Numéro 11 - Semaine du 21 au 27 juin 2010

dimanche 27 juin 2010 • GF

Vie privée & protection des données

La vie privée deviendrait-elle une notion obsolète à l’heure du cloud computing ? La centralisation des données et des logiciels pour les exploiter côté serveur, ce que l’on appelle cloud computing ou informatique dans les nuages, a de beaux jours devant elle ; selon le cabinet Gartner, elle serait en progression de plus de 16% en 2010, et constituerait un marché de 68,3 milliards de dollars.

Autre danger pour la vie privée : la publicité ciblée, qui classe les internautes dans des catégories prédéterminées, grâce à leur profilage sur le fondement de critères eux aussi prédéterminés, et engendre ainsi de nombreux risques de discriminations. Le G29 (1) a publié cette semaine un documenten/PDF sur la publicité en ligne, dans lequel il réaffirme l’importance du consentement du sujet du traitement. Les sites qui collectent des données personnelles afin de fournir de la publicité ciblée sont soumis, selon le G29, à la règle de l’opt-in, selon laquelle tout traitement doit être préalablement autorisé par le sujet (contrairement à l’opt-out qui autorise tout traitement que le sujet n’a pas interdit).

Par ailleurs, la CNIL publie son rapport 2009fr/PDF. La CNIL a rendu, en 2009, 719 délibérations (+23% par rapport à 2008) et opéré 270 contrôles sur place (+24% par rapport à 2008). Le rapport revient sur les temps forts de l’année 2009 : le STIC, fichier de police judiciaire qui devient peu à peu un instrument d’enquêtes administratives ; la publicité ciblée en ligne qui fait passer la protection de la vie privée au second plan, derrière les intérêts commerciaux, et qui s’exerce souvent dans la plus grande opacité ; le vote électronique ; les réseaux sociaux et le droit à l’oubli, etc.

Les petites voitures de Google qui parcourent les rues du monde en analysant les signaux Wifi commencent à causer beaucoup de problèmeses à l’opérateur, tant aux États-Unis qu’en France, en Espagne, au Royaume-Uni ou en Allemagne. Google aurait en effet intercepté le contenu de certaines communicationsen.

Liberté d’expression & neutralité du Net

La liberté d’expression est mise en péril, sur le Net comme dans le «monde réel», par une tendance sécuritaire qui peut être observée dans le monde occidental depuis le 11 septembre 2001. C’est ainsi que l’Europe envisage d’enregistrer les recherches sur le Web et que le débat continue autour de la LOPPSI, en France, et du traité ACTA, en Europe et dans le monde.

La neutralité du Net est elle aussi compromise par les techniques de surveillance, d’abord pensées pour lutter contre le terrorisme international ou la pédopornographie, mais qui s’étendent rapidement à d’autres matières, comme la propriété intellectuelle. Ainsi, la surveillance du contenu des communications (ou DPI, pour Deep Packets Inspection) est de plus en plus souvent envisagé. Par exemple, le FAI Orange propose une solution DPI pour protéger les internautes contre l’usurpation d’identité… un remède pire que le mal.

Google est aussi accusé de restreindre la liberté de communication en retirant des applications Android sans le consentement des usagers. La raison de ce retrait est simple : les applications ne font pas ce qu’elles annoncent. Est-ce une raison pour les retirer ? On sait qu’Amazon avait supprimé à distance un livre des Kindle de ses clients, et que l’affaire avait fait grand bruit. Apple adopte une démarche différente, mais pas forcément meilleure, en validant chaque application avant de la mettre en ligne. Steve Jobs a ainsi expliqué récemment (keynote WWDC 2010) qu’une des trois principales raisons au refus de validation d’une application était l’inadéquation entre l’effet de cette application et la description qui en est faite. Alors, mieux vaut-il censurer (contrôler a priori) ou présumer la bonne foi et retirer a posteriori les applications mensongères ? On serait tenté de répondre qu’il vaut mieux retirer les applications a posteriori, mais un tel retrait est beaucoup plus frustrant pour les consommateurs qui perdent quelque chose dont ils avaient le sentiment d’être propriétaires (a tort : le droit d’utilisation n’est pas le droit de propriété). Il n’y a pas de solution parfaite…

En Australie, la censure est féroce. Pourtant, la question du filtrage d’Internet est régulièrement remise sur le tapis, et un certain assouplissement est possible.

Plus inquiétant, une étude récente soutient qu’Internet renforcerait la radicalité des opinions. En effet, contrairement aux médias traditionnels qui amènent l’information aux personnes (push), les internautes vont chercher l’information là où elle se trouve (pull). Les internautes seraient ainsi tentés de n’aller chercher l’information que sur les sites dont la ligne éditoriale correspond à leurs idées. Or, à ne lire que des écrits qui vont dans le sens de ce que l’on pense, on ignore les arguments contraires et l’on en finit par croire qu’il n’existe pas d’autre position valable.

