Paris, le 3 mai 2016 — La Quadrature du Net publie ici une tribune de Laurent Chemla, membre du Comité d'Orientation Stratégique de La Quadrature du Net.

En ces temps où la peur semble partout gouverner, où l'État nous incite à nous méfier de tous, où la menace terroriste est prégnante et où « nous sommes en guerre », le mot d'ordre est désormais : « sécurité ».

Le monde numérique ne saurait y échapper.

Qu'il s'agisse de nous protéger du « méchant pirate chinois » qui pénètre nos entreprises pour voler leurs brevets, du hacker fantasmé portant hoodie (et lunettes noires) quand il utilise son PC pour nous inonder de ransomwares ou des GAFAM qui nous espionnent pour le compte de la NSA... à en croire les médias, tout comme notre quotidien déconnecté, notre vie en ligne semble chaque jour plus dangereuse.

Évidemment il ne faut pas exagérer la menace. De la même manière que certains hommes politiques ont intérêt à exacerber le sentiment d'insécurité pour obtenir des voix en faveur d'une offre politique de fermeté, les marchands de peur exercent aussi leur art dans le numérique. Dans nos sociétés en crise existentielle, le FUD est vendeur, mais il exagère la menace pour mieux nous convaincre d'acheter.

À n'entendre que le discours des vendeurs, on finirait par croire qu'il est impossible d'utiliser un ordinateur dépourvu des protections logicielles qu'ils proposent, au risque sinon de mettre en danger nos entreprises, nos photos, nos correspondances privées et nos comptes en banque... et on aurait raison d'y croire: tout ceci est vrai, y compris en utilisant ces outils.

N'importe quel expert vous le dira: en informatique, la protection totale est totalement illusoire. Non que les divers antivirus, firewalls et autres outils de chiffrement soient inutiles : ils sont indispensables. Mais leur portée est nécessairement limitée, d'abord parce qu'ils auront toujours un temps de retard face à des attaques toujours plus perfectionnées, mais aussi, surtout, par le facteur humain.

Tant que nous ouvrirons sans y faire attention n'importe quel fichier attaché, tant que nous refuserons d'appliquer les mesures de sécurité les plus strictes au motif étonnant qu'elles empêchent toute liberté d'action, bref, tant que nous nous comporterons en humains, alors nous aurons des failles qui, un jour où l'autre, seront utilisées.

Le même parallèle reste efficace : tout comme la seule société totalement sûre est un régime policier à l'écart total du reste du monde, le seul ordinateur vraiment à l'abri des intrusions est celui qui n'accepte aucune modification et n'est jamais connecté à Internet.

Dans les deux cas, ces modèles n'ont qu'une très courte espérance de vie, et dans les deux cas la promesse de sécurité implique la fin de toute liberté.

Pour autant, et parce que nos failles sont humaines, nous pouvons aussi apprendre quelques simples mesures de prophylaxie pour limiter les dégâts en cas d'intrusion.

Apprendre à distinguer ce qui relève de la correspondance privée de ce qui relève de la communication publique, par exemple, permet de limiter la première aux outils les plus sécurisés (email, chat sécurisé...) tandis que la seconde pourra s'exercer sans limite sur les réseaux sociaux. Apprendre aussi que notre vie privée dépend tout autant de la sécurité de ceux avec qui nous échangeons que de la notre, et en tenir compte dans nos échanges, limiterait déjà largement les fuites. Apprendre encore la valeur fondamentale de notre vie privée, que nous oublions trop facilement, serait déjà une motivation puissante à faire les quelques efforts nécessaires pour mieux la garantir.

Sans parler des mesures plus techniques, qui ne sont pas l'objet de cet article.

