Des gestes simples et quelques conseils semblent désormais essentiels pour tenter d’atténuer le profilage croissant des individus, révélé par l’affaire de la NSA. En attendant que les politiques y comprennent quelque chose.
Ce que nous soupçonnions depuis des années se passe désormais sous nos yeux : services secrets et géants du web, profitant de notre ignorance numérique, sont en train de mettre en place une société de surveillance qui menace la liberté d’expression, la vie privée et fragilise le pacte social.
Même si le Brésil a montré l’exemple cette semaine fixant dans la loi des règles de bonne conduite (droits et devoirs des usagers, des entreprises et des gouvernants), les protections judiciaires, constitutionnelles, sont ignorées ou n’existent pas. Des deux côtés de l’Atlantique, les parlementaires, le plus souvent béotiens, sont induits en erreur par de puissants lobbys publics (au nom de la sécurité) et privés (au nom de l'innovation). Ailleurs (Chine, Russie…), des régimes autoritaires accentuent la pression pour fermer le réseau, le transformant en intranet national.
Le profilage des individus, sur la base des données personnelles collectées, se développe rapidement, enrichi d’une profondeur inédite de connaissances précises sur nos comportements, notre personnalité et notre passé. Demain d’autres technos seront utilisées pour surveiller : des drones par exemple.
« Cela créé un risque (pour les libertés) qui n’existait pas jusqu’ici », a résumé Joe McNamee, directeur de l’EDRI (Association de 32 organisations des droits numériques en Europe), mi-mars à Austin lors festival South by SouthWest au Texas.
Le public ne sait pas
Les différences nationales de perception du problème sont importantes. Car si les Allemands, encore traumatisés par deux récents régimes totalitaires, sont hypersensibles à cette question, Britanniques et Irlandais, qui ont des caméras partout, s’en moquent, tandis que les Américains disent que puisqu’ils n’ont rien à se reprocher…
Mais s’ils s’en fichent, encore faudrait-il qu’ils sachent.
Or, le public ne sait ni quelles données sont collectées, ni ce qui en est fait. Les règles du jeu ne sont ni comprises, ni connues.
Les géants du web veulent tout !
Le beurre et l’argent du beurre ! Ils poussent des cris d’orfraies quand la NSA visite leurs serveurs et Zuckerberg téléphone même à Obama pour réclamer plus de transparence.
Mais tous se battent comme des chiens - avec l’aide efficace de l’administration US - pour empêcher toute modification législative favorisant plus de visibilité sur les données personnelles en Europe, qui n’est toujours pas parvenue à actualiser ses législations à la hauteur des enjeux. Les pays européens aujourd’hui s’en moquent. Chacun tente de maintenir les serveurs et les données chez lui pour mieux pouvoir les réclamer et donc les contrôler
Les telcos, contrairement à Google, Facebook et autres sociétés de l’Internet, sont restés silencieux et ont parfois même été au delà des demandes des services spéciaux.
Mais, au moins, au nom de la protection de la vie privée, la Cour Européenne de Justice vient ainsi d’invalider la directive européenne de stockage des données par les opérateurs de télécommunications qui devaient jusqu’ici garder nos emails, positions géographiques et autres infos pendant deux ans.
« La vérité, c’est que pendant 17 ans, nous avons tous agi sans rien dire en nous camouflant. Il est temps de dire au public ce qui se passe et lui proposer une meilleure expérience en ligne», reconnaît à Austin, MeMe Jacobs Rasmussen, juriste et responsable de la protection des données chez Adobe.
Quelles solutions ?
« Il faut adopter une bonne hygiène des données », recommande Denelle Dixon-Thayer, vice-présidente et juriste de Mozilla pour reprendre le contrôle de nos données. « Et ne pas attendre des directives officielles, car pour l’instant les gouvernements et les parlementaires n’y comprennent rien ».
Cette bonne hygiène passe, pour elle, surtout par des exigences sur la transparence, sur la nature et sur l’utilisation des données collectées, la durée et la répartition géographique de leurs stockages et le recours au chiffrement et à l’open source.
Et surtout par contraindre les géants du web à arrêter de prendre par surprise le consommateur.
«C’est simple : qu’ils disent ce qu’ils font et fassent ce qu’ils disent », résume la juriste d’Adobe.
« Pas si facile, répondent-ils ! Vous allez tuer l’innovation et si nous étions aussi transparents, le public serait effrayé et n’utiliserait plus nos services ! » Ce n’est toutefois pas un hasard, si ces géants en Europe sont quasi tous installés en Irlande, pays où les lois sur la protection de la vie privée sont les plus faibles.
Comment contrôler vos données quand vous avez refusé à Facebook votre numéro de téléphone mais qu’il le trouve dans la synchronisation des carnets d’adresses de vos amis ?
Facebook est en train de changer une nouvelle fois ses conditions, Yahoo va chiffrer davantage, comme Google, Microsoft dit que Bruxelles lui a donné sa bénédiction, et assure qu’elle va arrêter de lire nos emails.
Il faut aussi exigerqu’ils ne fassent pas tout pour rendre difficile l’utilisation des outils de protection de notre vie privée.
Exiger d’eux, d’une manière plus générale, qu’ils rendent la responsabilité et le contrôle des données à leurs émetteurs, c’est-à-dire au public. Lui redonner du libre arbitre avec des droits associés.
En somme, le droit d’obtenir les réponses aux 5 questions suivantes :
- Quelles donnés sont collectées ?
