StopCovid : le double risque de la “signose” et du “glissement”

Nous sommes aujourd’hui très honoré⋅e⋅s de pouvoir publier cet article d’Hubert Guillaud. Depuis de nombreuses années, Hubert Guillaud publie des analyses précieuses autour du numérique sur le site InternetActu.net dont il est le rédacteur en chef (nous vous invitons vivement à découvrir ce site si vous ne le connaissiez pas, et pas seulement parce qu’il est soutenu par nos ami⋅e⋅s de la Fing).

Nous republions ici avec son accord un article initialement publié sur Medium, qui interroge les risques autour de l’application StopCovid.

C’est donc le troisième article que le Framablog publie aujourd’hui sur cette application. Le premier, traduit par le (fabuleux) groupe de traduction Framalang, reprenait les arguments en une dizaine de points de l’organisation AlgorithmWatch. Le second, rédigé par Christophe Masutti, administrateur de Framasoft et auteur de « Affaires Privées, au sources du capitalisme de surveillance », faisait le lien entre (dé)pistage et capitalisme de surveillance.

Pourquoi un troisième article, alors ? D’abord, parce qu’Hubert Guillaud prend le problème de StopCovid sous un autre angle, celui du risque de « faire de la médecine un travail de police », comme le dit l’écrivain Alain Damasio. Mais aussi parce qu’il pose clairement la problématique de notre acceptation de « solutions techniques », en tant qu’individu comme en tant que société. Cette acceptation est d’ores et déjà facilitée (préparée ?) par de nombreux médias grands publics qui présentent StopCovid comme une solution pour sortir plus vite du confinement, à grands coups de sondages auprès d’une population sur-angoissée et mal-informée. « Les algorithmes ne sont pas l’ennemi. Le vrai problème réside dans notre paresse à nous gouverner », nous dit la chercheuse Antoinette Rouvroy, citée dans cet article. Assurons nous de faire l’effort de ne pas être paresseux.

Accéder aux articles déjà publiés dans notre dossier StopCovid

 



L’application StopCovid sera donc basée sur le volontariat et le respect des données personnelles, comme l’expliquaient le ministre de la Santé, Olivier Véran, et le secrétaire d’État au numérique, Cédric O, au Monde. Très bien ! C’est la loi !, a rappelé la CNIL. L’application de pistage massif des Français sera chiffrée et les données complètement anonymisées complète Mediapart. Elle sera une “brique” de déconfinement parmi d’autres (qui n’ont pas été annoncées). On nous l’assure !

Soit ! Mais pour combien de temps ? Quelle sera la durée de cette assurance ? Que dirons-nous quand mi-mai, fin mai, mi-juin, nous n’aurons toujours ni masques ni tests en quantité suffisante (les autres “briques”, je suppose ?) ?

Le risque face à une absence de masques et de tests qui est là pour durer est que cette brique logicielle devienne un peu le seul outil à notre disposition pour “déconfiner”. Que StopCovid, de “brique incertaine” devienne le seul outil prêt à être utilisé, tout comme aujourd’hui l’attestation dérogatoire de déplacement est devenue le seul outil de maîtrise du confinement qu’on renforce d’arrêtés municipaux ou nationaux (quand ce n’est pas d’appréciations liberticides des agents) sans réelle motivation sanitaire (comme l’interdiction de courir ou de faire du vélo ou la fermeture des parcs ou pire encore des marchés : alors qu’on peut organiser des marchés voir des commerces non essentiels comme des accès aux espaces verts avec des règles de distanciations sociales). Et donc que tout le monde souhaite le renforcer : en le rendant peut-être obligatoire et pire peut-être en le rendant accessible au contrôle policier ! Et dans l’urgence et le dénuement, pour sortir d’une crise qui se révèle chaque jour plus dramatique, nul doute que nombreux seront prêt à s’y précipiter !

Le problème principal de StopCovid, c’est de ne reposer sur aucune science ! La seule étude disponible sur le sujet dans Science estime que ce type d’application doit accueillir 60% de la population pour être efficace et être associée à une politique de dépistage — dont nous ne disposons pas !

À Singapour, l’application TraceTogether, qui rassemblait 15% de a population, pourtant couplée au dépistage n’a pas suffi, comme le rappelle Olivier Tesquet pour Télérama ou Margot Clément depuis Hong Kong pour Mediapart : c’est certainement le signe (pas assez fort pourtant) que ce n’est pas une solution.

L’entrepreneur et spécialiste de l’intelligence artificielle Rand Hindi a très clairement exposé le fonctionnement d’une application de ce type, dans un thread sur Twitter !

Il semble y avoir beaucoup de confusion au sujet de l’efficacité et confidentialité de l’app #StopCovid. Je vais ici tenter d’expliquer la techno DP3T sous jacente et pourquoi dépendre du volontariat n’apportera pas les résultats espérés. #privacy #covid19 @cedric_o @olivierveran

— Rand Hindi (@randhindi) April 9, 2020

À lire ce thread (lisez-le !), chacun comprendra que la confidentialité des données ne devrait pas être le problème de cette application si elle respecte les développements prévus ! On semble plutôt là devant une technologie “privacy by design”, conçue pour préserver la vie privée ! Et le déploiement d’un outil aussi respectueux des individus devrait être salué ! Mais les bons points en matière technique ne suffiront pas à pallier les deux risques d’usages que masque StopCovid.

Le risque de la “signose” : “prendre le signal pour la chose” !

Comme s’en désespère la philosophe du droit Antoinette Rouvroy, le coeur du problème de nos outils d’analyse de données, c’est de relever bien plus d’une “signose” plutôt que d’une diagnose. Une signose consiste à “prendre le signal pour la chose”. C’est-à-dire transformer le signe (la barbe) en signal (la radicalisation) ! Souvenez-vous ! C’est le problème fondamental qui se cache dans les outils d’analyse automatisés et que dénoncent sans relâche nombre de spécialistes du sujet, comme la mathématicienne Cathy O’Neil ou Kate Crawford par exemple.