Mais aussi, peut-être surtout, au delà d'une prophylaxie certes nécessaire mais toujours insuffisante pour une totale immunité, nous pouvons apprendre à augmenter la résilience de nos infrastructures informatiques, de manière à retrouver au plus vite un fonctionnement normal après une attaque. Les sauvegardes sur unités externes (et qui ne seront jamais toutes stockées au même endroit), par exemple, constituent souvent une charge de travail qui nous semble inutile, jusqu'au jour où un méchant aura chiffré tous nos documents sans espoir de les retrouver (à moins de payer la rançon demandée).

Bref.

Face au discours combiné de nos élites commerciales et politiques, vendeuses d'insécurité et de fausses promesses, face aux gros titres tapageurs de médias en mal de lectorat et qui tous nous abreuvent de DarkNet, de réseaux pédophiles, de pirates et de terroristes amateurs de chiffrement, il est difficile de rester raisonnable. Notre gouvernement lui-même semble y perdre la raison, en faisant voter des lois impliquant la surveillance de tous pour nous prémunir de quelques-uns, en imaginant pouvoir inventer des « algorithmes » capables de reconnaître un terroriste grâce à ses actions en ligne, ou en souhaitant déchoir ceux qu'il n'aura pas repérés. C'est tout aussi illusoire et dangereux que d'imposer un firewall qui demandera confirmation avant d'ouvrir chaque document, d'imaginer qu'un antivirus saura reconnaître toutes les menaces, et d'interdire l'utilisation de tel ou tel logiciel responsable de la dernière faille. Là encore, c'est étonnant, le parallèle est fonctionnel.

Dans un monde où, bien sûr, la menace est réelle, mais où elle sert trop souvent de justification pour faire accepter des mesures démesurées, inutiles ou même plus dangereuses encore que ce contre quoi elles affirment lutter, la raison est pourtant notre seule arme vraiment efficace. Il est difficile, c'est vrai, de prendre du recul quand on vit dans la peur. C'est pourtant nécessaire. Indispensable.

Face à des dangers bien réels, nous n'avons d'autre choix que de (ré)apprendre à vivre dans une relative insécurité.

Savoir que nous subirons des attaques (qu'elles soient terroristes ou informatiques), l'accepter, faire en sorte qu'elles soient le moins violentes possible et prévoir les moyens de réparer leurs dégâts, sans pour autant perdre en route la raison-même de notre organisation (sociale ou technique), c'est tout l'enjeu du débat.

Nous ne gagnerons pas cette guerre : elle est inscrite au plus profond de nos codes informatiques et sociaux.

Mais nous pouvons vivre avec.

Paris, le 2 mai 2016 — Dans une lettre collective, 73 organisations de plus de 31 pays des cinq continents, appellent les régulateurs européens des télécommunications à soutenir la neutralité du Net dans leurs négociations en cours concernant le futur d'Internet.

Après deux ans de travail, l'Union européenne a adopté un règlement sur la neutralité du Net qui laisse un bon nombre de questions essentielles sujettes à interprétation. Le Marché Unique des Télécoms a été adopté en octobre 2015 en seconde lecture par le Parlement européen.

L'organe des régulateurs européens des communications électroniques (ORECE, ou BEREC selon l'acronyme anglais) et les 28 régulateurs nationaux - l'ARCEP en France - négocient actuellement les lignes directrices qui devront clarifier l'ambigu règlement sur la neutralité du Net. Les régulateurs ont jusqu'à août 2016 pour publier leurs lignes directrices finales et ouvriront une consultation publique entre juin et juillet 2016.

Ce sont les dernières étapes du combat européen pour la neutralité du Net. Que le zéro-rating, le DPI (Deep Packet Inspection), et la priorisation payante soient autorisés pour un demi-milliard de personnes dépend des lignes directrices qui seront publiées fin août. L'Union européenne peut soit se conformer à la tendance mondiale en mettant en place des garde-fous solides, soit créer un dangereux précédent.

« Il est important que les lignes directrices du BEREC posent les bases d'un internet neutre et ouvert pour les prochaines années, seul moyen de garantir véritablement les libertés fondamentales » déclare Agnès de Cornulier, coordinatrice de l'analyse juridique à La Quadrature du Net.