- Avec qui sont-elles partagées ?
- Quels usages en sont faits ?
- Où sont-elles stockées ?
- Pour combien de temps ?
Mais aussi, si possible, le droit d’autoriser ou non le profiling, l’utilisation des données et leur croissement, de désactiver à volonté des autorisations données, d’empêcher le déplacement géographique des données, de ne pas se retrouver dans des clusters sans les connaître, de supprimer ses traces, d’effacer les liens entre les données et les personnes, de les « anonymiser ».
Le droit également à des Conditions Générales d’Utilisation (CGU) simples, lisibles, compréhensibles et non plus abusives ! Pour cela, faire travailler enfin ensemble les juristes avec les équipes marketing !
« Nous pensions que les droits fondamentaux s’appliqueraient au web (…) Mais il est aujourd’hui très menacé (…) L’heure n’est-elle pas à une déclaration universelle de l’Internet et des droits numériques ? », interrogeait aussi à Austin, Tim Berners-Lee, l’inventeur du web, il y a 25 ans. « Certains pays y réfléchissent, dont la France ».
L’administration Obama vient d’exiger de la NSA qu’elle mette fin à la collecte des méta-données (elles permettent le vrai profilage des individus) et qu’elle limite le stockage des données à 18 mois au lieu de 5 ans.
« En tout cas, il ne faut pas changer d’Internet ! Il faut faire pression sur les gouvernements », ajoute Berners-Lee. « Et faites, comme moi, commencez par utiliser le logiciel de chiffrement d’email PGP ».
Faciliter le chiffrement
Des techniques d’encryption partielle existent déjà, selon le MIT. Elles permettent de traiter des couches de données et de ne pas toucher à d’autres.
« Il faut recourir au chiffrement de bout en bout », assure Elizabeth Stark, experte en informatique et prof à Yale et Stanford. « Ce n’est pas impossible à craquer, mais c’est plus dur ! (…) et surtout il faut faciliter le chiffrement pour les citoyens, car pour l’instant un diplômé du MIT met encore une demi-heure à mettre en place le chiffrement sur un email ! ».
Via téléconférence de Russie, Edward Snowden a suggéré des pistes à Austin :
- le chiffrement total du disque dur (via l’outil open source TrueCrypt par exemple)
- le chiffrement du réseau par le navigateur (SSL)
- l’utilisation du réseau Tor, multiples tunnels virtuels via de multiples routeurs.
Prise de conscience des codeurs ?
La solution passe aussi par l’éducation des développeurs et des jeunes entrepreneurs de start-ups sur les risques liés à une utilisation déviante des données personnelles.
Mozilla souhaite aussi que la communauté des développeurs informatiques contribue à cet effort d’hygiène via l’open source et les techniques de chiffrement.
Les projets SOPA/PIPA (piratage, copyrights) ont bien été stoppés il y a deux ans par la communauté geek. Pourquoi pas de mobilisation contre la surveillance ?
Cette fois il n’y ni deadline, ni rien de concret contre quoi se battre. « C’est une éponge et personne ne décide rien», déplore Joe McNamee, de l’EDRI. « On ne sait même pas bien quelles lois ont été violées en Europe ».
L’essor récent des applis et services anonymes
Depuis quelques mois fleurissent donc aux USA, des réseaux sociaux et applis de communication permettant l’anonymat des utilisateurs, à l’instar de Secret, Whisper, PostSecret, Lulu, bien financées et parfois utilisées par des journalistes.
Une autre appli connaît aussi un beau succès : la canadienne Truth, qui, comme Rumr, ne donne pas le nom de l’expéditeur de texto.
D’où aussi le succès de la messagerie SnapChat qui dit effacer les contenus envoyés au bout de quelques secondes.
Mais ces applis sont contestées aussi sur le web en raison d’excès de troll.
C’est aussi ce qui a poussé une équipe de Stanford à lancer un réseau social « Omlet » qui laisse l’utilisateur choisir la manière et le lieu où ses données sont stockées et monétisées, ou pas !
Pour échapper à la surveillance, le Blackphone, présenté récemment à Barcelone, est aussi une piste tout comme les initiatives de mise en place de petits réseaux locaux de communication en wi-fi non reliés à Internet (« mesh network ») avec des routeurs.
En attendant des solutions plus ambitieuses
Des solutions décentralisées utilisant des protocoles similaires à Bitcoin pourraient permettre aux citoyens de mieux contrôler leur identité et leurs données, comme Namecoin, OneName.
Peut-on aussi imaginer des intermédiaires, institutions de clearing, gérants de la protection des données entre les émetteurs (le public) et les utilisateurs (les firmes du web) ?
Le débat est bien résumé par Valérie Peugeot (OrangeLabs et Conseil National du Numérique) : peut-on se prémunir de la société de surveillance tout en continuant à créer, inventer ?
- Refus de la propriétarisation de la donnée,
- Déplacement du capitalisme informationnel vers une économie servicielle,
- Montée en puissance des infrastructures ouvertes de recueil et traitement des données personnelles,
- Développement d’une sphère des données en régime de Communs, construction d’un droit des données personnelles appuyé sur un « faisceau de droits d’usage ».
Mais, avant tout, il s’agit d’agir pour modifier l’état d’esprit général avant de pouvoir modifier les process. Et pour cela, « la confiance est la monnaie la plus importante à notre disposition », résume bien Denelle Dixon-Thayer, de Mozilla.