StopCovid transforme la proximité avec un malade (le signe) en signal (vous avez été infecté) pour déclencher une alerte nécessitant un traitement (confinement, test).

Image : illustration schématique du fonctionnement de StopCovid par LeMonde.fr.

Son inverse, la “diagnose”, elle transforme des symptômes (fièvre, test) en diagnostic (positif ou négatif) pour déclencher un traitement (confinement, prescription médicale, soins…).

Le problème de StopCovid comme d’autres solutions de backtracking proposées, c’est de transformer une notion de proximité en alerte. Or, être à proximité d’un malade ne signifie pas le devenir automatiquement ! La médecine a besoin de suivre et confiner les malades, ceux qu’ils contaminent et ceux qui les ont contaminés. Mais cela ne peut pas se faire sur la base de conjoncture, de corrélation, d’approximation, de proximité et de localisation.

Très souvent, le coeur des problèmes des systèmes réside dans les données utilisées et dans les décisions très concrètes qui sont prises pour décider ! Ici, tout le problème de cette proximité réside dans sa définition, sa qualification. Comment est définie la proximité par l’application ? Quelle durée ? Quelle distance ? Quelles conditions ? Quel contexte est pris en compte ? Et pour chacun de ces critères avec quelle précision et quelle fiabilité ? Pour reprendre les termes de Rand Hindi, le fait que Bob ait été à proximité d’Alice ne signifie pas qu’il ait été contaminé ! Si on ne peut pas apprécier les conditions de cette proximité, celle-ci risque d’être peu pertinente ou de déclencher beaucoup de faux positifs. Ou de refléter bien autre chose que l’exposition virus : des conditions sociales inégalitaires : une caissière de supermarché aura bien plus de chance de croiser un malade qu’un cadre qui va pouvoir continuer à limiter ses interactions sociales et ses déplacements. Pourtant, celle-ci est peut-être protégée par un plexiglas, des gants, des masques… des mesures de distanciation pris par son employeur : elle aura croisé des malades sans qu’ils la contaminent, quand le cadre aura pu croiser l’enfant d’un ami (sans téléphone) qui lui aura toussé dessus. Bref, StopCovid risque surtout de sonner bien plus pour certains que pour d’autres ! Toujours les mêmes !

En réduisant le contexte à une distance, à une proximité, StopCovid risque surtout d’être un outil approximatif, qui risque de renvoyer la plupart d’entre nous, non pas à notre responsabilité, mais à des injonctions sans sens. À nouveau, proximité n’est pas contamination : je peux avoir été dans la file d’attente d’un magasin à côté d’un malade ou avoir parlé à un ami malade en gardant les gestes barrières et sans avoir été infecté !

Le risque bien sûr, vous l’aurez compris, est que StopCovid produise énormément de “faux positifs” : c’est-à-dire des signalements anxiogènes et non motivés ! Dont il ne nous présentera aucun contexte : on ne saura pas ni qui, ni quand nous avons été à proximité d’un malade, donc incapable d’apprécier la situation, de lui rendre son contexte pour l’apprécier. Nous serons renvoyés à l’injonction du signal ! Sans être capable de prendre une décision informée (dois-je me confiner ? me faire tester — pour autant que ce soit possible !?).

En fait, quand on regarde un questionnaire d’enquête épidémiologique — par exemple, dans une forme très simple, prenons celui-ci proposé pour des cas de co-exposition au virus, on se rend compte que la proximité n’est pas le seul critère évalué. Les dates, les symptômes, l’état de santé de l’exposé, le degré de relation et sa description sont essentiels. Ils permettent notamment d’évaluer très vite un niveau de risque : faible, modéré ou élevé. Une enquête épidémiologique consiste à répondre à des questions sur ses relations, les lieux qu’on a fréquentés, les gens qu’on côtoie plus que ceux que l’on croise, ceux dont on est proche : qu’on touche et embrasse… L’important n’est pas que le questionnaire comme vous diront tous ceux qui mènent des enquêtes, c’est également la relation, la compréhension d’un mode de vie, d’un niveau de risque (respectez-vous les gestes barrières : assidûment ou pas du tout ?). Bref, l’important, c’est aussi d’introduire du rapport humain dans le suivi épidémique. Ce qu’une appli ne peut pas faire sauf, comme vous le diront leurs promoteurs, en collectant toujours plus de données, en étant toujours plus liberticides, pour qualifier toujours mieux le signe en signal !

Le risque des “glissements liberticides et discriminatoires” : de la contrainte à l’obligation !

Le risque c’est qu’en l’absence de tests, de masques (et cette absence va durer !), StopCovid devienne le seul recours d’une politique sanitaire de catastrophe. Le risque est — comme toujours — de “glisser” d’une signose à une politique. Ce que j’appelle “le glissement”, c’est le changement de finalité et l’évolution des autorisations d’accès. C’est le moteur de l’innovation technologique (une manière de pivoter dirait-on dans le monde entrepreneurial, c’est-à-dire de changer la finalité d’un produit et de le vendre pour d’autres clients que son marché originel). Mais le glissement est aussi le moteur de la surveillance, qui consiste bien souvent à transformer des fonctions simples en fonctions de surveillance : comme quand accéder à vos outils de télétravail permet de vous surveiller. Le risque du glissement consiste à faire évoluer dans l’urgence les finalités de l’application StopCovid, qu’elles soient logicielles ou d’usage. C’est ce dont s’inquiète (.pdf) très justement le comité consultatif national d’éthique en prévenant du risque de l’utilisation de l’application pour du contrôle policier ou du contrôle par l’employeur. Même inquiétude pour La Quadrature du Net et l’Observatoire des libertés numériques : le risque c’est qu’une “telle application finisse par être imposée pour continuer de travailler ou pour accéder à certains lieux publics”.

