PREMIÈRE TABLE RONDE - Les nouvelles technologies, une menace pour la vie privée ?

Mme Christiane Féral-Schuhl, ancien bâtonnier du barreau de Paris

M. Philippe Aigrain, Quadrature du net

M. Antonio Casilli, maître de conférence en humanités numériques à Telecom Paris Tech et chercheur au Centre Edgar-Morin de l'EHESS

M. Benoît Tabaka, directeur des politiques publiques de Google France

(de gauche à droite : Mme Christiane Féral-Schuhl, M. Philippe Aigrain, Mme Éliane Assassi , M. Benoît Tabaka, M. Antonio Casilli, M. Jean-Pierre Sueur)

Mme Éliane Assassi , présidente . - Je veux remercier Jean-Pierre Sueur, qui a planté le décor avec le talent et la franchise qui lui sont coutumiers. Rentrons dans le vif du sujet : les technologies ont-elles un effet sur la vie privée, les représentations que l'on s'en fait et sur les pratiques juridiques ? D'aucuns considèrent à l'inverse qu'il n'y a plus de vie privée à défendre...

Mme Christiane Féral-Schul , ancien bâtonnier du barreau de Paris . - Je m'adresse à une assemblée de citoyens du XXI e siècle, forcément composée de personnes connectées aux réseaux sociaux, aboutissement de l'évolution technologique depuis 1992-1993. Les adolescents ont désormais troqué leurs carnets secrets contre des pages Facebook. J'y vois un bouleversement culturel profond.

Quelques chiffres : 2,4 milliards d'internautes dans le monde, 54 millions en France (+ 566% depuis 2000) ; 68 % des Français sont inscrits sur un réseau social. Chacun passe quatre heures par jour devant son ordinateur, une heure sur son mobile. Chaque minute, dans le monde, deux millions de requêtes sont faites sur Google, 571 nouveaux sites, 2 000 nouvelles photos sont postées sur Tumblr, 204 millions d'e-mails sont envoyés ; 90% de nos données numériques ont été créées ces deux dernières années.

L'internaute est schizophrène, qui exige simultanément liberté de s'exprimer sans entrave et protection de son intimité. Souvenez-vous des débats suscités par la localisation rendue possible par la carte Navigo... Les victimes d'agression dans le métro s'étonnent pourtant qu'on ne puisse retrouver les coupables ! Autres exemples : la vidéosurveillance dans les halls d'immeuble ou le déshabillage numérique dans les aéroports : on ne comprendrait pas qu'il n'y ait pas de contrôles. À la vérité, nous passons sans cesse d'une revendication à l'autre.

Les réseaux sociaux fonctionnent précisément sur le dévoilement, la fourniture libre de données personnelles, qui finissent par cerner les personnes. Cela commence par les bulletins de promotion dans les boutiques : nous sommes des victimes consentantes. Sur le réseau, la dichotomie espace privé-espace professionnel fait débat. Dans l'esprit de beaucoup, privé signifie confidentiel. Or l'espace privé n'est pas compatible avec le modèle économique de ces réseaux. C'est un problème culturel.

Peut-on retirer les données fournies librement ? L'Internet a une mémoire d'éléphant. Rien ne s'y perd. En outre, tout préjudice a un écho planétaire. On comprend la demande d'effacement d'une vidéo compromettante de la part de celui qui craint d'en souffrir, mais qui va être juge de l'histoire ? Nous en reparlerons en évoquant la décision de la Cour de justice de l'Union européenne du 13 mai 2014.

Il n'y a pas de prescription légale sur Internet. La photographie d'une personne suspectée d'infraction restera sur le réseau, qu'elle ait été finalement blanchie ou qu'elle ait payé sa peine. Dès que chaque internaute s'improvise diffuseur d'information sans avoir l'éthique d'un journaliste, l'on mesure les dégâts. Les informations mélangent vrai, vraisemblable et mensonge, injure et diffamation ; elles posent la question des atteintes à la vie privée, à la protection de laquelle nous avons tous droit.

Nous défendons le respect de ce principe sans prêter attention à nos propres responsabilités. Ouvrir un compte sur Gmail, c'est accepter de voir ses informations livrées à l'administration américaine si elle en fait la demande. Les données ne se perdent pas, et les préjudices ne sont guère réparables. Renforçons l'autocontrôle, changeons de culture.

