSE. Avec cet amendement, il devient par exemple possible de retracer d'un seul coup l'historique des communications d'un résident français en remontant quatre ans en arrière, là où le régime de surveillance nationale permettait de récolter des métadonnées vieilles d'un an maximum auprès des opérateurs et de quantité d'hébergeurs. On change clairement de dimension.

Le plus choquant, c'est peut être que le gouvernement refuse de reconnaître l'importance de ces évolutions, en prétendant qu'il ne s'agit que de quelques aménagements techniques. Cette manière de procéder du gouvernement Macron -- qui semble chercher à étouffer à tout prix le débat -- devrait justifier à elle seule que les parlementaires s'opposent à cet amendement scélérat (la Commission mixte paritaire composée de députés et de sénateurs se réunit bientôt pour finaliser le texte).

Malgré quelques maigres avancées en termes de transparence dont témoigne notamment le dernier rapport de la CNCTR, cette affaire illustre bien l'immaturité démocratique persistante du renseignement français. Alors que la ministre promet une révision plus en profondeur de la loi renseignement pour 2020, on peut craindre le pire...

• 1. JAUVERT, Vincent, 2015. Comment la France écoute (aussi) le monde. In : L’Obs [en ligne]. 1 juillet 2015. Disponible à l’adresse : http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html.
• 2. RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux [en ligne]. Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État. Disponible à l’adresse : http://www.ladocumentationfrancaise.fr/rapports-publics/144000541/index.shtml.
• 3. C'est apparemment cette collaboration DGSI-Palantir qui a poussé les rédacteurs du rapport Villani sur l'intelligence artificielle (IA) à envisager des « dérogations » pour promouvoir des « expérimentations » sur l'usage de l'IA dans le champ du renseignement. Il n'est pas question de les encadrer dans la loi mais de les faire sous le contrôle d'autorités comme la CNCTR, ce qui est tout simplement illégal.
• 4. Voir la section 9.4.2, p.age 74, du mémoire Amicus Curiae. Disponible à l'adresse : https://exegetes.eu.org/recours/amicusrenseignement/2015-06-25-Amicus-Curiae-Version-Greffe-CC.pdf
• 5. Nous soulignons. L'amendement est rédigé comme suit :
  V. – Par dérogation au troisième alinéa de l’article L. 854-1 et pour la défense ou la promotion des finalités mentionnées aux 1° , 2° , 4° , 6° et 7° de l’article L. 811-3, le Premier ministre ou l’un de ses délégués peut, dans les conditions prévues au III, délivrer une autorisation d’exploitation de communications, ou de seules données de connexion interceptées, de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national dont l’utilisateur communique depuis ce territoire.
  « Le nombre maximal des autorisations d’exploitation, en vigueur simultanément et portant sur des correspondances, est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. La décision fixant ce contingent et sa répartition entre les ministres mentionnés au premier alinéa de l’article L. 821-2 sont portées à la connaissance de la commission ».
  (...)
  « Les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir, lorsque la décision d’autorisation le prévoit, autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales, dans la limite de la portée de ces autorisations et dans le respect des garanties qui les entourent. »
• 6. L'exposé des motifs évoque notamment le fait que, si « les données interceptées [par la DGSE] sont partielles », elles présentent un intérêt d’autant plus important qu’y figurent des données que l’on ne peut obtenir par réquisition auprès des opérateurs, notamment celles des messageries cryptées ». On peut ainsi supposer que le relevé des seules données de connexion dans le système de la DGSE permet de retracer l'ensemble d'un historique de navigation Internet (protocoles utilisés, services consultés, etc.) alors que du côté d'un opérateur fixe dans le cadre de la surveillance nationale, permettra seulement d'identifier l'internaute concerné et les adresses IP utilisées ainsi que ses « fadettes » téléphoniques.
• 7. « IV. – L’autorisation prévue au III vaut autorisation d’effectuer au sein des données de connexion interceptées des vérifications ponctuelles aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, organisations ou personnes mentionnés au 3° du III.
• 8. (...) « Lorsque les vérifications ponctuelles mentionnées aux alinéas précédents font apparaître la nécessité d’une surveillance, l’exploitation des communications, ou des seules données de connexion interceptées, ne peut être poursuivie que sur le fondement d’une autorisation obtenue en application des chapitres I ou II du présent titre ou du V du présent article, dans le respect des règles qui leur sont propres.
• 9. « A la seule fin de détecter, de manière urgente, une menace terroriste, cette vérification ponctuelle peut porter sur les communications de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national. Ces numéros et identifiants sont immédiatement communiqués au Premier ministre et à la Commission nationale de contrôle des techniques de renseignement, pour les besoins du contrôle prévu à l’article L. 854-9.