Or, il n’existe aucune garantie contre ces “glissements”… d’autant plus quand la colère et la crainte, la crise économique, le manque de tests et de masques, la durée du confinement, vont rendre le déconfinement encore plus pressant et l’exaspération encore plus réactive. Le risque le plus évident bien sûr est que votre employeur demande à voir votre application sur votre smartphone chaque matin ! Les commerçants, les bars, les policiers, les voisins… Que StopCovid devienne le “certificat d’immunité”, qu’évoquait dans son plan de déconfinement — tout à fait scandaleusement il me semble — la maire de Paris, Anne Hidalgo (sans compter qu’elle l’évoque comme un moyen de contrôle par l’employeur qu’elle représente, la Ville de Paris !). Le “glissement” le plus insidieux c’est que StopCovid devienne une application non pas obligatoire, mais injonctive. Que la santé de chacun soit à la vue de tous : employeurs, voisins, police ! Que nous devenions tous des auxiliaires de police plutôt que des auxiliaires de santé !

L’autre risque du certificat d’immunité, comme le souligne Bloomberg, c’est de faire exploser nos systèmes de santé par un déconfinement total, massif, calculé, où le seul sésame pour participer au monde de demain serait d’avoir survécu au virus ! Un calcul bien présomptueux à ce stade : Pourquoi ? Parce que pour l’instant, on évalue le nombre de Français immunisés par le virus à 10–15% pour les évaluations les plus optimistes, d’autres à 1,5 million soit seulement 2% de la population (et encore bien moins si on rapporte le taux de létalité de 0,37% au nombre de morts). Arriver à 60% d’immunité n’est pas le meilleur pari à prendre à court ou moyen terme !

Dans sa note (.pdf) (complète et intéressante) recensant les différentes techniques de pistage existantes, l’inénarrable Mounir Mahjoubi, ex-Secrétaire d’État au numérique, concédait un autre glissement : celui de l’obligation à utiliser une application comme StopCovid. Pour atteindre le taux d’usage de 60% de la population, Mahjoubi soulignait que “les autorités pourraient être ainsi être tentées de recourir à des mesures coercitives pour motiver l’installation”. Dans son analyse l’entrepreneur Rand Hindi arrivait à la même conclusion, en pire : rendre l’application obligatoire et faire que les autorités puissent accéder aux personnes qui reçoivent une alerte pour leur “appliquer” un confinement strict ! C’est-à-dire lever la confidentialité de l’état de santé, rien de moins.

L’application — pourtant “privacy by design” — n’est pas encore déployée que déjà on nous prépare aux glissements, autoritaires ou contraints ! Le risque bien sûr est de passer d’un contrôle des attestations à un contrôle de l’application ! Un élargissement continu de la pratique du contrôle par la police qui a tendance à élargir les dérives… Ou, pour le dire avec la force d’Alain Damasio : “faire de la médecine un travail de police”.

Le risque enfin c’est bien sûr de faire évoluer l’application par décrets et modification successive du code… pour finir par lui faire afficher qui a contaminé qui et quand, qui serait le meilleur moyen d’enterrer définitivement nos libertés publiques !

Le risque du glissement, c’est de croire qu’en lançant StopCovid nous pourrons toujours l’améliorer. C’est de croire, comme toujours avec le numérique, qu’il suffit de plus de données pour avoir un meilleur outil. C’est de continuer à croire en la surenchère technologique, sans qu’elle ne produise d’effets autres que la fin des libertés publiques, juste parce que c’est la seule solution qui semble rationnelle et qui s’offre à nous !

Le risque, finalement est de continuer à croire que l’analyse de mauvaises données fera pour moins cher ce que seule la science peut faire : mais avec du temps et de l’argent. Le risque, c’est de croire, comme d’habitude que le numérique permet de faire la même chose pour moins cher, d’être un soin palliatif de la médecine. On sait où cette politique de baisse des coûts nous a menés en matière de masques, de lits et de tests. Doit-on encore continuer ?

Le risque c’est de croire qu’une application peut faire le travail d’un médecin, d’un humain : diagnostiquer, traiter, enquêter, apaiser… Soigner et prendre soin. Le risque c’est de rendre disponible des informations de santé de quelque nature qu’elles soient en dehors du circuit de santé et de soin !

Faire de la science !

Face à cette crise, face aux défauts de l’industrie et de la mondialisation qu’elle a révélée tout cru, face à des flux trop tendus, à une compétition encore plus acharnée que jamais, et en attendant que l’industrie parvienne à nouveau à répondre à nos besoins mondiaux, notre seul recours reste la débrouille et la science ! La débrouille, car il risque de falloir faire longtemps avec ce qu’on a. Ou plutôt ce qu’on n’a pas : ni masques, ni tests, ni vaccins !

L’application ne soignera pas. Il va falloir retourner au contact ! Trouver les malades. Les diagnostiquer. Les traiter, enquêter pour remonter les contaminations. “Je ne sais pas faire porter un masque à un point” dit très justement l’épidémiologue Renaux Piarroux. Le confinement va nous donner un répit. Il va nous permettre de faire ce que nous aurions dû faire depuis le début : diagnostiquer et traiter, surveiller et isoler, enquêter pour trouver les personnes en contact… Pour cela, nous ne partirons pas de rien : nous avons Covidom et les techniques de l’enquête épidémiologique. Faire un lent et patient travail que le numérique ne peut pas faire. Modestement. Courageusement. Patiemment.

****

Le numérique ne peut pas tout ! Alors qu’on y a recours comme jamais depuis le confinement, cette crise nous montre que le numérique ne livre pas les produits des Drive, ni n’assure la continuité pédagogique. Il ne repère pas non plus les malades ni ne le soigne. Pour cela aussi, nous avons encore besoin des hommes, des femmes, des premiers de cordée, ceux qui sont aux avant-postes, ceux qui sont essentiels, les irremplaçables («la responsabilité suppose une exigence d’irremplaçabilité”, disait la philosophe Cynthia Fleury).

La fin du confinement est l’occasion d’un recommencement stratégique. Recommençons convenablement : suivons les cas, isolons-les, enquêtons sur leurs relations. Trouvons-les asymptotiques. Surveillons les températures. Testons si c’est possible ! Revenons-en à la science, c’est la seule qui ait fait ses preuves ! Faisons confiance à la débrouille et accueillons là au mieux.