Internet n'en demeure pas moins un formidable outil de partage et de promotion de valeurs fortes. Trouvons un point d'équilibre et laissons l'Etat jouer son rôle et apporter de la sécurité au citoyen. (Applaudissements)

M. Antonio Casilli , maître de conférences en humanités numériques à Telecom ParisTech et chercheur au Centre Edgar-Morin de l'EHESS . - Je veux questionner l'idée selon laquelle la vie privée serait vouée à disparaître du fait de l'évolution technologique. Le 6 juin 2014, nous fêterons le premier anniversaire des révélations d'Edward Snowden, événement fondateur de nouvelles relations entre les individus et les administrations.

De nouveaux usages ont émergé. En 2013, un rapport de l'Information Technology and Innovation Foundation (ITIF) * ( * ) a révélé que les pertes enregistrées par les sociétés américaines du cloud en raison de l'érosion de la confiance des utilisateurs ont atteint entre 22 et 35 milliards de dollars. Des applications anonymes ou éphémères, comme Snapchat , sont plébiscitées - au point que c'est devenu une stratégie commerciale. J'y vois un changement de discours important. Les GAFA* (Google, Apple, Facebook et Amazon) sont contraints de s'adapter.

Scott McNealy, président de Sun Microsystems déclarait en 1999 : « Vous n'avez aucune vie privée. Tournez la page ». Mark Zuckerberg a repris ses propos en 2010, estimant que la vie en public était la nouvelle norme. En 2011, Paul Hermelin, de Capgemini ne disait rien d'autre. Vint Cerf, évangéliste en chef chez Google, a assuré en 2013 que la vie privée était une anomalie de l'histoire. La vie privée, qui s'était affirmée avec la bourgeoisie urbaine, refluait devant de nouvelles formes de vie communautaire.

La vie privée était nulle parce que non avenue... les discours masquent en fait une véritable guerre culturelle entre utilisateurs de grandes plateformes sociales, États, acteurs de l'économie traditionnelle, entreprises innovantes. Il faut sortir de ce cadre idéologique.

La vie privée n'a pas disparu, elle s'est transformée : elle n'est plus une sphère susceptible d'être pénétrée, mais un espace de négociation avec les autres acteurs. La première conception est héritée de la tradition libérale, fondée sur le droit à être laissé en paix, comme le définissaient Samuel Warren et Louis Brandeis dans un article paru en 1890 dans la Harvard Law Review. Pourtant l'internaute surfe sur Internet non pour être laissé en paix mais pour développer ses relations sociales, dont il négocie les codes et les paramètres, tout en en gardant la maîtrise. Il ne s'agit plus seulement de contrôler ce que l'on divulgue, mais de contrôler ce que les autres publient sur nous, dans une négociation permanente. Or nos pouvoirs de négociation sont faibles et doivent être renforcés.

Il ne s'agit pas d'une négociation au sens commercial, même si certaines start-up comme Yesprofile.com proposent de monétiser la protection des données personnelles. Il s'agit d'une négociation collective pour renouveler le cadre légal, changer de paradigme ; car nous passons d'un web de publication à un web d'émission de données. (Applaudissements)

M. Philippe Aigrain , Quadrature du net . - Nous sommes ici car une personne a sacrifié une partie de sa vie pour nous révéler le fonctionnement des services de renseignement et la contribution - non contrainte et forcée - des géants de l'Internet.

Notre premier devoir est d'aider M. Snowden. En juillet, l'asile temporaire qui lui a été accordé par la Russie prendra fin. Nous avons un devoir absolu. Conformément à l'article 53-1 de la Constitution, « les autorités de la République ont toujours le droit de donner asile à tout étranger persécuté en raison de son action en faveur de la liberté ou qui sollicite la protection de la France pour un autre motif ».

Le Parlement européen a mené un travail d'enquête à la suite de ces révélations. Son rapport a recommandé la suspension du Safe Harbor Agreement , qui permet aux opérateurs américains de transférer aux États-Unis des données collectives en Europe pour les retraiter. La captation des données n'a cessé de s'accroître. Pour vous en convaincre, lisez Liberté et sûreté dans un monde dangereux de Mireille Delmas-Marty. Ce modèle ne repose plus sur le consentement, mais sur des abus. A l'issue d'une réunion organisée par Peter Fletcher, de Google, les représentants des internautes ont refusé de s'opposer à des approches règlementaires de la CNIL, parce qu'il était impossible de faire confiance à une société dont les revenus reposent sur une utilisation abusive des données.