Propriété intellectuelle & neutralité du Net

On reparle un peu, cette semaine (comme pour ne pas changer), de la loi Hadopi. France 5 présente de la désinformation pédagogique, probablement parce que les enfants sont plus facilement manipulables que les adultes. Stratégiquement, c’est une bonne idée : c’est en martelant le message dès l’enfance que l’on fera rentrer le 11ème commandement, «tu ne pirateras point», dans la tête des gens. Moralement, c’est beaucoup plus discutable.

L’Hadopi peut commencer à fonctionner. La CNIL a donné son feu vert. On en apprend un peu plus sur la stratégie des majors : la surveillance ciblera certaines oeuvres, récentes ou populaires, sur les réseaux P2P exclusivement, et il n’y aura délation qu’en cas de pluralité de téléchargements. Bref, on ne surveille pas toutes les oeuvres, mais seulement un petit nombre d’oeuvres dont on sait qu’elle seront téléchargées de manière illicite par de nombreux internautes. Clairement, le but de la manoeuvre n’est ni pédagogique, ni indemnitaire : il s’agit de faire peur.

On l’a dit et répété, le système Hadopi est incohérent et inefficace. Une des raisons de cette inefficacité est le ciblage exclusif des réseaux de P2P. Or, la contrefaçon se réalise désormais majoritairement par le téléchargement direct. Cette technique de téléchargement effraie les majors américains et attire l’attention des autorités fédérales. L’administration Obama vise en effet les sites de téléchargement direct étrangers, comme Rapidshare, plutôt que les réseaux P2P, et exclut la «riposte graduée» à la française. Google a par exemple été sommé de retirer les liens vers des fichiers contrefaisants.

La répression de la contrefaçon fait intervenir plusieurs considérations relatives à la neutralité du Net. Dans un entretien très intéressant, le vice-président de la SACEM explique, d’une part, que la neutralité devrait s’arrêter là où cesse la licéité et, d’autre part, que les plateformes du Web 2.0 ne devraient pas être qualifiées d’hébergeurs. Tout cela mérite réflexion. Sur le premier point, on peut difficilement lui donner raison : la neutralité est un principe qui intervient ex ante, avant qu’une conduite soit jugée licite ou illicite. Il ne saurait en être autrement car l’atteinte au principe de neutralité constitue, en soi, une violation de certains droits. Par exemple, pour déterminer l’illicéité d’un contenu à l’aide du DPI, il faut surveiller et filtrer ce contenu, ce qui viole les droits à la vie privée et au secret des communications. Sur le deuxième point, on rejoindra en partie son analyse : la directive «commerce électronique» de 2000 n’a jamais été pensée pour exonérer les plateformes Web 2.0 (qui n’existaient pas à l’époque) de responsabilité, mais pour garantir la sécurité juridique à des opérateurs qui n’ont aucun droit et n’exercent aucun contrôle sur le contenu diffusé. Certaines plateformes exercent une activité d’hébergement, c’est indéniable. Mais elles peuvent aussi exercer une activité de nature éditoriale. Par exemple, lorsque YouTube ou Dailymotion permettent à l’internaute de mettre une vidéo en ligne, elle lui fournissent un espace de stockage en ligne et agissent en tant qu’hébergeurs. Lorsqu’elles permettent à l’internaute d’insérer la vidéo mise en ligne sur son site, elles continuent d’agir en tant qu’hébergeur. En revanche, lorsqu’elles utilisent le contenu mis en ligne par les internautes pour attirer du trafic sur leur site et tirer profit de ce trafic, elles ont forcément un intérêt (pas forcément financier) dans le contenu diffusé, et elles cessent d’être des hébergeurs. Pour autant, il serait cruel de ruiner leur modèle économique (qui n’est pas illégitime) en leur appliquant la responsabilité de droit commun, pleine et entière. Il faudrait donc élaborer un troisième régime de responsabilité : le premier pour les «véritables hébergeurs», le nouveau pour les hébergeurs intéressés par le contenu et exerçant une forme de contrôle, le droit commun pour les éditeurs et les auteurs à l’origine du contenu.

Pour finir, la taxe pour la copie privée a toujours de nombreux défenseurs. Il n’est pas question d’idéologie (malgré ce qu’ils prétendent), mais d’argent. On ne saurait être plus pragmatique. Sinon, comment expliquer que l’on distingue tablettes Archos et tablette Apple ? Les tablettes Archos seraient des ordinateurs, mais pas l’iPad. C’est quoi, alors, l’iPad ? Une casserole atomique ? On sent poindre une légère mauvaise foi…

(1) Groupe de travail institué par l’article 29 de la directive 95/46 sur la protection des données personnelles.