La lettre, signée par 73 ONG, appelle les régulateurs des télécoms à considérer le fait que :

• les dits « services spécialisés », risquent de devenir des voies privilégiées payantes, qui contournent tous les garde-fous protégeant la neutralité du Net. Ils doivent être précisément définis pour ne couvrir que les services qui ne seraient pas techniquement possibles avec une stricte neutralité du Net ;
• il faut interpréter le règlement en bannissant le zero-rating spécifique aux applications : c'est une pratique dangereuse, qui restreint le choix du consommateur, favorise les accès à bas-débits moins onéreux et porte atteinte à la concurrence ;
• la gestion du trafic doit être aussi minimale que possible. Si les opérateurs décident de prioriser des paquets plutôt que d'autres, il y a un risque de discriminer certains services, dont le trafic chiffré, réduisant les possibilités de choix des utilisateurs.

Le texte du règlement laisse une grande marge d'interprétation sur la possibilité de mettre en œuvre ou non les trafics privilégiés payants, le zero-rating, ou la gestion de trafic intrusive en terme de vie privée, comme le DPI. Fondamentalement, le législateur a botté en touche, et laisse maintenant les membres non élus de l'organe de régulation décider du futur d'Internet en Europe. Il est indispensable de ne pas relâcher la pression sur les régulateurs des télécoms, afin que les intérêts des internautes européens soient préservés malgré les défauts majeurs de ce processus. Outre cet avertissement public, La Quadrature du Net et les organisations signataires de cette lettre invitent les internautes à rapporter les cas observés de violation de la neutralité du Net sur le site respectmynet.eu, et à participer à la consultation publique proposée par le site savetheinternet.eu, afin de pallier les insuffisances du Règlement européen et éclairer les régulateurs.

Lire la lettre des 73 organisations, adressée au BEREC.
Voir l'analyse d'EDRI (en anglais).

Paris, le 14 avril 2016 — Le Parlement européen a adopté aujourd'hui trois textes sur les données personnelles : le règlement encadrant le traitement des données personnelles par les entreprises, la directive encadrant le traitement judiciaire et policier des données à caractère personnel, et enfin le PNR (Passenger Name Record) visant à la création de fichiers nationaux regroupant de nombreuses données de toutes les personnes voyageant depuis l'UE ou vers l'UE, y compris les vols internes. Ces textes présentent de nombreuses failles fragilisant le droit au respect de la vie privée. Face à l'incapacité des institutions à mettre en place des textes réellement protecteurs pour les internautes, il reste à chacun à apprendre à se protéger et à contrôler lui-même ses données personnelles et sa vie privée sur Internet.

Le premier des trois textes est le règlement sur la protection des données à caractère personnel. Ce règlement va encadrer l'utilisation par les entreprises des données à caractère personnel. S'il présente un certain nombre d'avancées par rapport à la situation existante, ce règlement ne permettra pas de protéger complètement les individus contre les utilisations des données qui pourront être faites par les entreprises et les États, comme nous l'avons dénoncé depuis de nombreux mois.

Le second est la directive qui accompagne le règlement. Celle-ci encadre l'utilisation des données personnelles par les services de police et la justice dans les États membres. Cette directive a peu fait parler d'elle tant l'enjeu des négociations du règlement était important. Pourtant, son champ d'application est extrêmement large1, ce qui pose la question du fichage institutionnel auquel ont recours les États. Notre inquiétude est élevée quant aux modalités de contrôle des différentes transpositions nationales de cette directive, qui seront difficiles à l'échelle de l'Europe, et quasiment impossibles à l'international2.