  « Des vérifications ponctuelles peuvent également être mises en œuvre pour détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation mentionnés au 1° de l’article L. 811-3.

• 10. Comble de l'hypocrisie, cet argument est d'ailleurs rappelé par le gouvernement dans l'exposé des motifs de l'amendement ! D'après le texte en effet, «  les exigences liées à l'exercice des libertés constitutionnellement garanties ne peuvent être les mêmes pour une personne résidant sur le territoire de la République et pour une personne résidant à l'étranger. Celle-ci échappant à la juridiction de l'Etat, elle ne peut en particulier faire l'objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés ».

28 mai 2018 - La Quadrature du Net vient d'envoyer à la CNIL cinq plaintes contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn.

Voilà six semaines que nous avons lancé notre campagne pour vous inviter à rejoindre nos plaintes contre les GAFAM. Et ces six semaines ont suffi à réunir plus de 12 000 d'entre vous autour de ces plaintes collectives ! Pour comparer, en une année entière, celle de 2017, la CNIL a été saisie de 8 360 plaintes individuelles.

Où allons-nous, maintenant ? D'ici un mois au mieux, la CNIL devrait rendre une première décision pour répartir les différentes plaintes entre les autorités de plusieurs États européens. C'est désormais la règle avec le règlement général sur la protection des données (RGPD) : si une entreprise collecte des données sur plusieurs pays, les CNIL de tous ces pays doivent collaborer pour trouver une décision commune (ce qui évite le forum shopping, et pourrait donc être une assez bonne nouveauté si tout se passe bien). La CNIL d'un de ces États (celui où l'entreprise a le centre de ses activités dans l'Union européenne) est ainsi désignée « autorité chef de file » et est chargée de conduire l'instruction et d'animer cette coopération.

Mis à part la plainte dirigée contre Amazon qui partira au Luxembourg, toutes les autres seront très probablement réceptionnées par l'autorité irlandaise. Celle-ci ayant déjà pas mal à faire avec les instructions en cours contre les nombreux GAFAM qu'elle surveille habituellement, il nous a semblé plus sage de ne pas immédiatement la submerger de toutes nos plaintes : mieux vaut obtenir de bonnes décisions ciblées et faire jurisprudence le plus rapidement possible.

Nous avons donc choisi d'ouvrir le feu en attaquant 7 des 12 services initialement visés, et d'attendre un peu de voir comment les choses évoluent avant de lancer la procédure contre les 5 services restants (Whatsapp, Instagram, Android, Outlook et Skype). La procédure de coopération entre les CNIL européennes prendra de bien nombreux mois : inutile de se précipiter dès le début :)

Les premières plaintes sont accessibles en ligne et, évidemment, librement réutilisables par n'importe qui voulant s'en inspirer pour attaquer des GAFAM ou tant d'autres :

1. Facebook ;
2. Google (Gmail, Youtube, Search) ;
3. Apple ;
4. Amazon ;
5. LinkedIn.

Il faut aussi remercier les dizaines d'entre vous qui avez participé à la rédaction collective de ces plaintes bien complexes ! Merci ! Et un grand merci encore à toutes celles et ceux qui ont su faire tant parler de la campagne au cours de ces dernières semaines !

Enfin, pour voir au-delà de nos avancées à nous, saluons l'action initiée par nos amis de chez NOYB (None Of Your Business) qui, le 25 mai dernier, dès l'entrée en application du RGPD, ont déposé quatre plaintes un peu partout en Europe contre Android, Instagram, Whatsapp et Facebook, se fondant sur le même argument que celui ayant animé toute nos actions : exiger un « consentement libre » pour rejeter l'idée d'une marchandisation de nos données personnelles. Bravo à vous !