Ce que nous devons garantir en tant que société : c’est que les informations de santé demeurent des informations de santé. Que l’état de chacun face au Covid n’a pas à être communiqué : ni aux entreprises, ni à la police, ni aux employeurs, ni aux voisins ! La santé doit rester à la médecine et la médecine ne doit pas devenir la police. Devant un homme malade, on ne doit pas mettre une application, mais bien un soignant.

Il va nous falloir accepter que tous nos remèdes contre le virus soient imparfaits, qu’aucun ne soit radical. Il va nous falloir apprendre à vivre avec les mauvaises herbes des coronavirus. Il va nous falloir faire avec, car nous n’aurons pas de solutions magiques et immédiates : ni tests à foison, ni masques, ni application magique !

Nous avons besoin de science, d’intelligence, de coopération et de réassurance. Il faut arrêter de terroriser les gens par des discours changeants, mais les aider à grandir et comprendre, comme le souligne, énervé, François Sureau. Ni les injonctions, ni la peur, ni le moralisme ne nous y aideront.

Une chose me marque beaucoup depuis le début de cette pandémie, c’est la colère et l’angoisse des gens, non seulement face à un confinement inédit, face à l’inquiétude d’une crise sans précédent qui s’annonce, mais surtout terrifié par la crainte de chopper ce terrible virus dont on leur parle en continu. Une inquiétude qui n’a cessé d’être aggravée par les injonctions contradictoires des autorités, par les changements de stratégies, les annonces démenties, les promesses non tenues, les retards dans les prises de décision… et plus encore les décisions infantilisantes, sans explications, voire prises en dépit du bon sens épidémique. Une population inquiète parce ce que nous savons que cette crise va durer longtemps et que nous n’avons aucune solution facile et immédiate à disposition. Une population angoissée par la perspective que la pandémie puisse faire 20 millions de morts sur la planète, 230 000 personnes en France (selon le taux de létalité de 0,37% : 230 000 morts, c’est ⅓ de la mortalité annuelle du pays — 600 000 morts par an). Une population rongée à l’idée de se retrouver seule et démunie à l’image de nos aînés, dont les derniers moments nous sont cachés, confisqués à leurs proches, d’une manière foncièrement inhumaine.

Nous avons besoin de décisions claires et sincères, d’explications qui aident à grandir et à comprendre. Nous en sommes loin ! Beaucoup trop loin ! Et j’avoue que de semaine en semaine, c’est ce qui m’inquiète le plus !

Hubert Guillaud




Technologies de crise, mais avec la démocratie

Le scénario d’une accentuation dramatique de la surveillance de masse est déjà sur la table, il suffit de jeter un œil à l’actualité planétaire de la pandémie pour s’en rendre compte.

Accéder aux articles déjà publiés dans notre dossier StopCovid

Pistage des déplacements géolocalisés, reconnaissance faciale, restriction des droits individuels les plus élémentaires, la technopolice qui partout se déploie est d’autant plus inquiétante qu’elle se légitime par la nécessité d’une lutte contre la crise sanitaire. Dès qu’il s’agit de sauver des vies (et la nôtre en particulier) il semble que tout passe au second plan. Après la pédopornographie, le cyberharcèlement, le terrorisme, c’est aujourd’hui la crise sanitaire qui est le cheval de Troie de la surveillance.

Pourtant, comme le montre la prise de position de l’association sans but lucratif Algorithmwatch que nous avons traduite ci-dessous, la démocratie et le respect de la vie privée ne sont nullement incompatibles avec le déploiement de technologies dédiées à la lutte contre la crise sanitaire. Cela nécessite cependant une résistance citoyenne coordonnée…

Article original : Automated decision-making systems and the fight against COVID-19 – our position

Traduction Framalang : CLC, goofy, jums, Barbidule

Les systèmes automatisés de prise de décision et la lutte contre le COVID-19 : notre position

par AlgorithmWatch

Alors que la pandémie de COVID-19 fait rage partout dans le monde, nombreux sont ceux qui se demandent s’il faut mettre en œuvre des systèmes automatisés de prise de décision (N.D.T. : en français, on parle de SIAD) pour y mettre un frein et, si oui, selon quelles modalités.
Différentes solutions sont proposées et mises en œuvre, qui vont des mesures autoritaires de contrôle de la population prises par la Chine jusqu’à des solutions décentralisées, orientées vie privée, comme l’application Safe Path du MIT.
Ci-après nous présentons un ensemble de principes possibles et de réflexions pouvant servir de base à une réflexion utile, démocratique et bien informée sur l’utilisation de systèmes SIAD dans le cadre de l’actuelle pandémie.

silhouettes de continents avec des zones ciblées en cercles concentriques rouges et vert suggérant l’étendue de la pandémie selon les zones géographiques

1. Le COVID-19 n’est pas un problème technologique. L’étude des réponses concrètes à la pandémie montre que les interventions efficaces prennent toujours racine dans des politiques de santé publique globales. Singapour, la Corée du Sud et Taïwan, fréquemment cités en exemple pour leur gestion de l’épidémie, avaient chacun un plan d’action en place, souvent conçu après l’épidémie de SRAS de 2003. Être prêt à affronter une épidémie va bien au-delà des seules solutions techniques : cela suppose des ressources, des compétences, de la planification, ainsi que la volonté politique et la légitimité pour les déployer lorsque c’est nécessaire.

2. Il n’y a pas de solution toute faite pour répondre à l’épidémie de COVID-19. Pour gagner le combat contre le virus, il faut combiner tests, traçage des contacts et confinement. Cependant, chaque contexte est unique. Un pays dans lequel le virus a circulé pendant des mois sans être détecté (comme l’Italie) n’est pas dans la même situation qu’un pays qui a identifié très tôt les porteurs du virus (comme la Corée du Sud). Les différences sociales, politiques et culturelles jouent également un rôle important lorsqu’on cherche à faire appliquer des politiques de santé publique. Cela signifie que la même solution peut aboutir à des résultats très différents selon les contextes.