Le troisième texte adopté est la directive relative « à l'utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière », ou PNR. Chacun des États membres devra mettre en place un fichier comportant l'ensemble des données des passagers des vols depuis ou vers l'Union européenne, ainsi qu'au sein de l'UE. Or la directive ne précise pas suffisamment les règles d'accès aux fichiers, ainsi que les modalités d'échange de données entre les pays de l'UE. Les déclarations d'intention de respect des droits fondamentaux pourraient donc bien rester lettre morte. La pression de la France pour faire voter ce texte comme outil de lutte contre le terrorisme masque les profondes imperfections qu'il comporte non seulement en matière de protection des citoyens, mais également - et c'est un comble - en efficacité réelle pour le suivi des individus suspects.

Ces trois textes votés aujourd'hui par le Parlement européen après des négociations longues et parfois houleuses ne protègent pas suffisamment les données personnelles et les droits fondamentaux. Il est plus qu'urgent d'apprendre à reprendre le contrôle de ses données. Bloqueurs de publicités, destruction des cookies, chiffrement et utilisation de Tor sont autant de moyens de retrouver un peu d'intimité sur Internet. Des outils existent pour aider chacun à protéger sa vie privée, comme le site Contrôle tes données. La Quadrature du Net engage chacun à s'engager dès à présent dans une sécurisation et une reprise en main de ses données personnelles, action essentielle pour protéger notre droit à la vie privée, à la liberté d'expression et d'information.

• 1. Couvrant notamment les manifestations, les événements sportifs et les émeutes, considérant 11 (bis)
• 2. Analyse publiée sous peu

Paris, le 13 avril 2016 — La Commission européenne a lancé le 23 mars une consultation sur « le rôle des éditeurs dans la chaîne de valeur du droit d’auteur et sur l’exception Panorama ». Si elle montre la volonté de la Commission de légiférer sur ces exceptions au droit d'auteur, cette consultation reste très en deçà des recommandations faites par le Parlement européen suite au vote sur le rapport Reda. Pire, les questions sont orientées en faveur de la création d'un nouveau droit voisin pour les éditeurs, au détriment des auteurs et des utilisateurs, qui avait été explicitement écartée par le Parlement.

La consultation porte d'une part sur l'opportunité de créer un nouveau droit voisin pour les éditeurs, et d'autre part sur celle d'évaluer l'intérêt d'apporter des modifications à l'exception au droit d'auteur pour la liberté de panorama, figurant déjà dans la directive de 2009.

Les expériences de création d'un droit voisin pour les éditeurs, tentées dans plusieurs pays européens 1, montrent qu'il s'agit d'une mesure inefficace pour la protection des producteurs de contenus :

• Au contraire, un nouveau droit voisin déséquilibrerait encore plus le rapport entre les éditeurs et les auteurs au profit des éditeurs, rendant d'autant plus difficile pour les auteurs la possibilité de faire valoir leurs droits ;
• L'ajout d'un nouveau droit voisin serait répercuté soit sur le prix de vente final au détriment des consommateurs, soit sur une diminution des droits versés aux auteurs ;
• Les répercussions sur les usages pédagogiques et la recherche pourraient être très négatives ;
• La création d'un droit voisin sur les contenus de presse pourrait aussi fortement entraver le développement de petits acteurs (agrégateurs, moteurs de recherche, services de veille), au profit des services actuellement en situation de position dominante comme Google News ;
• L'introduction de nouveaux droits voisins au profit des éditeurs pourrait contribuer à fragiliser des usages comme les liens hypertextes ou la citation, qui constituent pourtant les « briques de base » du fonctionnement d'Internet.

En s'engageant dans la création d'un droit voisin pour les éditeurs, la Commission européenne pourrait affaiblir encore plus le statut des auteurs et rendre encore plus inéquitable un système déjà bancal. En outre, ce nouveau droit entraînerait des entraves à la liberté d'accéder à l'information ou à la liberté d'expression.