Tribune de Marne et Arthur, instigateurs de la campagne de plaintes collectives contre les GAFAM

25 mai 2018 - Avant-hier, Emmanuel Macron recevait son homologue Mark Zuckerberg, symbole défait d'un monde dont le glas a sonné ce matin. Sous les traits forcés du dynamisme et de l'innovation, Macron, ne comprenant rien à son époque, fait la cour à des puissances dont le modèle, aussi dépassé qu'illégal, prendra bientôt fin. Les seules structures qui compteront à l'avenir seront les nôtres : celles de l'Internet libre et décentralisé, établies et régulées par le peuple lui-même. C'est la voie qu'a ouvert le RGPD : prenons-la sans détour.

Pour comprendre ce qui commence aujourd'hui avec l'entrée en application du règlement général sur la protection des données (RGPD), repartons d'abord dans le passé... il y a 5 ans, presque jour pour jour.

RGPD, fruit de la plus violente campagne de lobbying américaine

Le 27 mai 2013, La Quadrature du Net publiait son analyse principale en faveur d'un « consentement explicite » dans le RGPD, qui était alors en pleine discussion au Parlement européen. Cette revendication était alors notre combat principal et, aux côtés de nos associations alliées (voir notre campagne Naked Citizens, lancée le 25 avril 2013), nous l'avons gagné.

Ainsi, 5 ans plus tard, depuis ce matin, une entreprise ne peut plus justifier de nous surveiller au motif que nous y aurions « consenti » en oubliant de décocher une case obscure rangée en fin de formulaire ou derrière divers menus (stratégie éculée pour dérober l'accord d'une personne). C'est la victoire du « consentement explicite », c'est ce que continuent de violer Google, Apple ou Amazon, et c'est notamment ce que nous invoquons avec 11 000 autres personnes dans les plaintes collectives que nous déposerons lundi prochain devant la CNIL (et que vous pouvez encore rejoindre).

Avec le recul, ce « consentement explicite », cette arme que nous nous sommes donnés il y a 5 ans, cette victoire, semble irréelle. De l'aveu des parlementaires européens, l'Union européenne n'avait jamais connu de campagne de lobbying aussi intense et brutale que sur le RGPD : c'est toute la Silicon Valley qui descendait dans le Parlement, suivi de sa myriade de syndicats, de groupements, de Think Tanks™ et de serfs européens. Nous avions d'ailleurs recensé les milliers de pages qu'ils envoyaient au Parlement, et le site LobbyPlag les avait analysées pour révéler quels eurodéputés en déposaient et défendaient les propositions. Dans un premier temps, cet effort titanesque de lobbying a largement payé : au 19 mars 2013, chacune des 4 commissions consultatives du Parlement européen avait rendu un avis affaiblissant largement la protection de nos libertés.

Heureusement, le débat a subitement changé de ton lorsque, le 6 juin 2013, Edward Snowden a commencé à révéler les pratiques des renseignements américains. La première de ses révélations publiées, sur le programme PRISM, impliquait directement les mêmes entreprises américaines qui remportaient jusqu'ici le débat européen... Notre victoire doit probablement beaucoup à ces circonstances.

Le 21 octobre 2016, le Parlement européen arrêtait sa première position officielle : les pires de nos inquiétudes en avaient enfin disparues, et nous gagnions sur le consentement explicite. À l'époque, nous regrettions pourtant amèrement les nombreuses failles qui, existantes depuis la première réglementation européenne de 1995, avaient été maintenues dans RGPD (et y sont encore aujourd’hui). Au premier rang d'entre elle : l'« intérêt légitime » (nous y revenons ci-dessous).

Peu de nouveautés

Définitivement signé le 27 avril 2016, le RGPD aura finalement apporté peu de protections nouvelles pour nos libertés. En plus du « consentement explicite » que nous avions réussi à obtenir, les avancées, bien que considérables, sont surtout procédurales : les CNIL pourront prononcer des sanctions à hauteur de 20 millions d'euros ou 4% du chiffre d'affaire mondial de la société visée (la plus haute des deux valeurs est retenue) et, pour les pousser à agir fermement, elles pourront être saisies par des plaintes collectives réunissant des milliers de personnes (c'est ce que nous faisons !).

À côté de ça, tous les grands principes de la protection de données (conditions de licéité, données sensibles, loyautés, etc.) ainsi que la majorité de nos « droits » (d'accéder à nos données, de les rectifier, etc.) ont été repris presque à l'identique de la directive européenne initiale de 1995. Le règlement crée bien aussi un nouveau droit à la portabilité, mais son intérêt pratique reste encore à trouver.