3. Par conséquent, il n’y a aucune urgence à mettre en place une surveillance numérique de masse pour lutter contre le COVID-19. Il ne s’agit pas que d’une question de vie privée – quoique la vie privée soit un droit fondamental qui mérite d’être protégé. Avant même d’envisager les conséquences des applications de traçage numérique des contacts, par exemple en termes de protection des données personnelles, nous devrions nous demander : est-ce que cela fonctionne ? Or les résultats tirés de la littérature scientifique sur les épidémies antérieures sont mitigés, et dépendent éminemment du contexte. La protection des droits doit être mise en regard des bénéfices attendus (sauver des vies). Mais sacrifier nos libertés fondamentales est inutile si l’on n’en retire aucun bénéfice.

4. Les mesures de confinement devront prendre fin à un moment ou à un autre. Nous devons essayer d’imaginer comment revenir à la « normale ». La plupart des scénarios impliquent une sorte de surveillance numérique qui paraît indispensable si l’on prend en considération les aspects spécifiques du COVID-19 : existence de patients asymptomatiques pouvant être contagieux, période d’incubation de 14 jours, absence de tout remède ou vaccin à l’heure actuelle. Les acteurs de la société civile doivent être prêts à participer à la discussion sur les solutions de surveillance envisagées, afin de favoriser l’émergence d’approches appropriées.

5. La protection contre le COVID-19 et la protection de la vie privée ne s’excluent pas l’une l’autre. Les solutions comme celle que le MIT a développée (les Safe Paths) ou la plate-forme baptisée PEPP-PT (Pan-European Privacy Preserving Proximity Tracing) permettront un « contact tracing » numérique dans le cadre d’une approche ouverte et décentralisée, plus respectueuse des droits des personnes. C’est la solution que certains pays comme Singapour ont retenue pour traiter la question (via l’appli “TraceTogether”) contrairement à l’approche qui a été choisie par la Corée du Sud et Israël.

6. Toute solution doit être mise en œuvre d’une manière respectueuse de la démocratie. La démocratie n’est pas un obstacle à la lutte contre la pandémie : c’est au contraire le seul espoir que nous ayons de prendre des mesures rationnelles et qui respectent les droits de chacun. La plus haute transparence est nécessaire en ce qui concerne 1) les solutions technologiques à l’étude, 2) les équipes d’experts ou les institutions ad hoc créées pour les étudier, 3) les preuves qui justifient leur mise en œuvre, 4) les acteurs chargés de les implémenter et les déployer, en particulier si ce sont des acteurs privés. Seule une parfaite transparence pourra garantir que la société civile et les parlementaires sont en mesure de contrôler l’exécutif.

7. L’usage massif des données qui résulte du développement de systèmes automatisés d’aide à la décision dans le cadre de la lutte contre le virus va conduire à discriminer de nouvelles catégories sociales. Les pouvoirs publics doivent empêcher toute stigmatisation des personnes qui seraient classées dans les mauvaises catégories et veiller au respect des droits de ceux qui n’obtiennent pas de scores suffisamment élevés sur les échelles qui sont utilisées, notamment pour ce qui est du tri dans le système de santé.

8. Même si les systèmes de surveillance numérique prouvent leur utilité, ils doivent être mis en œuvre dans le strict respect des principes de protection des données : comme le Comité européen de la protection des données l’a précisé récemment, il convient de respecter les principes de nécessité, de proportionnalité, de pertinence et du droit en général même en cas d’urgence de santé publique. Tout citoyen doit être en mesure de faire appel d’une décision prise par un système automatique concernant le COVID-19 (en particulier les applications qui déterminent si une personne a été en contact avec une personne contaminée et si celle-ci doit être mise en quarantaine). Les gouvernements et les entreprises qui contractualisent avec eux doivent respecter le RGPD.

9. Les systèmes automatisés d’aide à la décision qui existent déjà ne devraient pas être adaptés pour être mis en œuvre dans le cadre de la pandémie actuelle. En effet, ces systèmes, qui reposent sur des données d’apprentissage anciennes, ne peuvent pas, de ce fait, supporter un changement soudain des conditions dans lesquelles ils sont déployés. La police prédictive, l’aide automatisée aux juges, l’évaluation de la solvabilité et les évaluations issues d’autres SIAD pourraient produire des résultats beaucoup éloignés des intervalles habituels (par exemple en raison des taux d’erreur). Il faudrait de toute urgence les vérifier, voire en suspendre l’utilisation.

10. Par définition, une pandémie touche la planète entière. Il est nécessaire d’y répondre à l’aide d’un ensemble de réponses globales, diverses et coordonnées. Ces réponses devraient être surveillées par un réseau mondial d’organisations de la société civile travaillant main dans la main. Les précédentes crises ont montré que les situations d’urgence fournissent à certains leaders politiques peu scrupuleux une excuse pour légitimer la mise en place d’infrastructures de surveillance de masse qui violent, inutilement et indéfiniment, les droits des citoyens. La résistance (partiellement) victorieuse n’a été possible que lorsque celle-ci a été globale, coordonnée et bien construite, avec des précisions et des preuves solides de notre côté.

11. Et enfin, nous devons nous assurer que ce débat sur la surveillance pendant le COVID-19 ne se déroule pas dans le vide. Certains SIAD, en particulier la reconnaissance faciale, ont déjà prouvé qu’ils étaient problématiques. L’état d’urgence sanitaire actuel ne peut pas être invoqué pour justifier leur déploiement : bien au contraire, tous les problèmes signalés « en temps ordinaire » – le manque de précision, les biais systématiques dans leur mise en œuvre, des préoccupations plus larges concernant les abus possibles de données biométriques, etc. – deviennent encore plus aigus lors de moments exceptionnels, quand la santé et la sécurité de chacun sont en jeu. Nous devons non seulement veiller à ce que ce débat crucial ne soit pas confisqué par les technologues ou les technologies, mais aussi nous assurer que les technologies concernées aient prouvé qu’elles profitent à la société. La mise entre parenthèses des communications en chair et en os donne une occasion de procurer en ligne encore plus de services sociaux et autres services de base, là où les SIAD remplacent souvent les travailleurs sociaux. Cela pourrait avoir des conséquences catastrophiques pour les citoyens qui n’ont pas d’accès aux outils numériques ou aucun moyen de les comprendre avec un recul critique. Nous devons nous assurer que cela n’arrivera pas.

