Quelles libertés avons-nous face à Internet - É Guichard - PY Gosset

Éric Guichard - Pierre-Yves Gosset,

Titre : Quelles libertés avons-nous face à Internet ?
Intervenants : Éric Guichard, maître de conférences à l'ENSSIB - Pierre-Yves Gosset, délégué général de Framasoft.
Lieu : Café éthique - École centrale - Lyon
Date : Mai 2015
Durée : 1 h 11 min 11
Visualiser la vidéo
Licence de la transcription : Verbatim

Transcription

Présentateur : Bonjour à tous et merci à vous tous d’être venus si nombreux pour ce café éthique. Aujourd’hui on va parler de la protection des données personnelles sur Internet. Actuellement, Internet est vraiment devenu le vecteur principal d’informations, de communication, qui est utilisé à échelle planétaire. Il nous paraissait légitime, en fait, de faire un café éthique sur la manipulation des données personnelles qu’on échange.

J’imagine que vous le savez tous, mais aujourd’hui est votée la loi sur le renseignement à l’Assemblée nationale et cette loi vise, justement, à collecter en masse les données personnelles des citoyens afin de détecter des comportements suspects. Donc on va aussi parler du rôle de l’État dans la protection des données personnelles.

On a la joie de recevoir Pierre-Yves Gosset qui est délégué général de Framasoft1, l’association qui vise à Dégoogliser Internet2, et Éric Guichard qui est maître de conférences à L’Enssib [École nationale supérieure des sciences de l’information et des bibliothèques] et qui a travaillé aussi à Ulm. Je vous en prie.

Éric Guichard : Bonjour et je crois que je vais commencer par dix minutes brèves de présentation et d’introduction du programme. Je rappelle ici le titre c’est « Le problème éthique autour de la protection des données personnelles sur Internet ». Je vais faire bref en dix minutes, mais rappeler quand même ce qui était écrit, c’est-à-dire énormément de sites internet possèdent une partie de nos informations privées, mais il n’y a aucune transparence pour savoir ce qu’ils en font réellement. Il y a aussi des risques de piratage, etc.

Ce que je voudrais faire remarquer, d’abord féliciter les organisateurs parce qu’au niveau de la synchronisation ils ont fait parfaitement les choses : c’est le jour du vote du projet de loi relatif au renseignement. Et rappeler aussi que ce qui est vraiment très fort dans ces journées autour des cafés éthiques c’est la question de l’éthique dont je rappelle, dit-on traditionnellement, c’est une science qui traite des principes régulateurs de l’action et de la conduite morale.

Au sujet des données personnelles, ce qui me semble important, et l’actualité nous le rappelle, c’est qu’on rencontre une étrange alliance des États et des entreprises. Je pense que Pierre-Yves Gosset et moi-même allons assez lourdement insister sur le fait que, autour de l’Internet et du numérique, il se produit des représentations, il se produit des croyances, parfois des vérités — mais ce n’est pas souvent le cas — qui font que, en fait, ce qu’on pourrait appeler notre carte politique, par exemple en France gauche/droite, etc., est particulièrement brouillée. Je donnerai quelques exemples. En l’occurrence, pour la question des données personnelles, on réalise une étrange alliance entre les États et les entreprises, à l’heure où on n’arrête pas de nous expliquer qu’il faut que L’État arrête de réguler, qu’il se mette en retrait, etc. Ce sont des pratiques qui sont attestées depuis vingt à trente ans, par exemple en Europe et aussi aux États-Unis. Et là où on voudrait imaginer une sorte d’émancipation de l’entreprise par rapport à l’État, on retrouve des alliances tout à fait traditionnelles qui peuvent renvoyer, par exemple, à l’histoire française du 19e siècle et du 20e siècle.

L’autre point que je voudrais peut-être aborder rapidement, c’est la question du profilage qui, effectivement, s’articule assez étroitement avec celle de la surveillance, en disant que profilage et surveillance sont un peu les deux mamelles des industries contemporaines ; en faisant remarquer que - on pourra en parler dans le débat - ce n’est pas quelque chose qui est gravé dans le marbre. C’est-à-dire que j’essayerai d’insister sur le fait qu’une technique est beaucoup plus plastique qu’on peut l’imaginer et qu’il est tout à fait possible d’imaginer un modèle économique qui ne soit pas centré sur la surveillance étroite, exagérée de nos pratiques.

On va se rappeler d’ailleurs, pour les gens qui connaissent l’histoire de l’Internet, que c’est un détournement inattendu des logs, les fameux access logs qui existaient au tout début de l’invention des moteurs de recherche, simplement pour essayer de minimiser les bugs. C’était des logs qui étaient destinés aux informaticiens et non pas à des mesures d’usage.

J’aurai, je pense, la possibilité de rappeler le fait que si on a des facilités, c’est-à-dire que si on profile, voire on surveille aujourd’hui les utilisateurs d’Internet, c’est aussi que c’est facile et que cette facilité découle du statut de l’Internet et de l’informatique qui sont, en fait, des techniques que j’appelle « scribales », c’est-à-dire tout à fait articulées avec de l’écriture. Or, avec de l’écriture on peut faire, et vous le savez puisque vous avez fait je pense presque tous Maths sup et Maths spé, énormément d’algèbre, énormément de maths, mais on a la possibilité de retravailler des objets de manière beaucoup plus simple que dans un strict régime d’oralité.

Peut-être que je pourrais commencer par un point qui me semble aussi très important, c’est la notion de technique. La notion de technique, je vais être très bref, on peut en reparler comme on veut dans le débat, est une notion – ça évolue un peu en ce moment peut-être du fait de l’Internet et du numérique – mais qui est souvent méprisée. Si on se rappelle : on fait de la théorie, par exemple en maths et en physique, et éventuellement on passe aux applications techniques. Si vous êtes en sciences humaines vous avez, en général, historiquement, une sorte de plus grand mépris pour la technique, les techniciens, les ingénieurs. Vous savez très bien qu’on met très souvent ensemble les ingénieurs et les techniciens pour dire « ah oui, ce sont les gens qui appliquent, ceux qui se prétendent experts, etc., mais ce ne sont pas les grands intellectuels, les grands penseurs, etc. » Et cette critique va vous être peut-être adressée encore pendant quelques années.

En fait, si on réfléchit bien, la notion de technique est en lien très étroit avec trois autres notions : la pensée, la culture et l’art.

L’idée que la technique soit en lien étroit avec la pensée, c’est une découverte de Jack Goody qui dit : « Il y a une technique dont on se sert tout le temps, c’est l’écriture. » Si vous regardez, pour aller très vite, dans le détail effectivement, c’est : la technique c’est souvent répétitif, ce sont des recettes de cuisine qu’on applique et, en même temps, il faut apprendre, etc. Et en fait, on ne peut pas imaginer la moindre pensée un peu sophistiquée s’il n’y a pas l’écriture. Par exemple, si vous n’avez pas l’écriture, vous n’avez pas l’électricité, vous n’avez pas les mathématiques et vous n’avez pas Internet. Bon !

Donc ça signale quand même pas mal de changements. Il y a d’autres personnes comme Leibniz, Gilles Gaston Granger, qui ont aussi insisté sur ce point-là.

La technique est aussi étroitement associée à la notion de culture. Il ne faut pas voir la culture comme quelque chose qui s’opposerait à la technique. En fait, la culture, vous avez énormément de gens qui vous le disent, Goody mais aussi Stéphane Vial qui a fait un très bon ouvrage qui s’appelle L’être et l’écran qui est sorti en 2013 ou 2014, qui montre bien, par exemple dans le domaine du design et de la culture générale au sens large, que toutes nos représentations sur l’autre, sur le monde, etc. sont au moins médiatisées par une toute une série d’objets techniques. Regardez par exemple tout ce que vous savez intuitivement, tout ce que le commun des mortels sait sur l’infiniment petit et l’infiniment grand, c’est quelque chose qui ne pourrait pas exister s’il n’y avait pas eu certes la théorie de la relativité, mais aussi énormément de télescopes, de microscopes, etc. Donc ne pas oublier ça, que les techniques, d’une certaine manière, peuvent aider à représenter le monde, voire à le formater d'une certaine manière. Donc on voit un lien fort entre la technique et la culture.

Il y a aussi un lien fort entre la technique et l’art. Pensez simplement à la manière dont la photo, Benyamin en a très bien parlé, a subverti la peinture. Il y avait une peinture soi-disant hautement artistique, mais il y avait aussi une peinture de réplication des notables de la ville, etc., avec des possibilités de détournement, de rabattement sur des choses tout à fait commerciales des fois.