L'exception de panorama étudiée dans la seconde partie de la consultation est une exception au droit d'auteur qui permet à tous de photographier des bâtiments encore soumis au droit d'auteur pour une utilisation commerciale ou non. Refuser cette exception au droit d'auteur implique que chacun sache si les bâtiments photographiés font l'objet d'un droit d'auteur, condition très complexe à satisfaire pour la très large majorité des bâtiments. Les questions posées par la Commission laissent entendre qu'elle pourrait vouloir limiter l'application de l'exception aux usages non-commerciaux. Cela constituerait une régression par rapport aux nombreux pays de l'Union européenne qui admettent que l'usage commercial soit couvert par l'exception de panorama. La liberté de panorama n'est réellement opératoire que si elle couvre aussi les usages commerciaux, étant donné que dans l'environnement numérique, la frontière entre utilisation commerciale et non commerciale est souvent floue. C'est aussi une condition indispensable pour que les images puissent être partagées sous licence libre.

L'établissement d'une exception de panorama dans toute l'UE autorisant les usages commerciaux constituerait une avancée importante permettant d'améliorer la sécurité juridique et la réappropriation de l'espace public. La question est d'ailleurs examinée en ce moment au Sénat dans le cadre de la loi numérique, avec hélas des restrictions qui font craindre que l'exception, si elle est votée, demeurera inutilisable, hormis quelques cas limités.

La Quadrature du Net publie ses réponses à la consultation et invite le plus grand nombre à répondre avant le 15 juin 2016.

• 1. Espagne et Allemagne notamment

Paris, le 12 avril 2016 — La Quadrature du Net s'associe à la campagne menée par CorporateEurope et de nombreuses organisations contre la directive sur le secret des affaires qui sera votée jeudi 14 avril au Parlement européen : dangereuse pour les lanceurs d'alerte, les journalistes, les scientifiques ou les citoyens, elle crée un droit excessif au secret pour les entreprises.

Mossack Fonseca, le cabinet d’avocats panaméen au centre du scandale et dont proviennent les Panama Papers, a répondu aux requêtes des journalistes en concluant avec une mise en garde explicite :

« Il semble que vous ayez eu accès de façon non autorisée à des documents et des informations appartenant à notre entreprise et les ayez présentés et interprétés hors de leur contexte. Nous ne doutons pas que vous sachiez parfaitement qu’utiliser des informations ou de la documentation obtenus illégalement est un crime, et nous n’hésiterons pas à utiliser tous les recours pénaux et civils disponibles1. »

Le projet de Directive UE sur la « protection des secrets d’affaires »2, sur lequel le Parlement Européen se prononcera en séance plénière à Strasbourg le 14 avril prochain, se propose justement de donner à de telles entreprises des moyens juridiques supplémentaires pour poursuivre des journalistes ou des entreprises de presse publiant sans leur consentement des documents et des informations internes.

Ce texte crée un droit au secret pour les entreprises qui est excessif : il menace directement le travail des journalistes et de leurs sources, les lanceurs d’alerte, les syndicalistes, la liberté d’expression des salariés et nos droits d’accéder à des informations d’intérêt public (par exemple sur les médicaments, les pesticides, les émissions des véhicules, etc.).

Une coalition européenne d’associations, de syndicats, de journalistes, de lanceurs d’alerte et de scientifiques (liste à la fin du Communiqué) demande aux membres du Parlement Européen de rejeter ce texte et de demander à la Commission Européenne d’en proposer une version conforme avec les exigences de transparence3. Une pétition européenne a également été lancée et compte plus de 72.000 signatures après seulement quelques jours4.

La définition du secret des affaires prévue par la directive est tellement large que presque toutes les informations internes d’une société peuvent y correspondre. Cela mettra en danger toute personne qui révèle ces informations sans le consentement de l’entreprise.