Pourquoi invoquer la sécurité ? Dans ce pays, le seul attentat récent a été mené par une personne dénoncée par sa famille, surveillée pendant des années, mais qui avait échappé aux radars. Le responsable de la NSA a reconnu avoir menti au Congrès en indiquant que le modèle de collectivisme des données a évité des attentats. Il est essentiel que les lois nous donnent un nouveau pouvoir de négociation, selon le terme de M. Casilli, face aux entreprises et aux États.

Ce n'est pas une vue de l'esprit. Les adolescents américains fuient désormais massivement les réseaux sociaux traditionnels comme Facebook au profit de médias sociaux comme Tumblr, par désillusion, afin de retrouver des relations authentiques sur le net. Le système Échelon reposait sur la captation des flux de données. Les services secrets disposent grâce à Internet, non seulement des flux mais des moyens nécessaires à leur interprétation. Les données du web se sont centralisées à la fin des années 2000. Ce n'est pas le modèle original du web, fondé sur la décentralisation des contenus. Or, la centralisation n'est pas une loi de nature. Avant d'être un média de communication, le web est un moyen d'expression : il y a 180 millions de blogs.

La loi numérique devra protéger davantage les citoyens face aux autorités administratives qui agissent comme des bulldozers. Dans le même temps, il incombera au politique de favoriser la décentralisation : dans la nouvelle négociation collective, les utilisateurs qui possèdent les données, sont au coeur du processus. Espérons que ce mouvement aboutira à des avancées législatives. (Applaudissements)

M. Benoît Tabaka , directeur des politiques publiques de Google France . - La question essentielle est celle de l'usage. Nous vivons dans une société du partage. Les acteurs d'Internet sont tenus de répondre aux nouvelles demandes. La première est celle de mieux informer.

Google a une activité liée aux régies publicitaires. La publicité peut être personnalisée. Notre devoir est d'en informer l'internaute et de lui donner les moyens de gérer ses paramètres et de désactiver ce service. De même, il nous incombe d'informer les personnes qui ont été « flaguées », ou d'offrir aux usagers la possibilité de retirer une vidéo. Chacun doit pouvoir choisir avec qui il partage ses données. L'émergence sur le réseau des communautés privées en découle.

La confiance est essentielle. Si l'usager d'un service n'a plus confiance en celui-ci, il doit pouvoir en sortir. C'est pourquoi Google s'efforce de développer la portabilité des données.

Le deuxième aspect est la sécurité des données. Les attaques informatiques, les piratages se multiplient. Le phishing , ou l'hameçonnage, consiste à dérober les données personnelles pour s'emparer de certains éléments de la vie privée d'un individu. Nous essayons de développer les outils pour protéger les internautes, par exemple en les avertissant des connexions suspectes.

Autre danger, les interceptions. Elles ne sont pas seulement judiciaires ou administratives, elles concernent aussi l'utilisateur d'un réseau wifi public - celui d'un café par exemple. Le fournisseur de services internet doit, là aussi, veiller à renforcer la sécurité, grâce à des chiffrements - le SSL notamment, dont les révélations de Snowden ont montré la nécessité. Chez Google, depuis plusieurs mois, le chiffrement des données e-mails n'est plus désactivable par l'utilisateur et celui des requêtes faites dans le moteur de recherche est automatique.

Des autorités publiques peuvent demander à accéder aux données d'identification si une adresse IP a une activité illicite. Le régime de l'interception suppose une intervention préalable du juge. Enfin, les services de renseignement s'efforcent d'accéder aux données dans un cadre a-légal par la collecte massive de données sur les réseaux. Nous veillons à la transparence et au respect des cadres juridiques. Nous examinons chaque demande, quitte à la contester en justice. Il faut renforcer les garde-fous.