Donc il faut absolument penser que la technique, la pensée, la culture et l’art sont des choses qui sont excessivement liées et je pense que Pierre-Yves Gosset dira « et du coup la politique ! »

Du coup, il faut faire très attention aux gens qui ont tendance à culpabiliser la technique. Les gens qui culpabilisent la technique on va dire, c’est facile, ce sont des technophobes, etc., et il faut se méfier aussi des technophiles.

Les choses sont un peu plus perverses qu’on peut l’imaginer, dans la mesure où vous avez maintenant des mouvements qui veulent produire une critique du numérique et à juste titre – parce que l’université française, par exemple, est particulièrement silencieuse en matière d’esprit critique alors que c’est sa tradition, au moins en sciences humaines – donc qui vont faire une critique du numérique en disant que le numérique est, nativement, par essence, constitutif d’une société de surveillance. C’est-à-dire que globalement vous avez des personnes, et là je le dis clairement, ce sont des personnes qui sont plutôt des bords, des franges de l’extrême gauche et de l’anarchisme, qui ne vont pas critiquer les personnes parce qu’elles surveillent trop, qu’elles ont des goûts militaristes ou qu’elles veulent réduire les libertés des gens, mais c’est parce que ça serait la faute à l’essence de la technique, c’est la technique du numérique.

C’est quelque chose qui est un peu embêtant, parce que si, d’un seul coup, la technique se retrouve intrinsèquement coupable, eh bien, à ce moment-là, la pensée, la culture et l’art sont aussi coupables de quelque chose. Donc faites très attention à cette tendance qui est assez importante à Paris et dans des institutions de type l’École centrale, que je ne citerai pas.

Voilà. Ceci dit je vais maintenant, très brièvement parce que je pense que j’ai déjà presque trop parlé, vous donner le plan de ce dont je pourrais débattre avec vous et avec Pierre-Yves Gosset ; ça pourrait se décrire sous cette forme. Au niveau des traces personnelles qui circulent sur Internet on pourrait peut-être les décomposer entre traces personnelles envoyées et traces personnelles stockées à l’extérieur.

Les traces personnelles envoyées, je voudrais juste évoquer le cas des cookies qui étaient longtemps refusés, qui sont sur-utilisés au point d’être une banalité, c'est-à-dire ça ne choque plus personne ! Si des fois ça vous plaît de récupérer certains logiciels libres, si vous allez sur le site sourceforge.net et que vous prenez un navigateur qui refuse les cookies, sourceforge vous envoie une bannière, avec un joli drapeau bleu blanc rouge, en vous disant : « La législation de votre pays nous oblige à savoir si vous acceptez ou vous refusez les cookies. Cliquez sur OK pour dire que vous acceptez les cookies. » Vous cliquez sur OK et il ne se passe rien parce que, en fait, vous avez refusé les cookies. Énormément de sites vous font ce jeu-là. C’est-à-dire vous acquiescez sur le fait que nous vous adressons des cookies et vous n’avez aucun moyen de contrevenir au système. Alors si, il y en a des solutions, mais c’est un peu compliqué.

Pareil, les traces d’ordinateur, très vite. Je pense que tu en parleras un peu. Dire que ce n’est plus simplement les douze paramètres basiques de la circulation, par exemple par les biais des CGI-BIN3 pour les pages dynamiques ; maintenant avec les préférences et les navigateurs, est-ce que vous utilisez plutôt VLC ou iTunes, etc., on arrive à vous profiler rapidement parmi 1800 boîtes.

Il y a aussi les traces des téléphones qui sont beaucoup plus pernicieuses parce qu’on n’y connaît rien. Et vous avez par exemple Luc Saccavini, de l’Inria [Institut national de recherche en informatique et en automatique] à Grenoble, qui expliquait qu’avec le simple accéléromètre de votre téléphone portable, on peut savoir si vous travaillez ou pas. Par exemple si vous tapez sur un clavier d’ordinateur ça émet des vibrations, etc.

Au sujet des traces stockées, il y a les requêtes adressées aux principaux moteurs de recherche, aux dépôts en ligne comme Google Docs, Dropbox, Flickr, etc. À Gmail qui, dirais-je très rapidement, implique des innocents. Ça veut dire que si vous ne voulez pas que globalement votre mail soit archivé, surveillé, etc., mais que vous envoyez un mail à quelqu’un qui a une adresse Gmail, eh bien vous êtes un peu mal !

Parler éventuellement d’information résiduelle sur les images. Les personnes qui connaissent ExifTool4, on pourra en parler.

Après on pourra évoquer divers acteurs entre l’industrie capitaliste, les informaticiens, les utilisateurs qui des fois sont un peu naïfs.

Insister peut-être sur les représentations et notamment, peut-être dans le débat, repérer un peu des discours et des croyances, par exemple les discours sur l’open et le close data. Là, on est dans quelque chose qui n’est pas très rationnel. En fait, on propose aux États de divulguer les données qu’ils ont agrégées, mais on ne propose jamais ça aux entreprises. Or, si vous voulez travailler sur Internet, essayez de demander à Orange ou à Free par exemple des données assez massives sur leurs réseaux, ils vous diront que c’est propriété privée, etc.

Sur l’histoire des techniques détournées, stabilisées, plastiques, je dirai juste un mot en rappelant qu’il est très aisé de réorienter une technique par le biais de la loi. Je donne des exemples de Feinberg. À un moment, des bonnes âmes se sont dit que c’était quand même sordide de faire travailler des enfants sur des machines à tisser, en 1850, aux États-Unis. Et l’industrie a répondu : « Ce n’est absolument pas possible parce que si ce ne sont plus des enfants qui travaillent, il faut casser nos machines, il faut en refaire d’autres et, du coup, il va y avoir la concurrence, les pays étrangers vont en profiter, etc. » Les Américains ont tenu ferme ; il y a une loi qui a interdit le travail des enfants et, en dix ans, toutes les machines à tisser étaient à hauteur d’homme ou de femme adulte. Il s’est passé des choses analogues pour les portes de sortie des théâtres quand il y avait des incendies ; les moteurs des bateaux du Mississippi qui explosaient trop et on a imposé des régulations pour que ça ne se produise plus ; c’était des centaines de morts chaque fois. Et je pense que, de la même manière, on peut imaginer des lois, au niveau national et international, qui interdisent le commerce du profilage et ne vous inquiétez pas, en l’espace de cinq à dix ans, l’industrie informatique et les industries environnantes sauront s’adapter sans souci.

Après, restera donc les questions sur les informations des dernières années et sur les informations d’aujourd’hui. Je te laisse la parole.

Pierre-Yves Gosset : Merci. Moi, pour commencer, il faut peut-être que j’explique d’où je viens, puisque moi je ne suis absolument pas maître de conférences, donc je n’ai pas du tout le back ground universitaire sur la science des techniques, l’histoire de la science des techniques.

Framasoft est une association d’éducation populaire. Au départ, « fra » et « ma » c’est français et mathématiques. Ça veut dire quoi ? Ça veut dire que nous, notre boulot, c’est d’aller expliquer aux gens, au départ, ce qu’est le logiciel libre. Donc j’imagine, enfin j’espère qu’à l’École centrale vous savez ce qu’est le logiciel libre. En gros, donc, un logiciel qui correspond à quatre libertés : liberté d’utiliser, de modifier, de redistribuer, de partager le logiciel derrière. En gros, on a accès au code source du logiciel et ça permet, justement, là, de mettre en place une espèce de surveillance de qu’est-ce qu’il y dans le logiciel ; qu’est-ce qu’il fait ; qu’est-ce qu’il ne fait pas, etc.

Donc nous qui venons du milieu de l’éducation, nous pensons que le logiciel libre est un bien commun, que ce bien commun est important et essentiel dans une société qui devient de plus en plus numérique : la télévision est numérique, la musique est numérique, les livres commencent à être numériques, votre téléphone, évidemment, on n’est plus sur l’analogique où il fallait faire les numéros à l’ancienne. Et donc, en gros, qui contrôle le numérique a un peu tendance à contrôler la société, donc ça pose des questions éthiques. C’est un peu de ça dont on va parler aujourd’hui.

Et donc Framasoft a, pendant quasiment dix ans, fait la promotion du logiciel libre. Ces dernières années on a vu un certain glissement. C’est-à-dire que les gens téléchargent de moins en moins de logiciels, ils vont les utiliser de plus en plus dans leur navigateur web. Donc ce sont les Software as a Service, le fait d’utiliser du Gmail, le fait d’utiliser des logiciels qui sont, je ne sais pas, de compta voire de retouche d’images, où tout se passe, en fait, directement dans votre navigateur web et où les calculs et le code source est exécuté côté serveur et non plus sur votre ordinateur.