 

Auteur principal : Fabio Chiusi, avec la collaboration de Nicolas Kayser-Bril




Données biométriques : des risques de sécurité

Rien de ce qui constitue notre vie numérique n’est totalement dépourvu de failles, pas une semaine ne se passe sans qu’un piratage massif ne soit révélé. C’est par millions que nos données d’internautes sont exposées, y compris et peut-être surtout quand nous les confions plus ou moins aveuglément aux grandes entreprises du numérique.

Quelques exemples parmi tant d’autres : les iPhones, Facebook, Yves Rocher, Option Way, la Gendarmerie

Dans la course jamais gagnée à la sécurité, les mots de passe sont notoirement fragiles, de sorte que les entreprises passent désormais au stade supérieur et cherchent à utiliser nos données biométriques.

Cependant, comme le souligne Glyn Moody dans l’article ci-dessous, si l’on peut changer un mot de passe piraté, il est impossible de changer des données biométriques compromises…

Source : A major security breach raises a key question: what happens when your biometric data is exfiltrated from a system?

Traduction Framalang : goofy, Penguin, Fabrice, FranBAG, Mannik

Une importante faille de sécurité soulève une question clef : que se passe-t-il lorsque vos données biométriques ont fuité d’un système ?

par Glyn Moody

visage féminin dont le straits principaux sont reliés par un système de reconnaissance faciale. Texte en anglais : biometrics are the key that defines us.
« Les données biométriques nous définissent » – Image provenant de Suprema.

Ce n’est pas un secret, la sécurité des mots de passe est souvent déplorable. Les bons mots de passe, ceux qui sont longs et qui mélangent minuscules, majuscules, chiffres et caractères spéciaux, sont difficiles à se mémoriser, à moins d’utiliser un gestionnaire de mots de passe, ce que peu de gens semblent faire. Résultat, les gens ont tendance à choisir des mots de passe faciles à se rappeler, tels que des noms ou des dates de naissance ou encore des absurdités comme « motdepasse » et « 1234 ». Les tentatives pour détourner les personnes de tels mots de passe restent vaines, et en conséquence de nombreuses entreprises et organisations essayent de régler le problème en se débarrassant totalement des mots de passe. L’alternative, utiliser les techniques biométriques telles que la lecture des empreintes digitales, de l’iris et la reconnaissance faciale, est arrivée à maturité et est de plus en plus utilisée. Une des principales sociétés de développement de contrôles d’accès par biométrie s’appelle Suprema :

La gamme étendue de produits Suprema comprend des systèmes de contrôle d’accès biométriques, des solutions de temps et de présence, des lecteurs d’empreintes digitales, des solutions d’authentification mobiles et des modules d’empreintes digitales embarqués. Suprema a consolidé son statut de marque mondiale de premier ordre dans le secteur de la sécurité physique et possède un réseau mondial de ventes dans plus de 130 pays. Suprema se classe en première place concernant les parts de marché dans la région EMEA1  et a été nommée parmi les 50 principaux fabricants mondiaux dans le secteur de la sécurité.

D’après le site web de la société, 1,5 million de leurs systèmes sont installés dans le monde, utilisés par plus d’un milliard de personnes. Au vu de la position de Suprema dans ce secteur, une information concernant une fuite de données à grande échelle dans leur principal produit, BioStar 2, est particulièrement préoccupante : « Lors d’un test la semaine dernière, les chercheurs ont trouvé que la base de données de Biostar 2 n’était pas protégée et en grande partie non-chiffrée. Ils ont été capables d’effectuer des recherches dans la base de données en manipulant le critère de recherche URL dans Elasticsearch pour accéder aux données. » Un message sur la page d’accueil de Suprema indique : « cet incident concerne un nombre limité d’utilisateurs de l’API BioStar 2 Cloud. La grande majorité des clients de Suprema n’utilise pas l’API BioStar 2 Cloud comme solution de contrôle d’accès et de gestion de temps et de présence. » C’est peut-être vrai, mais les déclarations des chercheurs à propos de ce qui a été découvert sont inquiétantes à lire :

Notre équipe a été capable d’accéder à plus de 27,8 millions d’enregistrements pour un total de 23Go de données, qui incluent les informations suivantes :

  • Accès aux panneaux, tableau de bord, contrôles back office et permissions des administrateurs clients
  • Données des empreintes digitales
  • Informations de reconnaissance faciale et images d’utilisateurs
  • Noms, identifiants et mots de passe d’utilisateurs non chiffrés
  • Enregistrements des entrées et des sorties de zones sécurisées
  • Fiches d’employés, incluant les dates d’entrée dans l’entreprise
  • Niveau de sécurité et habilitations d’employés
  • Détails personnels, dont l’adresse du domicile et de messagerie privée d’employés
  • Structures et hiérarchies des fonctions dans l’entreprise
  • Terminaux mobiles et informations sur les systèmes d’exploitation

Le fait que des mots de passe, y compris ceux de comptes disposant de droits administrateurs, aient été enregistrés par une entreprise de sécurité sans être chiffrés est incroyable. Comme le signalent les chercheurs, tous ceux qui ont trouvé cette base de données pouvaient utiliser ces mots de passe administrateurs pour prendre le contrôle de comptes BioStar 2 de haut niveau avec toutes les permissions et habilitations complètes des utilisateurs, et modifier les paramètres de sécurité d’un réseau entier. Ils pouvaient créer de nouveaux comptes, les compléter avec des empreintes digitales et scans faciaux ainsi que se donner eux-mêmes accès à des zones sécurisées à l’intérieur de bâtiments. De même, ils pouvaient changer les empreintes digitales de comptes possédant des habilitations de sécurité afin d’octroyer à n’importe qui la possibilité d’entrer dans ces zones.