L'Asic qui compte aussi des sociétés françaises, a exprimé des craintes à propos de la loi de programmation militaire, car elle laisse entendre que les services de renseignement ont, par des interceptions administratives, accès à toutes les données stockées sur Internet. Ce cadre n'est pas clair. Or quand il y a un flou, il y a un loup. L'accès à des documents, contrairement aux écoutes téléphoniques, est pérenne et rend inefficace le contrôle a posteriori : les documents ont été interceptés. De même, la loi sur la géolocalisation ne précise pas le concept d'objet pouvant être géolocalisé : ce peut être une automobile comme une brosse à dent connectée, puisque la chose existe désormais. Nous attendons plus de transparence et de garde-fous du cadre juridique car les technologies évoluent très vite. (Applaudissements)

M. Philippe Aigrain , Quadrature du net . - Aucun intervenant n'a dit que la Cour de justice de l'Union européenne (CJUE) avait invalidé la directive de 2006 sur la rétention des données pour atteinte aux droits fondamentaux - ce n'est pas banal. Une grande partie des textes qui ont été mentionnés ce matin n'ont plus de base juridique.

M. Jean-Pierre Sueur , président de la commission des lois . - L'ASIC regroupe de très grandes entreprises mondiales. Oserai-je l'appeler à faire preuve d'humilité ? Elle a publié un communiqué un mois après le vote de la loi. Or la géolocalisation suppose une demande motivée au Premier ministre et une réponse motivée ; ensuite le concours des opérateurs est sollicité. Le paradoxe est que ceux qui dénoncent un risque sont ceux qui ont livré des milliards de données à la National security agency (NSA) ! (Applaudissements)

(Échanges avec la salle)

M. Gilles Trouessim . - Ancien du CNRS, je suis consultant en sécurité informatique. Ne doit-on pas privilégier le droit à l'oubli a priori , la séclusion : ce n'est pas parce que j'ai rien à cacher que je n'ai rien à cacher... Une donnée publiée reste stockée à jamais. À titre personnel je n'ai pas de page Facebook, ni de page Linkedin. Au-delà de la cryptographie, il est possible de développer des techniques en amont, comme la carte blanche à l'anonymat provisoire.

M. Antoine Lefébure . - Je suis l'auteur d'un livre sur l'affaire Snowden...

M. Jean-Pierre Sueur , président de la commission des lois . - Bravo !

M. Antoine Lefébure . - M. Tabaka m'a déçu. Plutôt que de nous expliquer vos tentatives de chiffrage, pourquoi ne pas avouer que vous n'avez pas les moyens techniques et juridiques de nous protéger contre les services de renseignements ? La vérité, c'est que vous devriez vous tourner vers le législateur, seul légitime à intervenir, car notre modèle économique souffre de l'érosion de la confiance des utilisateurs.

M. André Alix . - Où vont les données ? On ne le sait pas. Je suis pour leur effacement. L'usurpation d'identité est un fléau qui se développe.

Les smartphones et les tablettes se multiplient ; Google en profite avec son Play Store, qui n'offre pas de protection contre les malwares * ( * ) . Pourquoi la France, qui en est friande, ne créerait-elle pas un label en fonction de la sécurité ?

De même, il serait bon de savoir où sont stockées les données. Le droit du pays d'ouverture du compte Gmail devrait s'appliquer. En France, nous avons la chance d'avoir la Commission nationale de l'informatique et des libertés (CNIL), qui réalise un excellent travail.

M. Daniel Latrémolière . - Informer les personnes non accusées qu'elles ont été écoutées contribuerait largement à la confiance.

M. Sylvain Cabot. - Pourquoi ne pas sensibiliser les utilisateurs des réseaux sociaux dans un souci de prévention ? Toute donnée mise en ligne n'appartient plus vraiment à celui qui l'a publiée. Quant aux labels, ils existent déjà. Le Play Store de Google en contient. Rendons-les plus visibles.

M. Benoît Tabaka, directeur des politiques publiques de Google France . - Nos efforts en matière de sécurité ne sont pas de la poudre aux yeux, mais procèdent d'une obligation légale. Chez Google, 400 ingénieurs travaillent en permanence à améliorer la sécurité : en novembre, la clef de cryptage SSL est passée de 1 084 à 2 048 kbits. Nous sommes les seuls à l'avoir fait ! De même, nous cherchons à protéger les utilisateurs contre les interceptions - d'origine gouvernementale parfois, dirigées contre des journalistes - et à les prévenir, et les conseiller. Le cadre juridique n'est pas illusoire.