De plus, comme on l'a vu, le RGPD ne s'est pas contenté d'hériter des forces de la directive de 1995, il a aussi hérité de sa faille principale : il autorise toute entreprise à collecter et utiliser des données personnelles si elle y trouve un « intérêt légitime » (un intérêt économique, structurel...) et que la poursuite de cet intérêt ne porte pas une « atteinte disproportionnée » aux intérêts des personnes concernées. Oui, ce « critère » est particulièrement flou et tordu, et c'est hélas bien son but : « pour l'instant, vous avez le droit de faire ce que vous voulez, et on viendra vérifier plus tard, si on a le temps, que vous n'ayez pas trop dépassé les bornes ».

Heureusement, les CNIL européennes (réunies au sein de « groupe de l'article 29 ») ont pris position, dès 2014, pour affirmer que l'analyse comportementale à des fins de ciblage publicitaire ne devraient pas pouvoir constituer un tel « intérêt légitime », et ne devrait donc être autorisée qu'avec notre consentement (voir son avis 06/2014, p. 45). C'est un des arguments que nous opposons notamment à Google dans nos plaintes collectives - car celui-ci ose bel et bien invoquer son « intérêt légitime » pour justifier la surveillance de masse dont il tire sa fortune.

Une arme puissante

Mais alors, si le RGPD apporte si peu de nouveautés, pourquoi y trouverions-nous l'espoir de changements majeurs ? Son principal effet, en vérité, n'est pas tant d'avoir modifié le droit que d'en permettre enfin l'application.

En théorie, depuis longtemps, le droit des données personnelles pourrait être une arme puissante pour nous protéger : l'analyse comportementale n'est possible qu'avec notre consentement (qui doit désormais être explicite) et, surtout, ce consentement doit être libre.

Insistons encore une fois sur la notion de consentement libre, qui est au cœur de nos plaintes collectives. C'est bien là que se trouve le germe du changement à venir : le droit des données personnelles prévoit, depuis plusieurs années (voir dernièrement la décision rendue en France par la CNIL sur Whatsapp, fin 2017) que notre consentement n'est pas valide s'il est une condition pour accéder à un service. Le consentement n'est pas « libre » s'il est donné sous la menace de subir une conséquence négative. Il n'est pas valide s'il est assimilé à la contrepartie d'un contrat, à un prix.

Ce principe est simple à comprendre : céder ses données, c'est renoncer à son droit fondamental à la protection de la vie privée, à la liberté de conscience, à l'intégrité. Or, heureusement, nos principes démocratiques s'opposent à la marchandisation de nos libertés fondamentales (sans quoi la moindre « égalité des droits » ne bénéficierait qu'à ceux pouvant se l'acheter).

Pour résumer, depuis plusieurs années, les modèles économiques de Facebook ou Google n'ont, juridiquement, aucune raison d'exister : ils se financent grâce à une analyse comportementale de masse à des fins publicitaire. Or cette analyse n'est possible qu'avec notre consentement. Nous devrions donc pouvoir accéder à leur service tout en refusant de donner ce consentement : mais si nous avions véritablement cette possibilité, la très grande majorité d'entre nous refuserait cette surveillance.

Leur modèle est illégal et juridiquement absurde depuis longtemps. Le seul problème, en vérité, c'est que personne n'avait le pouvoir, ou la volonté, de les arrêter. C'est cela, et surtout cela, qui a changé ce matin.

Alors que, en France par exemple, jusqu'en 2016, la CNIL ne pouvait prononcer des sanctions qu'à hauteur de 150 000 €, ce qui était inutile contre Google ou Facebook (qui ont d'ailleurs bien été condamnés à payer cette somme), le montant de l'amende pourra désormais atteindre 4 % de leur chiffre d'affaire mondial. Et, au cas où les CNIL manqueraient de la volonté pour ce faire, les plaintes collectives sont maintenant là pour, enfin, rendre la population actrice de ce processus : si les CNIL, saisies par des milliers de personnes sur une même plainte, n'agissent pas, elles perdront toute légitimité.

Nous pouvons enfin oublier notre sentiment de « à quoi bon lutter contre ces géants ? ». Si cette amertume était entièrement justifiée hier, elle ne l'est plus aujourd'hui. Pour eux, la fête est finie. Elle commence pour nous.

Retour à l'Internet des origines

Le RGPD laisse l'espoir de voir enfin le droit protéger nos données contre des géants qui, y trouvant leur fortune, ont entièrement remodelé Internet.