Nous on a vu apparaître ce mouvement-là et ce mouvement-là porte atteinte, quelque part, au logiciel libre, puisque vous n’avez plus le contrôle de ce qui est installé sur votre ordinateur. C’est quelqu’un d’autre qui fait tourner un logiciel pour vous. On peut vous dire que ce logiciel est libre ou pas, le fait est que si vous ne le maîtrisez pas, vous n’avez pas d’assurance. Je veux dire Wordpress, par exemple, est un logiciel libre que vous pouvez peut-être connaître, qui permet de créer et de partager des sites web, de l’information, en tout cas, sur Internet. Et du coup, moi je peux très bien vous dire que j’installe un Wordpress, que ce Wordpress ne vous espionne pas parce que c’est du logiciel libre, etc. Et en fait, rien ne m’empêche de modifier, moi, le code source de Wordpress et de faire en sorte qu’il va agir de façon plutôt néfaste sur votre ordinateur. Donc ça, c’est pour expliquer un petit peu ce qu’on faisait.

Et quand on a pris conscience de ça, on s’est dit que le nouvel « ennemi », entre guillemets, du bien commun qui est le logiciel libre et du modèle qu’on défend, c’est-à-dire un modèle où, finalement, le citoyen a la maîtrise non seulement de ses données, mais de ses logiciels ; et donc c’est en ayant le contrôle de ses logiciels qu’on aura le contrôle de ses données – ça ne sert à rien d’avoir le contrôle des données si vous n’avez pas le contrôle du logiciel – on s’est dit qu’il fallait sans doute avoir une action face à ce qui nous, nous semblait le principal ennemi, c’est-à-dire GAFAM. Donc GAFAM c’est Google, Apple, Amazon, Facebook et Microsoft. On rajoute Microsoft. Dans la presse vous entendrez surtout parler de GAFA. Ils oublient Microsoft parce que Microsoft a une image un peu has been ces dernières années. Bon ! Internet Explorer c’est de la merde, ça ne marche pas ! Windows ça plante souvent ! Etc. Ça ne les empêche pas d’avoir quand même une base d’utilisateurs mondiale qui est quand même absolument phénoménale, mais la presse a tendance à oublier Microsoft parce qu’ils considèrent que ce n’est pas un acteur très important dans cette nouvelle façon d’utiliser l’informatique et d’utiliser le numérique en général. Or, pour nous, Microsoft reste un acteur déterminant : il y Office 365 qui permet d’utiliser la suite Office en ligne ; il y a Outlook, anciennement Hotmail, qui collecte encore aujourd’hui et qui sert à des millions et des centaines de millions d’utilisateurs en termes de boîte mail. Et puis, évidemment, Microsoft ils ne sont pas tombés de la dernière pluie, ils ont vu cette vague venir et ils sont en train de s’y préparer.

Donc pour nous, le principal acteur de cette collecte de données étant Google, on a décidé de lancer une campagne qui s’appelle Dégooglisons Internet qui vise, justement, à sensibiliser le grand public. Encore une fois, je rappelle nous on est association d’éducation populaire, on essaye de sensibiliser le grand public, c’est-à-dire pas forcément vous – vous êtes déjà nettement au-dessus du grand public – en essayant de lui expliquer en quoi la centralisation des données pose un problème ; en quoi le fait que ces organismes et ces institutions, Google Apple Facebook, etc., ne soient pas contrôlées pose de graves problèmes ; et en quoi le fait que ça soit aujourd’hui des puissances financières considérables – je rappelle que la première capitalisation boursière mondiale, ce n’est pas Exxon, ce n’est pas General Motors, etc., c’est Apple. Que la capitalisation boursière d’Apple aujourd’hui, à elle seule, vaut l’ensemble des capitalisations boursières russes, de toutes les entreprises russes sur le marché boursier russe. On est donc avec des entreprises qui peuvent racheter n’importe quelle boîte – et en quoi ça nuit à l’innovation, donc, pour ceux qui s’orienteront plus tard vers l’informatique, quand aujourd’hui, on a tendance à développer des logiciels. Moi, je rencontre aujourd’hui des gens qui montent des boîtes et des start-ups avec comme seul objectif de faire un produit qu’ils vont revendre à ces sociétés-là le plus cher possible. Donc WhatsApp racheté, je crois, 52 milliards. YouTube racheté, à l’époque, ça devait être 12 ou 13 milliards de dollars. Ce sont des montants considérables. Et nécessairement ça induit un biais dans la collecte des données, puisque ces entreprises-là rachètent des petites boîtes qui collectent des données, et on a une espèce d’effet trou noir dans la collecte massive de données personnelles.

Donc on a lancé une campagne il y a six mois qui vise, en fait, je ne vais pas en parler ici ce n’est pas forcément le sujet, mais à produire ou à mettre en avant des logiciels libres qui sont des alternatives aux projets et aux produits de Google, Facebook, etc.

En face de Facebook on a mis en place un logiciel libre qu’on n’a pas développé, qui existe depuis des années, qui s’appelle Diaspora, qui est un réseau social décentralisé et libre. On a appelé du coup notre réseau social Framasphère et on explique, dans une démarche d’éducation populaire, via des tutoriels, comment est-ce que vous, je ne sais, l’École centrale peut installer un Diaspora pour permettre aux étudiants de l’École centrale Lyon et potentiellement d’autre écoles, d’avoir un réseau social qui soit indépendant de celui de Facebook, où vous contrôlez vos données, où vous êtes sûrs que vous ne serez pas réutilisés, enfin que vos données ne seront pas réutilisées, et que vous avez le contrôle sur non seulement, du coup, vos données, mais aussi sur le logiciel. C’est-à-dire que si demain Facebook décide de tout afficher à l’envers, ce n’est évidemment pas dans leur intérêt, mais ils peuvent le faire, et vous n’avez absolument pas de contrôle là-dessus.

Je ne sais pas combien de temps il me reste, mais juste pour finir l’introduction. On s’est aperçus et là, du coup, on est en plein dedans, que l’ennemi n’était pas forcément là, puisque vous n’êtes pas sans savoir qu’il y a un projet de loi renseignement qui est en discussion, qui va être voté, probablement ce soir, à une immense majorité. Et ça nous pose un certain nombre de soucis en tant que militants du logiciel libre. À titre personnel, je suis aussi militant dans une association qui s’appelle La Quadrature du Net5 qui vise, justement, à défendre les libertés pas seulement numériques, parce que là on voit bien que via la technique, on accède à des domaines et à des pans de la société qui dépassent largement le cadre du numérique. Quand on est capable de repérer où est-ce que vous êtes géolocalisé, si on laisse les services de renseignement dire on va géolocaliser l’ensemble des personnes qui sont, je ne sais pas, à une manifestation, qui ils ont appelé, etc., on est bien d’accord que là on est dans quelque chose qui est politique et qui n’a rien à voir avec la technique.

Vous êtes un petit peu des privilégiés dans le sens où vous avez vous la capacité, encore une fois suivant les options d’informatique que vous êtes amenés à suivre, vous avez la capacité de comprendre comment se fait ce dispositif de collecte, ce qui n’est pas le cas de M. et Mme Michu. Alors nous on les appelle les Dupuis-Morizot parce que les pauvres M. et Mme Michu ils doivent en avoir un peu ras le bol, donc M. et Mme Dupuis-Morizot, forcément, n’y pannent que dalle à ce type de problématique. Et on pense que c’est pourtant très important de sensibiliser les gens et de dire, contrairement à ce que nous dit le gouvernement, je vais essayer de ne pas être politisé aujourd’hui, mais on a un gouvernement qui dit à la télé, dans les médias, etc. : « Non, ce n’est pas de la collecte généralisée ; non, ce n’est pas de la surveillance généralisée ». Et je pense que vous êtes suffisamment au fait des choses, et je peux rentrer dans le détail un petit peu technique, de savoir ce que c’est. Voilà, je ne sais pas, les communications sur Internet reposent sur le modèle OSI6, qui lui-même est divisé en sept couches : vous avez la couche matérielle, la couche réseau, etc., et on arrive sur une couche applicative et quand un gouvernement vient nous dire : « Non, non, mais on ne surveille que les métadonnées ! » Vous ne pouvez pas surveiller les métadonnées, en gros vous ne pouvez pas surveiller l’adresse de la carte postale sans la différencier du contenu de la carte postale. C’est-à-dire que quand on envoie une carte postale à quelqu’un, quand le gouvernement dit : « Non, non, mais nous on ne lit que d’où elle vient. En gros on regarde le timbre de la poste, on regarde qui est le destinataire, éventuellement qui l’a écrite, en gros d’où vient le mél et quelles sont les métadonnées de ce mél », vous ne pouvez pas faire ça, si vous ne regardez pas, si vous ne séparez pas les métadonnées du contenu. Ça veut dire que vous avez accès au contenu !

Donc quand on vient nous dire « nous n’avons pas accès au contenu », c’est faux !