Comme le compte administrateur contrôle les enregistrements d’activité, des criminels pouvaient supprimer ou modifier les données afin de masquer leurs opérations. En d’autres termes, accéder à de tels mots de passe permet à n’importe qui d’entrer dans n’importe quelle partie d’un bâtiment considéré comme sécurisé et ce de manière invisible, sans laisser aucune trace de leur présence. Cela permettrait le vol d’objets précieux conservés dans les locaux. Plus sérieusement, peut-être, cela permettrait un accès physique aux services informatiques, de manière à faciliter l’accès futur aux réseaux et données sensibles.

Le problème ne s’arrête pas là. La liste des informations hautement personnelles, telles que les fiches d’emploi, adresses de messagerie et de domicile visibles dans la base de données, pourrait faire courir un véritable risque de vol d’identité et d’hameçonnage. Ça permet aussi l’identification du personnel clé des entreprises utilisant le système BioStar 2. Cela pourrait les rendre plus vulnérables aux menaces de chantage par des criminels. Mais peut-être que le problème le plus sérieux est celui-ci, relevé par les chercheurs :

L’utilisation de sécurité biométrique comme les empreintes digitales est récente. Ainsi, la véritable portée du risque de vol d’empreintes digitales est encore inconnue.

 

Toutefois, il est important de se rappeler qu’une fois volées, vos empreintes digitales ne peuvent pas être changées, contrairement aux mots de passe.

Cela rend le vol des données d’empreintes digitales encore plus préoccupant. Elles ont remplacé les mots de passe alphanumériques dans de nombreux objets de consommation, tels que les téléphones. La plupart de leurs lecteurs d’empreintes digitales ne sont pas chiffrés, ainsi lorsqu’un hacker développera une technologie pour reproduire vos empreintes, il obtiendra l’accès à toutes vos informations personnelles telles que les messages, photos et moyens de paiement stockés sur votre appareil.

D’après les chercheurs qui ont découvert cette base de données vulnérable, au lieu de stocker un hash de l’empreinte digitale – une version mathématiquement brouillée qui ne peut pas faire l’objet de rétro-ingénierie – Suprema a enregistré la version numérique des véritables empreintes des personnes, laquelle peut donc être copiée et directement utilisée pour dans un but malveillant. Il existe déjà de nombreuses méthodes pour créer de fausses empreintes d’assez bonne qualité pour berner les systèmes biométriques. Si les données de l’empreinte complète sont disponibles, de telles contrefaçons ont de bonnes chances de mettre en échec même la meilleure sécurité biométrique.

La possibilité d’une fuite d’autant d’empreintes digitales dans le cas du système BioStar 2 rend la réponse à la question « que se passe-t-il lorsque quelqu’un a une copie de vos données biométriques ? » encore plus cruciale. Comme des personnes le signalent depuis des années, vous ne pouvez pas changer vos caractéristiques biométriques, à moins d’une chirurgie. Ou, comme le dit Suprema sur son site web : « La biométrie est ce qui nous définit. »

Étant donné ce point essentiel, immuable, il est peut-être temps de demander que la biométrie ne soit utilisée qu’en cas d’absolue nécessité uniquement, et non de manière systématique. Et si elle est utilisée, elle doit obligatoirement être protégée – par la loi – avec le plus haut niveau de sécurité disponible. En attendant, les mots de passe, et pas la biométrie, devraient être utilisés dans la plupart des situations nécessitant un contrôle d’accès préalable. Au moins, ils peuvent être changés en cas de compromission de la base de données où ils sont conservés. Et au lieu de pousser les gens à choisir et se rappeler de meilleurs mots de passe, ce qui est un vœu pieux, nous devrions plutôt les aider à installer et utiliser un gestionnaire de mots de passe.

 

À propos de Glyn Moody
Glyn Moody est un journaliste indépendant qui écrit et parle de la protection de la vie privée, de la surveillance, des droits numériques, de l’open source, des droits d’auteurs, des brevets et des questions de politique générale impliquant les technologies du numérique. Il a commencé à traiter l’usage commercial d’Internet en 1994 et écrivit le premier article grand public sur Linux, qui parait dans Wired en août 1997. Son livre, Rebel Code, est la première et seule histoire détaillée de l’avènement de l’open source, tandis que son travail ultérieur, The Digital Code of Life, explore la bio-informatique, c’est-à-dire l’intersection de l’informatique et de la génomique.




Aujourd’hui, les licences suffisent-elles ?

Frank Karlitschek est un développeur de logiciel libre, un entrepreneur et un militant pour le respect de la vie privée. Il a fondé les projets Nextcloud et ownCloud et il est également impliqué dans plusieurs autres projets de logiciels libres.

Il a publié le Manifeste des données utilisateurs dont nous avons tout récemment publié une traduction et il présente régulièrement des conférences. Il a pris la peine de résumer l’une d’elles qui porte sur les limites des licences libres et open source dans l’environnement numérique d’aujourd’hui.

Source : Open source is more than licenses

Traduction Framalang : swifter, goofy, Julien / Sphinx, Damien , Tykayn, Fabrice, Côme

L’open source, c’est plus que des licences

par Frank Karlitschek

Photo par Nextcloud (CC BY 3.0 via Wikimedia Commons)

Il y a quelques semaines, j’ai eu l’honneur de prononcer une conférence introductive aux Open Source Awards d’Édimbourg. J’ai décidé d’aborder un sujet dont je voulais parler depuis un bon bout de temps sans en avoir eu l’occasion jusqu’alors. Ma conférence n’a pas été filmée mais plusieurs personnes m’ont demandé d’en faire une synthèse. J’ai donc décidé de prendre un peu de mon temps libre dans un avion pour en faire un résumé dans le billet qui suit.