Vie privée & protection des données

La vie privée deviendrait-elle une notion obsolète à l’heure du cloud computing ? La centralisation des données et des logiciels pour les exploiter côté serveur, ce que l’on appelle cloud computing ou informatique dans les nuages, a de beaux jours devant elle ; selon le cabinet Gartner, elle serait en progression de plus de 16% en 2010, et constituerait un marché de 68,3 milliards de dollars.

Autre danger pour la vie privée : la publicité ciblée, qui classe les internautes dans des catégories prédéterminées, grâce à leur profilage sur le fondement de critères eux aussi prédéterminés, et engendre ainsi de nombreux risques de discriminations. Le G29 (1) a publié cette semaine un documenten/PDF sur la publicité en ligne, dans lequel il réaffirme l’importance du consentement du sujet du traitement. Les sites qui collectent des données personnelles afin de fournir de la publicité ciblée sont soumis, selon le G29, à la règle de l’opt-in, selon laquelle tout traitement doit être préalablement autorisé par le sujet (contrairement à l’opt-out qui autorise tout traitement que le sujet n’a pas interdit).

Par ailleurs, la CNIL publie son rapport 2009fr/PDF. La CNIL a rendu, en 2009, 719 délibérations (+23% par rapport à 2008) et opéré 270 contrôles sur place (+24% par rapport à 2008). Le rapport revient sur les temps forts de l’année 2009 : le STIC, fichier de police judiciaire qui devient peu à peu un instrument d’enquêtes administratives ; la publicité ciblée en ligne qui fait passer la protection de la vie privée au second plan, derrière les intérêts commerciaux, et qui s’exerce souvent dans la plus grande opacité ; le vote électronique ; les réseaux sociaux et le droit à l’oubli, etc.

Les petites voitures de Google qui parcourent les rues du monde en analysant les signaux Wifi commencent à causer beaucoup de problèmeses à l’opérateur, tant aux États-Unis qu’en France, en Espagne, au Royaume-Uni ou en Allemagne. Google aurait en effet intercepté le contenu de certaines communicationsen.

Liberté d’expression & neutralité du Net

La liberté d’expression est mise en péril, sur le Net comme dans le «monde réel», par une tendance sécuritaire qui peut être observée dans le monde occidental depuis le 11 septembre 2001. C’est ainsi que l’Europe envisage d’enregistrer les recherches sur le Web et que le débat continue autour de la LOPPSI, en France, et du traité ACTA, en Europe et dans le monde.

La neutralité du Net est elle aussi compromise par les techniques de surveillance, d’abord pensées pour lutter contre le terrorisme international ou la pédopornographie, mais qui s’étendent rapidement à d’autres matières, comme la propriété intellectuelle. Ainsi, la surveillance du contenu des communications (ou DPI, pour Deep Packets Inspection) est de plus en plus souvent envisagé. Par exemple, le FAI Orange propose une solution DPI pour protéger les internautes contre l’usurpation d’identité… un remède pire que le mal.

Google est aussi accusé de restreindre la liberté de communication en retirant des applications Android sans le consentement des usagers. La raison de ce retrait est simple : les applications ne font pas ce qu’elles annoncent. Est-ce une raison pour les retirer ? On sait qu’Amazon avait supprimé à distance un livre des Kindle de ses clients, et que l’affaire avait fait grand bruit. Apple adopte une démarche différente, mais pas forcément meilleure, en validant chaque application avant de la mettre en ligne. Steve Jobs a ainsi expliqué récemment (keynote WWDC 2010) qu’une des trois principales raisons au refus de validation d’une application était l’inadéquation entre l’effet de cette application et la description qui en est faite. Alors, mieux vaut-il censurer (contrôler a priori) ou présumer la bonne foi et retirer a posteriori les applications mensongères ? On serait tenté de répondre qu’il vaut mieux retirer les applications a posteriori, mais un tel retrait est beaucoup plus frustrant pour les consommateurs qui perdent quelque chose dont ils avaient le sentiment d’être propriétaires (a tort : le droit d’utilisation n’est pas le droit de propriété). Il n’y a pas de solution parfaite…

En Australie, la censure est féroce. Pourtant, la question du filtrage d’Internet est régulièrement remise sur le tapis, et un certain assouplissement est possible.

Plus inquiétant, une étude récente soutient qu’Internet renforcerait la radicalité des opinions. En effet, contrairement aux médias traditionnels qui amènent l’information aux personnes (push), les internautes vont chercher l’information là où elle se trouve (pull). Les internautes seraient ainsi tentés de n’aller chercher l’information que sur les sites dont la ligne éditoriale correspond à leurs idées. Or, à ne lire que des écrits qui vont dans le sens de ce que l’on pense, on ignore les arguments contraires et l’on en finit par croire qu’il n’existe pas d’autre position valable.