Donc là, j’espère que des étudiants en école d’ingénieur peuvent comprendre ça. Et dire, derrière, mais c’est la machine qui traite, etc., ce n’est pas parce que c’est une machine qui torture quelqu’un que ce n’est pas de la torture. Ce n’est pas parce que c’est une machine qui surveille les gens que ce n’est pas de la surveillance généralisée.

Voilà. C’est un peu brouillon comme introduction, mais vous aurez compris la protection des données personnelles. D’autant plus si les gouvernements ont accès à des données, justement, ce dont parlait Éric Guichard tout à l’heure, une espèce de collusion État/entreprise et, en gros, si vous pouvez forcer Google ou Facebook à installer des boîtes noires chez eux. Nous, on héberge des centaines de milliers de données, si on prend même des métadonnées, on en héberge des milliards de gens qui sont des particuliers, des entreprises, des syndicats, des partis politiques, etc. Donc ce n’est pas du tout impossible qu’on vienne nous dire, à un moment donné, comme ils veulent le faire là j’ai entendu sur Doctissimo, ils veulent aller poser des boîtes noires dessus aussi, parce que gros trafic, beaucoup d’échanges, qui échange avec qui, quoi, etc.

Et donc on a vraiment cette difficulté à faire comprendre à la population que le numérique permet une surveillance généralisée et que, en tant qu’acteurs du numérique, on voit bien que ce débat n’est pas technique. Quand on enlève du judiciaire d’un projet de loi, ce qui est le cas aujourd’hui, j’y reviendrai si jamais il y a des questions là-dessus, on est bien d’accord qu’on change l’équilibre de ce que doit être une démocratie. Une démocratie, normalement – Montesquieu, j’ai quand même quelques bases sur l’histoire législative – et du coup voilà, on sépare l’État en trois pouvoirs : le législatif, l’exécutif, le judiciaire. Aujourd’hui le judiciaire est, non pas exclu, mais complètement écrasé, à ce moment-là, par un projet de loi sur lequel l’exécutif, c’est-à-dire le Premier ministre, a quasiment tout pouvoir.

Et ce genre de mises en place de projets de loi, etc., sur lesquelles nous on doit faire face depuis longtemps, on espère, enfin moi c’est un peu mon objectif aussi en venant ici, ce n’est pas juste vous parler mais c’est aussi de vous convaincre que vous, en étant sensibilisés à ces questions et en ayant les capacités et les compétences pour savoir ce qu’est un logiciel, qu’est-ce que c’est que compiler un logiciel, qu’est-ce que c’est que du code source, vous serez à même, plus tard, vous-mêmes, de répercuter entre guillemets « la bonne parole » et d’être capables d’être critiques, parce que c’est ça normalement qu’on est censés apprendre à l’école ou à l’université, c’est construire sa pensée critique et donc construire sa pensée critique par rapport à des objets techniques. Ce qui dépasse, effectivement, pour beaucoup, M. et Mme Dupuis-Morizot.

Première question

Est-ce que vous pouvez nous parler plus en détail de la loi qui est votée aujourd’hui ?

Pierre-Yves Gosset : J’ai rencontré il y a trois/quatre jours une députée du Rhône qui, elle aussi, se posait des questions ; je ne citerai pas son nom ; c’est filmé. Quels sont les problèmes que pose cette loi et pourquoi est-ce que nous, et quand je dis nous ce n’est pas un groupe homogène ; quand je dis nous ça peut être des militants du logiciel libre, ça peut être Reporters sans frontières, ça peut être des particuliers, ça peut être juste des gens qui sont sensibilisés à ces questions. Donc moi, j’ai relevé cinq problèmes que posait cette loi. Et la première chose que j’ai rappelée à cette députée c’était que la vie privée ça doit être la règle, et la surveillance l’exception. La vie privée, notamment le droit à une correspondance privée, fait partie de l’article 12 de la Déclaration universelle des droits de l’homme et de l’article 8 de la Convention européenne des droits de l’homme qui, normalement, est censée s’appliquer à la Constitution française, enfin aux constitutions des États de l’Union européenne.

Donc, est-ce que là, déjà, on n’a pas un renversement où on va surveiller tout le monde pour préserver les libertés soi-disant de tout le monde ? C’est ce que nous on a essayé un petit peu de détricoter.

Le premier problème – ils ne sont pas par ordre d’importance – mais pour moi le plus important c’est celui des boîtes noires. Je suis informaticien donc ce qui me pose problème vraiment c’est le côté technique.

Dans les différents problèmes qui ont été listés, le premier c’est que le judiciaire est complètement absent ou en tout cas exclu de cette loi par rapport à l’exécutif. Le gouvernement ou certains médias nous disent : « Non, mais il y a une Commission nationale de contrôle qui va vérifier que le Premier ministre ne fait pas n’importe quoi, etc. »

Cette CNCTR [Commission nationale de contrôle des techniques du renseignement], donc la Commission de contrôle, est composée de six juges du Conseil d’État. Alors les juges du Conseil d’État – c’est bien, ça m’a permis de me remettre à jour sur plein de choses au point de vue du législatif – le juge du Conseil d’État, ce n’est pas un juge classique : c’est un juge fonctionnaire qui est payé par l’État pour rendre effectivement des jugements par rapport à la loi. Donc ces juges du Conseil d’État ne sont pas indépendants du gouvernement ; ils sont payés par l’État. Ce qui n’est pas le cas de juges payés par le ministère de la Justice où on peut déjà présupposer une plus grande indépendance, et puis de six députés et sénateurs de gauche, de droite, etc. Pardon ?

Éric Guichard : Quatre et quatre.

Pierre-Yves Gosset : Quatre et quatre, ça a peut-être rechangé depuis. Toujours est-il que ces députés et sénateurs n’ont aucune idée de ce qu’est un algorithme et que, surtout, quand bien même on leur expliquerait parce que ce n’est pas si compliqué que ça que d’expliquer ce que c’est qu’un algorithme, ils seront évidemment bien incapables d’aller vérifier si le décret qui dit qu’on va modifier l’algorithme pour surveiller le mot Djihad ou le mot Sivens sur les dispositifs de boîtes noires, ils seront bien incapables de dire si l’algorithme qui leur est présenté correspond bien à ce qui est dans le décret. Donc ça pose un vrai problème, pour nous, qu’il n’y ait pas déjà de gens qui soient au fait de ces questions techniques.

La société civile, évidemment, est complètement exclue. Il n’y a pas de juges antiterroristes. Je reviendrai sur le point terrorisme après. Et donc, de toutes façons, quand bien même cette commission de contrôle rendrait un avis, dirait : « Eh bien non, là on pense que potentiellement cette personne n’est pas un terroriste ou n’est pas un zadiste en train de lutter contre l’implantation de l’aéroport de Notre-Dame-des-Landes », nécessairement, l’avis du Premier ministre est supérieur. C’est-à-dire si le Premier ministre dit : « Si, si, moi je pense que c’est important », il signe et la personne sera mise sous surveillance. tr évidemment toutes les personnes qui tournent autour, qui gravitent autour de cette personne pourront être mises sous surveillance. Donc ça c’est déjà, pour nous, un problème.

Deuxième problème : procédure accélérée. Normalement une loi, entre le moment où elle est présentée pour la première fois au Parlement et où elle est définitivement adoptée, donc il y a système de navette parlementaire que vous devez connaître parce que vous êtes encore jeunes et c’est encore frais dans votre esprit, mais ça se passe entre le Parlement, le Sénat, une commission des lois, etc., ça revient au Parlement, donc il y a des amendements qui sont faits entre les deux. Ce processus législatif, pour faire passer une loi, prend en gros six mois, un an, dans une procédure normale. Ici, en procédure accélérée, c’est moins d’un mois. C’est pour ça que la mobilisation – enfin suivant si vous regardez BFM TV ou Rue89 et Mediapart, vous n’aurez pas les mêmes infos – mais c’est qu’on a forcément eu du mal nous, « activistes » avec beaucoup de guillemets, à mobiliser les foules. C’est que le temps a été hyper court entre le moment où on a eu accès à ce projet de loi et le moment où on a pu le lire. On reviendra, Éric reviendra peut-être sur la capacité de rédaction parfois un peu tortueuse de ces lois, mais ça pose un sérieux problème pour nous. On est plutôt informaticiens que juristes ; ce n’est pas simple de lire et de décoder un pavé législatif assez important et de chercher la petite bête, puisque le diable se cache dans les détails.