Pour Patrick Kamenka, du syndicat de journalistes français SNJ-CGT, « les citoyens, les journalistes ou encore les scientifiques ont parfois besoin d’avoir accès à ces informations et de les publier dans l’intérêt général. Ils risqueraient alors, comme Antoine Deltour et Edouard Perrin dans l’affaire LuxLeaks, des poursuites judiciaires pouvant se conclure par des peines de prison et des amendes de plusieurs centaines de milliers d’euros. C’est une manière très efficace d’empêcher les gens de dénoncer des cas de mauvaise conduite des entreprises. Quel rédacteur en chef peut se permettre de risquer la banqueroute de son journal ? »

Et ce n’est pas tout. Si la directive est approuvée au niveau européen, les États membres pourront encore aller plus loin quand ils l’adapteront à leurs droits nationaux, et on peut compter sur les multinationales pour les pousser en ce sens.

Pour Martin Pigeon, de Corporate Europe Observatory, « cette bataille ne sera pas facile : les multinationales mènent un lobbying acharné depuis des années pour obtenir cette directive et ont lourdement influencé la rédaction du texte, mais le grand public n’en sait presque rien. Il n’est aujourd’hui malheureusement plus possible, politiquement, d’amender le texte. Nous devons donc demander aujourd’hui aux députés européens de le rejeter en bloc, mais sans mobilisation des citoyens nous n’arriverons à rien. »

Pour Françoise Dumont, présidente de la Ligue des Droits de l’Homme, « le président Hollande vient de remercier les lanceurs d’alerte et la presse pour leur travail sur les Panama Papers et les rentrées fiscales qu’elles vont permettre. Pourrait-il soutenir publiquement Antoine Deltour (Luxleaks) et exiger que ce texte dangereux pour les lanceurs d’alerte et la presse soit retiré ? »

Appelons les députés européens pour refuser cette directive sur le secret des affaires !

Liste des membres de la coalition européenne

• Anticor
• ATTAC Spain
• ATTAC France
• Association Européenne pour la Défense des droits de l'Homme
• Centre national de coopération au développement, CNCD-11.11.11
• Correctiv.org, Germany
• BUKO Pharma-Kampagne
• CCFD-Terre Solidaire
• CGT Cadres, Ingénieurs, Techniciens (UGICT-CGT)
• Collectif Europe et Médicament
• Collectif de journalistes “Informer n'est pas un délit”
• Comité de soutien à Antoine Deltour
• Commons Network
• Corporate Europe Observatory
• Courage Foundation
• Ecologistas en Acción
• EcoNexus
• European Network of Scientists for Social and Environmental Responsibility (ENSSER)
• Fédération Syndicale Unitaire (FSU)
• Fondation Sciences Citoyennes
• Force Ouvrière-Cadres
• Genewatch
• GMWatch
• Health and Trade Network
• Inf'OGM
• Institut Veblen
• International Society of Drug Bulletins
• La Quadrature du Net
• Les économistes atterrés
• Ligue des Droits de l'Homme
• Observatoire Citoyen pour la Transparence Financière Internationale (OCTFI)
• OGM Dangers
• Peuples Solidaires
• Nordic Cochrane Centre
• Pesticides Action Network Europe (PAN-Europe)
• Plateforme Paradis Fiscaux et Judiciaires
• Public Concern At Work
• Solidaires
• SumOfUs
• Syndicat des Avocats de France (SAF)
• Syndicat National des Chercheurs Scientifiques (SNCS – FSU)
• Syndicat National des Journalistes (SNJ)
• Syndicat National des Journalistes CGT (SNJ-CGT)
• Syndicat de la Magistrature
• Tax Justice Network
• Transparency International France
• WeMove.eu
• Whistleblower-Netzwerk e.V., Germany
• Xnet

• 1. https://www.irishtimes.com/business/retail-and-services/panama-papers-mossack-fonseca-responds-to-leak-1.2597622
• 2. Cette directive est officiellement appelée « Directive sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites ».
• 3. Voir http://corporateeurope.org/power-lobbies/2016/03/trade-secrets-protection
• 4. Voir https://act.wemove.eu/campaigns/les-lanceurs-d-alerte-en-danger