Internet, dans ses principes fondamentaux, repose sur la décentralisation : la puissance de calcul, le stockage et l'usage de bande passante sont répartis sur un nombre infini de points du réseaux (nos ordinateurs et téléphones ainsi qu'une multitude de serveurs) dont l'interconnexion et le travail collectif ne dépendent d'aucune autorité centrale. C'est ce qui lui permet d'être si résilient, de voir constamment apparaître de nouvelles structures et de nouveaux usages, dont chacune et chacun peut être l'acteur, et ainsi d'offrir une alternative libre et vivante à notre monde physique, si bordé et normé qu'il est par des organisations aussi centralisées que rigides, incapables de s'adapter et de répondre aux préoccupations de la population.

C'est cet idéal des origines qui a conduit à l'essor d'Internet, pendant que le Minitel français, hyper centralisé, connaissait le cuisant échec dont nous nous réjouissons encore. Et pourtant, sur ce même Internet, nous avons vu apparaître Facebook, Youtube, Instagram ou Twitter, qui ne sont rien d'autre que de nouveaux Minitels (pour une comparaison utile, on peut revoir la conférence « Minitel 2.0 » dans laquelle Benjamin Bayart défendait la neutralité du Net - que nous avons d'ailleurs fini par obtenir, ici encore !) .

Sur ces nouveaux Minitels, nos relations, nos créations et nos débats sont entièrement régulés par des autorités centrales, selon leurs propres critères qui, chaque fois et afin d’accroître leurs recettes publicitaires, distordent entièrement l'espace public. Symptômes chroniques des effets de cette centralisation, celle-ci conduit à la sur-diffusion de vidéo anxiogènes et polémiques (voir notre analyse sur Google), de fakenews et de débats caricaturaux, stériles (voir notre analyse sur les fakenews). À l'opposé, sur des réseaux décentralisés, de tels contenus ne sont pas mis en avant et, surtout, ne nuisent pas à l'ensemble des internautes, puisque ceux-ci choisissent librement avec qui communiquer et selon quelles règles, en fonction du nœud où ils ont choisit de s'installer sur le réseau.

Comment en est-on arrivé à cette hyper-centralisation de l'Internet ? Il suffit de regarder la source des revenus de ces nouveaux Minitels pour comprendre que l'analyse comportementale à des fins publicitaires a été décisive dans leur essort. Or, ce levier économique, la source financière de cette centralisation, on l'a dit, est aujourd'hui obsolète. À court terme, quand le droit sera enfin appliqué, on voit mal comment Facebook, typiquement, pourra continuer de fournir son service « gratuitement » (sans publicité ciblée) et comment il pourra donc survivre. C'est donc le modèle-même de cette centralisation qui est aujourd'hui remis en cause puisque, historiquement, celle-ci n'a été possible qu'au moyen de pratiques qui ne seront plus possibles.

Évidement, on soulignera que le capitalisme, comme toujours, s'adaptera, et que la centralisation trouvera des nouvelles façons de se financer. Mais force est de constater que ces rebondissements tardent ici à se faire connaître alors que nous, en face, avons déjà notre modèle. Jusqu'à nouvel ordre, c'est donc celui qui primera.

Bref, nous avons déjà gagné.

21 mai 2018 - Depuis plus d'un mois, nous vous invitons à rejoindre les 12 plaintes collectives contre les services des GAFAM. Aujourd'hui, nous vous proposons de rédiger ces plaintes avec nous. Pour laisser le temps aux retardataires de nous rejoindre, nous déposerons la plainte le lundi suivant l'entrée en application du RGPD : le 28 mai.

Les plaintes se concentrent volontairement sur une poignée d'arguments ciblés autour des notions de consentement et de surveillance économique. Le projet de plainte que nous publions aujourd'hui reflète ce cadrage : les arguments sont précis et assez courts. De quoi inciter à participer celles et ceux pour qui les nouages juridiques aussi complexes que rigolos ne sont pas un passe-temps relaxant !

Que vous passiez relire l'orthographe et la grammaire, que vous proposiez des reformulations de style ou bien carrément de nouvelles sources ou arguments juridiques, votre participation sera grave la bienvenue ! Votre participation sera aussi une occasion de plus de rendre ces plaintes pleinement « collectives », d'un bout à l'autre !

Venez sur notre pad de rédaction des plaintes.

Merci de faire tout ça avec nous ! <3