Donc cette procédure accélérée a quand même été largement critiquée par l’ARCEP ; l’ARCEP [Autorité de régulation des communications électroniques et des postes] c’est le gendarme des Télécoms, en gros, c’est l’autorité de régulation des Télécoms ; ce ne sont vraiment pas des politiques. Ce sont des gens qui vont dire OK, on accepte que Free ait telle bande sur la 4G, etc. Mais ils sont quand même au point d’un point de vue technique et ils ne sont pas politisés. Et donc, que l’ARCEP se prononce contre, déjà c’est louche ! La Ligue des droits de l’homme, le Syndicat national des journalistes, les avocats, de gauche comme de droite. C’est une des rares fois où les syndicats d’avocats de gauche et de droite se mettent d’accord sur le fait que cette loi pose un problème. Le Défenseur des lois Jacques Toubon, la CNIL via Isabelle Falque-Pierrotin ; les juges et surtout les juges antiterroristes. C’est-à-dire que le principal juge antiterroriste français, celui dont tout le monde reconnaît la grande capacité, personne n’a jamais rien eu dire, qui s’appelle Marc Trévidic, a clairement dit dans une tribune du Monde : « Non, cette loi ce n’est pas celle qu’on souhaite nous en tant que juges antiterroristes ». Ça pose quand même un certain nombre de problèmes.

Troisième problème : le champ d’application complètement flou de cette loi, vu qu’elle vous est vendue, à vous citoyens qui allumez la télé le soir, comme une loi antiterroriste alors qu’en fait il y a sept champs d’application différents et ces champs d’application, je vais en citer deux : c’est évidemment la lutte contre le terrorisme, mais ce sont aussi les violences collectives. Si quelqu’un est capable de me définir réellement et précisément ce qu’est une violence collective, je prends !

Les atteintes à la forme républicaine des institutions. Donc là, concrètement, soyons clairs, on vise les zadistes. Si vous êtes contre Notre-Dame-des-Landes, l’implantation d’un Écoparc, enfin soi-disant Écoparc du côté de Grenoble, etc., on peut considérer que vous allez porter atteinte à certaines formes républicaines. Voilà : l’État a décidé qu’on allait installer un aéroport ici, c’est pour le bien de l’État, donc vous, si vous militez contre, vous pouvez être mis sous surveillance.

Les intérêts économiques et scientifiques de la nation. Celle-là, moi elle me fait vraiment marrer. Les intérêts économiques et scientifiques de la nation, dans les débats, les parlementaires qui sont pour ce projet de loi disent : « Mais c’est pour se protéger des Américains parce qu’ils font de l’espionnage industriel et puis ça ce n’est vraiment pas bien ». En fait, c’est pour faire exactement la même chose. Donc c’est de dire ce que font les Américains ce n’est pas bien et donc il faut qu’on puisse faire légalement la même chose. Moi ça me pose un problème. J’espère que ça vous choque un petit peu de dire que quelque chose n’est pas bien et que donc on va faire la même chose.

Donc ce champ d’application, cette loi qui vous est vendue comme une loi antiterroriste, n’est pas une loi antiterroriste. D’ailleurs ça s’appelle projet de loi surveillance et c’est fait pour encadrer les services de renseignement et c’est plutôt une bonne chose. À titre personnel et on est nombreux à souhaiter que les services de renseignement, donc les renseignements généraux, pas généreux, ils sont peut-être généreux dans leur collecte d’informations, les renseignements généraux du coup, donc aujourd’hui la DCRI [Direction centrale du renseignement intérieur devenue DGSI, direction générale de la Sécurité intérieure en 2014, NdT] et d’autres institutions de ce type-là, c’est évident qu’il faut encadrer la façon dont ils font collecter l’information. Ce que demandent les services de renseignement, lorsqu’ils envoient un agent poser un mouchard sous une table dans un restaurant ou mettre un téléphone sur écoute, c’est que, quelque part, on leur en a donné l’ordre, ou qu’ils prennent cette décision parce qu’ils pensent qu’il y a effectivement une atteinte aux intérêts de l’État et donc qu’ils puissent être couverts en disant mais moi je fais mon boulot en tant qu’agent. Et ça, ça nous semble plutôt sain que cette loi encadre ça. C’est-à-dire qu’ils demandent à être protégés, on est plutôt pour.

Mais le fait de, aujourd’hui, la faire passer comme une loi antiterroriste, en procédure accélérée, si vous n’êtes pas nés de la dernière pluie vous voyez bien qu’on profite d’un effet post Charlie pour faire passer une loi.

Quatrième problème : l’efficacité. Ça me semble absolument fou qu’on fasse passer une loi sans se poser la question de l’efficacité de la loi. Lorsqu’on demande aux citoyens de mettre des ceintures dans les voitures, on fait un bilan régulier sur eh bien voilà ça a protégé, potentiellement on est passé de huit mille morts à quatre mille morts. On sait que quand les gens arrivent dans un hôpital après un accident de voiture, la ceinture a aidé ou pas, etc. On est capables de faire une évaluation.

La NSA, donc là c’est merci Edward Snowden, quand des révélations ont été faites de l’ensemble de l’ampleur du programme de surveillance américain, mis en place par le Patriot Act, Patriot Act qui vise, normalement, à ne surveiller que les ennemis extérieurs, c’est-à-dire qu’ils ne sont pas censés surveiller les citoyens américains, la NSA disait : « Le Patriot Act a permis et le renseignement généralisé a permis d’éviter 54 attentats terroristes ». Ça c’était le discours il y a deux ans. Suite aux révélations d’Edward Snowden, on est tombé à treize, et quand je dis « on » c’est le directeur de la NSA, enfin le responsable de la NSA, qui reconnaît devant une commission sénatoriale, oui, en fait ce n’est pas 54, c’est 13. Et là, aujourd’hui, on n’a pas le chiffre exact, mais en fait on parle peut-être d’un ou deux cas dans lesquels ça aurait réellement été efficace et sinon, c’est juste que ça a donné des informations complémentaires aux services de renseignement, mais c’était déjà les services de renseignement qui avaient de l’information sur telle ou telle personne et c’est juste que ça a permis de croiser de l’information, de confirmer de l’information.

Donc est-ce que, sur quelque chose dont on ne sait pas évaluer l’efficacité, on peut permettre une surveillance généralisée ?

Et je vais terminer avec, pour moi, ce qui est la cerise sur le gâteau, c’est la mise en place de boîtes noires. On ne sait absolument pas qui a décidé de rajouter ça dans le texte. Ce ne sont pas les services de renseignement. Encore une fois, les juges antiterroristes disent : « Non, mais on ne va pas rajouter du foin dans la botte de foin pour trouver la paille ; ça ne va pas nous aider ! Ce qu’il nous faut ce sont des moyens humains ; il nous faut des humains pour aller regarder à l’intérieur ». Et ça pose un vrai problème d’efficacité, d’évaluation de cette loi. Et cette surveillance généralisée est pour nous mise en place par ce dispositif technique de boîtes noires. S’il n’y avait pas cette question des boîtes noires, je trouverais que c'est une loi mal foutue, mais ce ne serait pas la première, ce ne serait pas la dernière. La procédure accélérée, on l’a vu, si vous avez suivi un petit peu les projets législatifs de ces derniers temps, la loi sur la santé, elle aussi, a tendance à passer en procédure accélérée, etc. Donc il y a un changement de la façon dont les députés et dont le gouvernement fait passer des lois, peut-être parce que les élections arrivent et que, du coup, ils essayent d’en faire passer maximum. À titre personnel je trouve que ça poserait déjà moins de soucis. Ça poserait des problèmes démocratiques, mais on ne serait pas nécessairement dans une surveillance généralisée.

Or, ce dispositif de boîte noire, je terminerai là-dessus, qu’est-ce que c’est ? Ça revient, en fait, à aller poser – encore une fois je ne connais pas votre niveau en informatique, etc. – ça revient à aller poser, en gros, des routeurs sur les dispositifs, enfin sur l’infra réseau d’hébergeurs, donc ça peut être Orange, ça peut être Free, ça peut être Bouygues ; ça peut être des hébergeurs de sites internet, typiquement OVH, Ikoula ou ce que vous voulez ; ça peut être d’aller surveiller, justement, des gros sites type Doctissimo, vu que là ce sont les dernières rumeurs qui sont sorties il y a 24 ou 48 heures, donc je ne confirme pas, mais potentiellement, ça veut dire qu’on va mettre un matériel dans lequel il y a un algorithme. J’adore ! Quand on est informaticien et qu’on vous dit : « C’est un algorithme qui va chercher », non ; l’algorithme ne cherche rien ! L’algorithme est écrit par quelqu’un. Le matériel et les puces sont produites par quelqu’un. Vous devez savoir qu’en France, la production de puces électroniques est quand même relativement limitée aujourd’hui. Le gros des puces est produit à l’étranger. Donc qui fait le design de ces puces ? C’est-à-dire qu’on ne va pas mettre juste un routeur Cisco et l’installer. On sait très bien, on remercie encore Edward Snowden, que dans les routeurs Cisco il y a des back doors qui permettent à la NSA de rentrer, de surveiller le trafic de certains routeurs.