Dans les systèmes d'utilisation ouverts comme Android les utilisateurs peuvent télécharger les applications sur tous les sites. La protection dépend des systèmes d'exploitation, mais aussi des développeurs d'applications, et des sites qui en proposent le téléchargement.

Notre site indique où sont situés nos data centers . Pour des raisons de sécurité, nous fragmentons les données et les stockons sur différents serveurs. L'aspect juridique l'emporte même sur l'aspect technique. Les autorités locales peuvent intervenir où que soient stockées les données.

Enfin, l'ASIC s'est emparée tardivement de la loi de programmation militaire, parce qu'elle travaillait sur d'autres textes. En outre, cette loi ne concernait pas initialement les acteurs de l'Internet.

M. Jean-Pierre Sueur , président de la commission des lois . - Merci pour votre grande modestie. Il a fallu 31 jours pour que de grandes entreprises mondiales implantées en France découvrent que le Sénat avait débattu de la loi de programmation militaire. Cela rend à ces sociétés un aspect humain, éminemment sympathique.

M. Benoît Tabaka, directeur des politiques publiques de Google France . - S'agissant des révélations de M. Snowden, les informations captées par la NSA ont été interceptées sur le réseau, et non puisées chez les acteurs de l'Internet, comme l'a montré le schéma publié en septembre. Nous avons donné les informations sur l'accès parcellaire autorisé par la règlementation. Quasiment tous les acteurs qui en ont été victimes ont décidé d'augmenter le chiffrement des données.

M. Philippe Aigrain, Quadrature du net . - A ma connaissance, deux campagnes ont été lancées : l'une à l'initiative de la CNIL, l'autre par Quadrature du net : Contrôle tes données.net ou reclaim your data.eu. Celle-ci insiste sur le coût de la captation indue des données, celle-là souligne les dangers du net mais, en la matière, les pré-ados pourraient apprendre comment faire à ceux qui veulent leur donner des leçons. Au demeurant, les sociologues ont montré que les internautes ont appris à se protéger, parfois à leurs dépens.

Nous avons un grand besoin de faire campagne sur le chiffrement. Je souris à l'évocation du 2048 : la sécurité commence au 4096 avec un chiffrement de bout en bout. L'anonymat est profondément mis en danger. Or je n'ai pas plus entendu le gouvernement français dire qu'il allait soutenir massivement Tor* ou TED.

Les systèmes d'exploitation sont importants, en effet. Android est un système ouvert, oui, mais la playstore * ( * ) de Google ne comporte plus l'application facilitant le passage vers CyanogenMod. Qui a véritablement besoin de données de géolocalisation ? L'usager, et non les opérateurs ! Pour ne pas se perdre dans les villes, le meilleur outil reste encore la carte.

Mme Christiane Féral-Schuhl ancien bâtonnier du barreau de Paris . - L'heure de la fin de la vie privée a-t-elle sonné ? Cette question nous oblige à repenser tous les fondamentaux de nos sociétés. Constatons que le droit tient plutôt bien et maintenons le respect de la vie privée comme un droit constitutionnel. Pourquoi cet affrontement permanent entre la liberté d'expression et le respect de la vie privée ? Nous ne travaillons pas pour des obsessionnels ! Il nous revient de maintenir par des moyens sécurisants le formidable outil que constitue Internet. Peut-on admettre que la liberté d'expression s'abrite derrière l'anonymat ? De même pas de droit à l'effacement sans juge de l'historique : le devoir de mémoire impose de conserver les archives de l'histoire comme de nos histoires personnelles.

J'ai trouvé significative la récente mobilisation autour de la vidéo du chaton. J'aimerais que cette autorégulation contre les dérives soit plus fréquente. Les valeurs existent sur Internet, à nous de les rassembler.

Mme Carole Miko . - Tout le monde sait que je suis là aujourd'hui car je l'ai indiqué sur Facebook ce matin... Les technologies auront toujours une longueur d'avance sur le droit. C'est pourquoi nous devons enseigner la protection de la liberté d'expression à nos enfants. La cause est peut-être perdue pour nous, à 40 ou 50 ans, mais pas pour eux.

Mme Éliane Assassi , présidente . - Merci pour vos interventions.


* * Cf. glossaire, p. 69

* * Cf. glossaire, p. 69

* * Cf. glossaire, p. 69

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page