Propriété intellectuelle & neutralité du Net

On reparle un peu, cette semaine (comme pour ne pas changer), de la loi Hadopi. France 5 présente de la désinformation pédagogique, probablement parce que les enfants sont plus facilement manipulables que les adultes. Stratégiquement, c’est une bonne idée : c’est en martelant le message dès l’enfance que l’on fera rentrer le 11ème commandement, «tu ne pirateras point», dans la tête des gens. Moralement, c’est beaucoup plus discutable.

L’Hadopi peut commencer à fonctionner. La CNIL a donné son feu vert. On en apprend un peu plus sur la stratégie des majors : la surveillance ciblera certaines oeuvres, récentes ou populaires, sur les réseaux P2P exclusivement, et il n’y aura délation qu’en cas de pluralité de téléchargements. Bref, on ne surveille pas toutes les oeuvres, mais seulement un petit nombre d’oeuvres dont on sait qu’elle seront téléchargées de manière illicite par de nombreux internautes. Clairement, le but de la manoeuvre n’est ni pédagogique, ni indemnitaire : il s’agit de faire peur.

On l’a dit et répété, le système Hadopi est incohérent et inefficace. Une des raisons de cette inefficacité est le ciblage exclusif des réseaux de P2P. Or, la contrefaçon se réalise désormais majoritairement par le téléchargement direct. Cette technique de téléchargement effraie les majors américains et attire l’attention des autorités fédérales. L’administration Obama vise en effet les sites de téléchargement direct étrangers, comme Rapidshare, plutôt que les réseaux P2P, et exclut la «riposte graduée» à la française. Google a par exemple été sommé de retirer les liens vers des fichiers contrefaisants.

La répression de la contrefaçon fait intervenir plusieurs considérations relatives à la neutralité du Net. Dans un entretien très intéressant, le vice-président de la SACEM explique, d’une part, que la neutralité devrait s’arrêter là où cesse la licéité et, d’autre part, que les plateformes du Web 2.0 ne devraient pas être qualifiées d’hébergeurs. Tout cela mérite réflexion. Sur le premier point, on peut difficilement lui donner raison : la neutralité est un principe qui intervient ex ante, avant qu’une conduite soit jugée licite ou illicite. Il ne saurait en être autrement car l’atteinte au principe de neutralité constitue, en soi, une violation de certains droits. Par exemple, pour déterminer l’illicéité d’un contenu à l’aide du DPI, il faut surveiller et filtrer ce contenu, ce qui viole les droits à la vie privée et au secret des communications. Sur le deuxième point, on rejoindra en partie son analyse : la directive «commerce électronique» de 2000 n’a jamais été pensée pour exonérer les plateformes Web 2.0 (qui n’existaient pas à l’époque) de responsabilité, mais pour garantir la sécurité juridique à des opérateurs qui n’ont aucun droit et n’exercent aucun contrôle sur le contenu diffusé. Certaines plateformes exercent une activité d’hébergement, c’est indéniable. Mais elles peuvent aussi exercer une activité de nature éditoriale. Par exemple, lorsque YouTube ou Dailymotion permettent à l’internaute de mettre une vidéo en ligne, elle lui fournissent un espace de stockage en ligne et agissent en tant qu’hébergeurs. Lorsqu’elles permettent à l’internaute d’insérer la vidéo mise en ligne sur son site, elles continuent d’agir en tant qu’hébergeur. En revanche, lorsqu’elles utilisent le contenu mis en ligne par les internautes pour attirer du trafic sur leur site et tirer profit de ce trafic, elles ont forcément un intérêt (pas forcément financier) dans le contenu diffusé, et elles cessent d’être des hébergeurs. Pour autant, il serait cruel de ruiner leur modèle économique (qui n’est pas illégitime) en leur appliquant la responsabilité de droit commun, pleine et entière. Il faudrait donc élaborer un troisième régime de responsabilité : le premier pour les «véritables hébergeurs», le nouveau pour les hébergeurs intéressés par le contenu et exerçant une forme de contrôle, le droit commun pour les éditeurs et les auteurs à l’origine du contenu.

Pour finir, la taxe pour la copie privée a toujours de nombreux défenseurs. Il n’est pas question d’idéologie (malgré ce qu’ils prétendent), mais d’argent. On ne saurait être plus pragmatique. Sinon, comment expliquer que l’on distingue tablettes Archos et tablette Apple ? Les tablettes Archos seraient des ordinateurs, mais pas l’iPad. C’est quoi, alors, l’iPad ? Une casserole atomique ? On sent poindre une légère mauvaise foi…

(1) Groupe de travail institué par l’article 29 de la directive 95/46 sur la protection des données personnelles.