Si jamais, demain, on a du matériel et qu’on vient brancher du matériel chez Orange, Bouygues ou Free, quelle est la garantie que ce matériel est propre ? Et là, moi ça me ferait doucement sourire que le gouvernement nous réponde : « Non, non, mais on va avoir des agents qui vont surveiller la chaîne de production 24 heures sur 24 ». Les agents ne sauront pas ce qui est gravé au micron près. On ne va pas savoir qui écrit le logiciel ; on ne pas savoir si la personne qui écrit le logiciel n’est pas soudoyée par un gouvernement tiers. En gros, pour moi, ça revient au système de vote électronique. Le jour où on vous dit qu’on remplace les urnes avec le bout de papier par des urnes électroniques, en tant qu’ingénieurs, flippez ! Ça voudra dire qu’on laisse le pouvoir à un technicien – et ce n’est pas du tout péjoratif dans ma bouche, j’en suis un – mais on laisse le pouvoir à un technicien de décider. Finalement, quand on appuie sur le bouton A, on sort le papier « vous avez voté pour le candidat A », mais qu’est-ce qui vous prouve que c’est bien le candidat A qui a été enregistré ? Est-ce que dans la récupération et la transmission des données entre chaque boîte noire, entre chaque boîte à voter électronique qui va être dans chaque bureau de vote, nécessairement, il n’y a pas de détournement d’informations, de modification d’informations ? Vous devez être suffisamment au fait des choses pour vous dire que oui, à tous ces endroits-là, il peut y avoir un problème. Je ne dis pas que la bonne vieille urne avec les assesseurs c’est nécessairement parfait, mais j’ai beaucoup plus confiance dans ce système-là que dans un système de vote électronique.

Et donc, le fait qu’on vienne me dire : « Non, non, mais ces boîtes sont produites par le gouvernement, écrites par le gouvernement, contrôlées par le gouvernement », en dehors même du côté 1984, moi ça me fait doucement sourire qu’un gouvernement dont François Hollande se fait écouter par les services allemands, dont le téléphone privé d’Angela Merkel est mis sur écoute, puisse croire que les gens qui sont capables de ça ne sont pas capables de détourner une boîte noire, puisqu’il ne va pas y en avoir qu’une, il va y en avoir probablement des dizaines, voire des centaines.

Donc dire que la collecte n’est pas généralisée et sûre, c’est faux !

Et enfin je termine, du coup je reviens sur la protection des données personnelles. On vous dit que cette collecte est anonyme. À quoi servirait une collecte anonyme ? Si elle est 100 % anonyme, ça ne marche pas ! Si vous savez que quelqu’un dit : « Je vais faire un attentat » et que vous ne savez pas qui, ça n’a aucun intérêt ! Nécessairement cette collecte n’est pas anonyme. Alors OK, on peut peut-être supprimer un certain nombre de données totalement personnelles, le nom et le prénom. Du coup, Éric donnait un très bon exemple avec les téléphones. Aujourd’hui, quand je suis venu, mon téléphone est géolocalisé par mon opérateur téléphone – à la limite je suis même géolocalisé par Google parce que j’ai un téléphone Android – mais quand bien même je désactive la géolocalisation, soi-disant désactivée, parce que OK, j’ai désactivé l’option, mais rien ne me prouve que Google ne continue pas à récupérer des données, mais mon opérateur téléphonique sait où je suis. Donc j’ai beau passer en mode avion là, quand j’appuie sur le mode avion, est-ce que vous avez tous des appareils qui permettent de vérifier qu’on n’envoie plus de données. Le mode avion, je suis désolé, c’est une image, c’est un bête gif, ou un bête png, sur lequel on appuie et, du coup, ça vous dit : « Vous êtes en mode avion ». Prouvez-moi que c’est vraiment du mode avion ! À moins d’être ingénieur, vous ne pouvez pas !

Donc dire que la collecte est anonyme, on se fiche de vous ! Nécessairement on va recroiser des données et ça pose un dernier problème selon moi, c’est qu’il n’y a plus de professions protégées. Jusqu’à présent les parlementaires, les avocats, les lanceurs d’alerte étaient protégés. Clairement, si on accepte la mise en place de ce type de projet de loi, ça ne sera plus le cas, vous n’aurez plus d’affaires qui sortiront et notamment plus d’affaires sur le gouvernement. Voilà moi les cinq problèmes que j’ai identifiés sur la loi.

Deuxième question

Si vous ne voulez pas être repérables, mettez votre téléphone dans du papier d’aluminium.
Ma question est sur le point un. Si la loi s’oppose à la Constitution européenne, il n’y a pas une chance qu’elle soit, après acceptation, retoquée par le Conseil constitutionnel ?

Pierre-Yves Gosset : Oui. C’est ce qui vient de se passer plus ou moins, je ne voudrais pas dire une bêtise, en Slovaquie, puisqu’ils avaient fait passer une loi aussi de collecte assez massive d’informations personnelles et, du coup, l’Europe a dit non. Le problème c’est le délai. Et le problème c’est le poids du pays. C’est le cas aussi, je crois, aux Pays-Bas sur lesquels une loi qui portait relativement atteinte à la liberté personnelle des citoyens des Pays-Bas posait un certain nombre de problèmes et l’Europe a dit non.

Le problème c’est que l’Europe fait plutôt bien son boulot, et ça veut dire qu’ils prennent du temps. Si pendant deux ans on a de la collecte d’informations, eh bien je vous laisse imaginer qui peut être président ou présidente en 2017 et qui pourrait dire à ce moment-là : « Non, mais en fait la décision européenne ne va pas venir chez nous en France enlever les boîtes noires, donc on va les garder. » Et c’est potentiellement – encore une fois je ne cherche pas du tout à politiser le débat – mais si le Front national devait être élu en 2017, sachant la position que le Front national a sur l’Europe, la décision de la Cour de justice de l’Union européenne, ils s’assiéront dessus bien gentiment.

Donc l’Europe pourra bien dire non ce n’est pas bien. Donc voilà, pour l’Europe.

Troisième question

On a déjà eu il y a 40 ans ce genre de débat sur les écoutes téléphoniques, au final la technologie a changé, est-ce que le débat éthique est vraiment différent ? Est-ce que les questions qui ont été plus ou moins tranchées sur les écoutes téléphoniques il y a 40 ans peuvent s’appliquer aujourd’hui ?

Pierre-Yves Gosset : À ce moment-là on surveillait. Quand François Mitterrand faisait des écoutes téléphoniques, il surveillait quatre/cinq journalistes. Pardon ?

Public : C’est un problème de masse ?

Pierre-Yves Gosset : Le problème c’est qu’on renverse : pour moi d’un point de vue législatif et judiciaire et moral, on est tous présumés terroristes. Il y avait un problème d’éthique à l’époque, puisque c’est, encore une fois, un président, un Premier ministre, en tout cas des services de renseignement qui mettent sur écoute des gens qui ne devraient pas l’être. Edwy Plenel était mis sur écoute soi-disant parce qu’il était un agent de la CIA. Bon ! Aujourd’hui, 20 ans après, on voit bien qu’a priori Edwy Plenel n’est pas un agent de la CIA. Mais ça permettait de le mettre sur écoute. Sa femme était mise sur écoute parce qu’on disait que c’était sa secrétaire, alors qu’en fait non, c’était sa compagne. On détourne un peu la loi et puis on l’arrange. Ça pose des problèmes éthiques, oui.

Mais c’est pour nous, pour répondre à ta question, beaucoup plus vaste comme sujet vu qu’on va surveiller potentiellement 65 millions de Français pour, c’est ce qu’on nous dit, mieux surveiller 1000 à 3000 potentiels terroristes, alors que le champ de cette loi permet de faire bien plus. Sur les 65 millions de Français, on a tous quelque chose à cacher. Et ce qu’on a à cacher n’est pas forcément quelque chose d’illégal, mais ça peut être quelque de honteux ; ça peut quelque chose de très personnel, ça peut être son orientation sexuelle ; ça peut être, je ne sais pas, son passé, le fait qu’on ait été adopté. On a tous quelque chose à cacher !

Et vraiment, partir du principe qu’on va pouvoir surveiller tout le monde et collecter des métadonnées, ces métadonnées en apprennent plus que le contenu. Peu importe qu’on capte le contenu du sexto : à partir du moment où vous envoyez 50 SMS à une personne dont on sait qu’elle est de genre féminin – pour peu qu’on respecte la proportion hétéro-homo – du coup nécessairement on va se dire tiens il envoie des textos à trois heures du matin, ils en échangent 40 en un temps relativement court, il n’y a pas besoin d’être ingénieur à la NSA pour savoir ce qui peut s’échanger.

Donc on a nécessairement renversé les choses et on est tous présumés, vous êtes tous présumés terroristes !

Quatrième question

On n’aurait jamais accepté que tous les téléphones soient mis sur écoute, nos conversations écoutées par une batterie d’experts il y a 15 ans. Aujourd’hui, personne ne s’y intéresse… Est-ce un problème de communication et que la loi va passer en vitesse ?

Pierre-Yves Gosset : Moi je pense vraiment que le fait de passer en procédure accélérée et que les médias ont mis longtemps à se mettre dedans – et longtemps ça veut dire ils ont mis 15 jours quoi – mais parce que c’est un débat compliqué. Et quand vous avez le gouvernement qui vous dit : « Mais non, on ne va pas faire, si je me fais mon Bernard Cazeneuve, ne vous inquiétez pas ce n’est pas du tout de la collecte généralisée. On va faire de la collecte ciblée, voire hyper ciblée, parce qu’on ira repérer uniquement le terroriste sur tel ou tel mot-clef qui renverra, du coup, de l’information à nos agents qui en feront de l’analyse, etc. » Et on te noie sous ce discours-là ! Mais, encore une fois, si on met une boîte noire qui va surveiller ! Enfin, c’est un bête problème technique ! Ce qui me permettra de faire la transition, de donner la parole à Éric, c’est un bête problème technique. Quand vous surveillez un flux de données pour aller piocher des métadonnées, vous devez surveiller l’ensemble des données ; c’est aussi con que ça !

Là, pas besoin d’être ingénieur. N’importe quel étudiant va comprendre que suivant ce qu’est Internet, on pourrait prendre la même chose en mécanique des fluides, si vous voulez surveiller telle particule d’eau dans un tuyau dans lequel passe de l’eau, il faut surveiller tout ce qui passe dans le tuyau.

Et ça, cette chose-là, elle est un petit peu compliquée à faire comprendre au grand public. Elle a été compliquée à faire comprendre aux journalistes. Et le temps qu’on leur explique et qu’ils fassent : « Ah ! Mais merde ! Ça veut dire que moi, en tant que journaliste aussi, on va me mettre sur écoute ! » Voilà ! Donc il y a un problème de décalage. Si la loi ne passait pas en procédure accélérée, je suis certain que dans huit mois, elle n’aurait pas été votée. Là je Je suis certain que ce soir elle va passer avec 500 députés qui vont voter pour. Et ça pose le problème, du coup, du rapport entre l’État et les citoyens.

Cinquième question

Vous avez insisté tout à l’heure sur la notion de technique maîtrisée. On a beaucoup copié sur la facilité et l’assurance technique, mais moi je me demande si finalement ce n’est pas un problème de riches cette histoire de sciences des données, de sensibilité par rapport à la science des données. C’est-à-dire que ceux qui s’inquiètent de l’assurance de leurs données, ce sont ceux qui ont les moyens de s’en protéger. Moi je vais voir pour vous si on nous catégorise pas pour notre culture et on va l’accepter de pouvoir être surveillé comme on est déjà surveillés sur nos boîtes mails perso et nos géolocalisations, sans problème en fait ?

Éric Guichard : Je peux ?

Pierre-Yves Gosset : Oui, oui, vas-y. Je me suis un peu emballé. Excusez-moi. La passion !

Éric Guichard : Ça fait quelques minutes que j’avais envie de vous citer quelques lignes qui sont de M. Peuchet, qu’on trouve dans l’Encyclopédie méthodique publiée en 1790. C’est quelqu’un qui se bat contre la « burocratie » ; il écrit ça b, u, r, o, etc. « Ne frémit-on pas quand on voit parmi les objets livrés à la police l’ouverture des lettres, cette infraction de la confiance et de la foi publique. Ne peut-on penser quand on sait que la dispensation des ordres arbitraires est attribuée aux mêmes commis qui ont des maisons de force dans leurs départements » etc.

C’est très intéressant de voir que ce débat n’est pas que d’actualité. Et pour répondre à votre question, à un moment Peuchet dit : « Mais ceux qui ont voulu en abuser, donc de cette surveillance, en ont eu toute impunité. Ils sont juge et partie dans leur propre cause. La crainte retient le citoyen qui voudrait se plaindre. Note : je prierais mes lecteurs de bien vouloir faire encore remarquer que les désordres que produit la « burocratie » de la police sont bien moins sensibles parmi les gens riches ou puissants que chez le peuple. C’est là que tout l’odieux de ce gouvernement se fait sentir. C’est le peuple qui supporte tout le poids de ce fléau, qui souffre sans savoir, etc. »

C’est-à-dire qu’on pourrait dire, effectivement, à la fois ce sont des plaintes de riches et d’instruits que de dire qu’on ne veut pas qu’il y ait une surveillance généralisée, mais, en même temps, ce sont ces personnes riches et instruites qui vont pouvoir détourner la loi. Ça veut dire que si vraiment on sait à peu près comment se passent les choses, on peut d’abord commencer à crypter des données, à les faire circuler par des réseaux. Ça va ralentir la transparence, l’accès transparent à nos données personnelles. Mais sinon on se dira, comme on se dit assez souvent, ça donne au moins du fil à retordre au policier qui est derrière.

L’idée qu’on puisse imaginer une sorte de transparence tous azimuts, parce que ça serait un ordre normal de la société, je n’en suis pas tout à fait d’accord. Mais auparavant je voudrais faire quelques remarques, certaines évoquées d’ailleurs tout à l’heure, sur l’efficacité de la loi, sur la question des faux positifs. Quelqu’un dans Mediapart disait : « Mais si nos algorithmes arrivent à repérer 99 % des terroristes, séparer le bon grain de l’ivraie à 99 %, il reste 1 % d’erreur. » 1 % d’erreur, pour la France entière, ça fait 600 000 personnes surveillées abusivement. Ça fait beaucoup !

Je voudrais juste prendre un exemple. Supposez qu’à mes étudiants je dise : « On va faire une analyse syntaxique des discours médiatiques sur le terrorisme et sur la surveillance sur Internet. » Je vais être obligé d’utiliser un stock de mots-clefs qui vont faire que wouf, directement ça va me tomber dessus.

Le deuxième point que je voudrais signaler, c’est qu’on est toujours dans l’idée qu’on n’est pas coupable, ça ne s’adresse pas à nous, etc. Je vais donner, ce serait presque du off, les informations d’un ami, à l’étranger, dans un pays qu’on pourra appeler une dictature et qui envoie des lettres, notamment à Amnesty International et qui les relaie pour expliquer ce qui s’est passé hier et avant-hier dans telle ville, etc. Ça circule. Moi, c’est par un autre biais. Il envoie des pdf, vous pouvez tout de suite trouver son nom, et pourtant il anonymise ses rédactions.

Donc ce que je veux dire c’est que par solidarité, par des formes d’altruisme, on est directement visés et on est des dangers potentiels pour les personnes qu’on voudrait protéger.

Si je lis un peu plus en détail le texte de loi, il faut que je le retrouve, c’est tout à fait explicite : « Peuvent être autorisées les interceptions de correspondance des personnes appartenant à l’entourage de la personne visée et susceptibles de jouer un rôle d'intermédiaire, volontaire ou non, pour le compte de celle-ci ou de fournir les informations au titre de la finalité faisant l’objet de l’autorisation. »

Évidemment, on va dire à un journaliste qui veut prendre rendez-vous avec Assange, tout de suite, repéré ! Mais peut-être tout simplement la personne qui travaille dans l’hôtel qui va accueillir le journaliste, hop, repérée ; indirectement elle peut donner des informations.

Et ça me gêne un petit peu de voir que globalement on est tous vraiment menacés et là c’est le texte de loi, ce n’est pas moi qui dis ça, alors que s’il y a vraiment des gens à protéger, ce sont nos pauvres policiers. Je cite : « En premier lieu les agents des services spécialisés de renseignement demeurent exposés à des risques pénaux injustifiés. En deuxième lieu l’absence de règles claires approuvées par le Parlement en matière de renseignement favorise les suspicions infondées sur l’activité des services spécialisés et fragilise leur action. »

Ça veut dire que globalement, je ne sais pas, et je pense que je n’exagère pas, vous voulez d’un seul coup vous montrer solidaire d’un militant ukrainien ou d’un autre pays et vous exposez cette personne en même temps que vous êtes menacé. Et en revanche, la loi dit expressément qu’il faut absolument protéger le pauvre policier qui travaille sans filet quand il essaye de poser les micros chez vous. Je trouve que ce n’est pas vraiment fabuleux !

Alors après, quant à l’idée qu’on a droit, après tout on est passé d’un régime historique où le sens de la vie privée, du secret, commence à se diluer dans un régime où il y a une transparence totale, etc., moi j’ai envie de dire deux choses.

La première chose c'est, et là on va oublier le cas de l’État pour passer plutôt au cas de l’industrie de l’Internet, vous acceptez qu’on vous filme quand vous vous douchez en échange du don d’une savonnette ? C’est ce qui se passe en ce moment. Ouais, je veux dire les cas limites et je n’ai pas pris le plus… On peut en trouver des pires, vous voyez ce que je veux dire ! Donc là, il y a quand même un problème. Et comment ça se fait qu’il y ait des choses auxquelles je n’aie pas accès, moi ? Ça veut dire comment ça se fait que si je demande à Orange ou à Google de me donner toutes les informations que cette entreprise a sur moi, on me dit : « Ah non, c’est interdit ; c’est interdit par la loi. »

Donc je crois que l’idée de la transparence pour le grand public est une idée qui fonctionnerait si elle était proprement universelle.

Qu’après il y ait des déplacements des relations entre ce qu’on va appeler la sphère publique, la sphère privée, ça, on peut en parler. Mais la chose sur laquelle je voulais insister c’est qu’il y a quand même un renforcement de ce qui est la sphère privée, mais de quoi ? Des entreprises, de l’activité scientifique.

« Les services spécialisés peuvent recueillir des renseignements relatifs, c’est le point 3, aux intérêts économiques et scientifiques essentiels de la France. » Et effectivement, le point 7 « relatifs à la prévention des violences collectives de nature à porter gravement atteinte à la vie publique ».

Et ça c’est effectivement, on avait déjà vu ça, une loi un peu analogue, et ce sont les journalistes qui se sont battus pour qu’elle ne soit pas votée, très récemment. C’est tout le problème des lanceurs d’alerte, des anti-totalitaires, etc. C’est vous commencez par exemple à être quelques-uns à évoquer par mail la loi que nous critiquons aujourd’hui, ou à vouloir vous réunir ou, pire, éventuellement Place Bellecour, etc., tout de suite vous êtes des cibles.

Donc faisons très attention et ça, ça permettra mais je vais laisser place au débat et on peut rebondir sinon, de profiter de ces questions sur l’éthique, sur les lois française, américaine, sur les relations entre les entreprises, pour voir de manière un peu plus générale quelles sont nos représentations sur le numérique, sur la technique, sur l’innovation, etc. Et là, on a énormément de choses à apprendre et moi je dis toujours avec humour, on nous explique benoîtement que la technique est fille de la science donc elle devrait hériter de la rationalité scientifique, alors que c’est le domaine dans lequel s’exprime le maximum de religiosité humaine en ce moment. Ça veut dire qu’on est en train de déployer des régimes de croyance, voire de superstition, de magie, par rapport à la technique, qui sont hallucinants.

Et ça c’est quelque chose qui est aussi proprement intéressant et si je voulais, peut-être quand même, un peu introduire une première conclusion parce que l’heure passe. Effectivement, aujourd’hui, va être voté un texte de loi qui est particulièrement menaçant. La question de savoir pourquoi aujourd’hui personne ne réagit alors qu’il y a 40 ans, je me rappelle très bien, il y avait 300 000 personnes pour manifester dans Paris et c’est ça qui a créé la CNIL, CNIL débarrassée d’à peu près tout son pouvoir aujourd’hui. Effectivement, on peut se demander ce qui se passe. Et c’est là que je pense que des activités pédagogiques, militantes, comme celles de Framasoft, mais aussi les vôtres, peuvent être particulièrement prometteuses parce que ce que moi j’appelle la culture numérique, ce que tout le monde appelle la culture numérique, c'est quelque chose de drôlement compliquée, je peux vous l’assurer. J’arrive à y comprendre quelque chose parce que j’ai fait, je pense, des maths, de l’anthropologie et de l’informatique. C’est quelque chose qui est à peu près aussi compliqué que la culture de l’écrit au 13e siècle, c'est-à-dire les gens qui étaient capables de commenter des textes. La culture de l’écrit, au 17e siècle, qui les commente en oubliant un peu la religion, en s’intéressant au livre de la nature. Vous avez des montagnes comme Galilée, Descartes, etc., qui inventent complètement des processus très complexes, qui se mettent par écrit, mais qui nécessitent des apprentissages très forts. La preuve, à l’École centrale on n’y rentre pas à l’âge de quatre ans. Rappelez-vous vos douleurs en Maths sup et en Maths spé. C’est un agrégé de maths qui parle et là, je jubile un petit peu.

Donc on a aujourd’hui une culture numérique qui est l’équivalent de la culture de l’écrit imprimé, mais qui fonctionne avec d’autres systèmes.

Ce qui se passe, qui est assez réjouissant, c’est qu’il y a des gens qui sont au cœur de ce truc-là, ce sont les spécialistes du numérique. Le numérique c’est le nom. Donc en général, ceux ou celles qui ont une culture un peu mathématique et, a fortiori, informatique, baignent un peu là-dedans. Il se passe que ce sont sont aussi, par défaut, les lettrés du numérique. Le seul fait que les principaux opposés à cette loi, au moins sur Lyon vous le voyez, c’est à peu près toutes les associations d’informaticiens, de militants du logiciel libre, etc. Essayez de trouver des syndicats traditionnels, vous n’en avez pas. C’est normal, ils ne comprennent pas !

Donc ce que je pense, et peut-être que après tu compléteras, mais on pourrait conclure là-dessus, les porteurs de la culture numérique c’est vous ! Les érudits façon les historiens du 19e siècle qui étaient un peu les gens qui savaient tout, etc., c’est vous ! Vous êtes à peu près les seuls à avoir cette compétence « scribale » qui manque à énormément de gens.

Le problème, c’est qu’à partir du moment où vous acquérez cette culture technique, ce savoir écrire, vous acquérez automatiquement toutes les choses qui en découlent, c’est-à-dire la capacité à penser, à critiquer, à comparer, à construire une pensée critique. Et ça, c’est quelque chose ! C’est pour ça que je vous remercie aussi d’avoir parlé d’éthique, parce que ça permet de donner une dimension un peu optimiste, c’est-à-dire comment on va façonner le monde. Ça vous donne une opportunité absolument hallucinante. J’ai envie de dire vous pouvez faire comme Larry Page : vous pouvez façonner le monde à votre image. Si vous voulez mettre de l’éthique, si vous voulez faire en sorte que les gens ne soient pas surveillés, qu’ils soient libres, qu’ils vivent, qu’il n’y ait pas seulement une propriété privée, hyper privée, mais aussi des formes de propriété collective qui existent, notamment dans le domaine des savoirs, vous pouvez le faire. Et vous savez, qu’en fait, il suffit de pianoter et d’écrire trois lignes de code. J’exagère un peu, mais il y a des réseaux, il y a des gens, il y a des solidarités, il y a énormément de choses à faire.

Donc je pense qu’effectivement la question c’est développer une réelle culture numérique. Cette culture numérique, on en a conscience, tu l’as bien dit, elle n’existe pas chez les députés, elle existe assez faiblement chez les journalistes. Il faut faciliter son appropriation et son enseignement au sein de l’université dont j’ai dit qu’en Sciences humaines, notamment parce que les gens sont complètement enveloppés sous des logiciels mainstream ; ils ne connaissent pas la différence et ils ont excessivement de difficultés à penser le numérique. Je peux vous assurer : ils me plaquent même comme expert, donc ça en est peut-être une preuve, dirais-je avec humour. Et réintroduire, effectivement, l’éthique ; notamment profiter de tous les discours sur le développement durable qui disent : « Mais attendez on peut construire une société autrement ! » Et là, dans ce domaine vous avez pas mal de gens. Par exemple il y a toute l’histoire des designers qui, en ce moment, prennent langue avec les informaticiens, avec les ingénieurs, pour façonner des nouveaux objets numériques, peut-être plus élégants, plus confortables, plus faciles d’appropriation et peut-être moins soumis, moins introducteurs de surveillance.

Donc, peut-être que la conclusion c’est soyons très vigilants, notamment en sachant dénoncer des lois comme aujourd’hui ou des abus de surveillance et de profilage qui, globalement, font faire fortune à une industrie qui n’est pas très imaginative. On pourrait imaginer des systèmes économiquement viables. Je donne juste un exemple : Mediapart ne fonctionne pas comme Le Monde. Le Monde, quand j'essaye de le regarder, je suis obligé d’utiliser Lynx7, sinon j’ai une publicité invasive, je trouve ça absolument insupportable ! Mediapart il n’y a pas de pub. Ils me cassent les pieds parce qu’ils imposent des cookies, quand même.

Mais surtout rester optimistes, ne pas accuser la technique de tous les maux et partir du principe que l’avenir c’est vous qui en êtes les sculpteurs.

[Applaudissements]