J’ai commencé à utiliser des ordinateurs et à écrire des logiciels au début des années 80 quand j’avais 10 ans. C’est à la même l’époque que Richard Stallman a écrit les 4 libertés, lancé le projet GNU, fondé la FSF et créé la GPL. Son idée était que les utilisateurs et les développeurs devraient avoir le contrôle de leur propre ordinateur, ce qui nécessite des logiciels libres. À l’époque, l’expérience informatique se résumait à un ordinateur personnel devant vous et, avec un peu de chance, les logiciels libres et open source qui s’y trouvaient.

L’équation était :

(matériel personnel) + (logiciel libre)

= (liberté numérique)

Depuis, le monde de l’informatique a changé et beaucoup évolué. Nous avons à présent accès à Internet partout, nous avons des ordinateurs dans les voitures, les télévisions, les montres et tous les autres appareils de l’Internet des Objets. Nous sommes en pleine révolution du tout mobile. Nous avons le Cloud computing (le fameux « nuage ») où le stockage des données et la puissance informatique sont partagés entre plusieurs Data centers (centre de données) possédés et contrôlés par plusieurs groupes et organisations à travers le monde. Nous avons un système de brevets très fort, les DRM, la signature de code et autres outils de cryptographie, les logiciels devenus des services, du matériel propriétaire, des réseaux sociaux et la puissance de l’effet réseau.

Dans son ensemble, le monde a beaucoup changé depuis les années 80. La majorité de la communauté du logiciel libre et de l’open source continue de se concentrer sur les licences logicielles. Je me demande si nous ne perdons pas une vue d’ensemble en limitant le mouvement du logiciel libre et open source aux seules questions des licences.

Richard Stallman souhaitait contrôler son ordinateur. Voyons la situation sur quelques-unes des grandes questions actuelles sur le contrôle numérique :

Facebook

Ces derniers temps, Facebook est sous le feu de nombreuses critiques : que ce soit les innombrables atteintes à la vie privée des utilisateurs, l’implication dans le truquage d’élections, le déclenchement d’un génocide en Birmanie, l’affaiblissement de la démocratie et beaucoup d’autres faits. Voyons si le logiciel libre pourrait résoudre ce problème :

Si Facebook publiait demain son code comme un logiciel libre et open source, notre communauté serait aux anges. Nous avons gagné ! Mais cela résoudrait-il pour autant un seul de ces problèmes ? Je ne peux pas exécuter Facebook sur mon ordinateur car je n’ai pas une grappe de serveurs Facebook. Quand bien même j’y arriverais, je serais bien isolé en étant le seul utilisateur. Donc le logiciel libre est important et génial mais il ne fournit pas de liberté ni de contrôle aux utilisateurs dans le cas de Facebook. Il faut plus que des licences libres.

Microsoft

J’entends de nombreuses personnes de la communauté du logiciel libre et open source se faire les chantres d’un Microsoft qui serait désormais respectable. Microsoft a changé sous la direction de son dernier PDG et ce n’est plus l’Empire du Mal. Ils intègrent désormais un noyau Linux dans Windows 10 et fournissent de nombreux outils libres et open source dans leurs conteneurs Linux sur le cloud Azure. Je pense qu’il s’agit là d’un véritable pas dans la bonne direction mais leurs solutions cloud bénéficient toujours de l’emprise la plus importante pour un éditeur : Windows 10 n’est pas gratuit et ne vous laisse pas de liberté. En réalité, aucun modèle économique open source n’est présent chez eux. Ils ne font qu’utiliser Linux et l’open source. Donc le fait que davantage de logiciels de l’écosystème Microsoft soient disponibles sous des licences libres ne donne pas pour autant davantage de libertés aux utilisateurs.

L’apprentissage automatique

L’apprentissage automatique est une nouvelle technologie importante qui peut être utilisée pour beaucoup de choses, qui vont de la reconnaissance d’images à celle de la voix en passant par les voitures autonomes. Ce qui est intéressant, c’est que le matériel et le logiciel seuls sont inutiles. Pour que l’apprentissage fonctionne, il faut des données pour ajuster l’algorithme. Ces données sont souvent l’ingrédient secret et très précieux nécessaire à une utilisation efficace de l’apprentissage automatique. Plus concrètement, si demain Tesla décidait de publier tous ses logiciels en tant que logiciels libres et que vous achetiez une Tesla pour avoir accès au matériel, vous ne seriez toujours pas en mesure d’étudier, de construire et d’améliorer la fonctionnalité de la voiture autonome. Vous auriez besoin des millions d’heures d’enregistrement vidéo et de données de conducteur pour rendre efficace votre réseau de neurones. En somme, le logiciel libre seul ne suffit pas à donner le contrôle aux utilisateurs.

5G

Le monde occidental débat beaucoup de la confiance à accorder à l’infrastructure de la 5G. Que savons-nous de la présence de portes dérobées dans les antennes-relais si elles sont achetées à Huawei ou à d’autres entreprises chinoises ? La communauté du logiciel libre et open source répond qu’il faudrait que le logiciel soit distribué sous une licence libre. Mais pouvons-nous vraiment vérifier que le code qui s’exécute sur cette infrastructure est le même que le code source mis à disposition ? Il faudrait pour cela avoir des compilations reproductibles, accéder aux clés de signature et de chiffrement du code ; l’infrastructure devrait récupérer les mises à jour logicielles depuis notre serveur de mise à jour et pas depuis celui du fabricant. La licence logicielle est importante mais elle ne vous donne pas un contrôle total et la pleine liberté.

Android

Android est un système d’exploitation mobile très populaire au sein de la communauté du logiciel libre. En effet, ce système est distribué sous une licence libre. Je connais de nombreux militants libristes qui utilisent une version personnalisée d’Android sur leur téléphone et n’installent que des logiciels libres depuis des plateformes telles que F-Droid. Malheureusement, 99 % des utilisateurs lambda ne bénéficient pas de ces libertés car leur téléphone ne peut pas être déverrouillé, car ils n’ont pas les connaissances techniques pour le faire ou car ils utilisent des logiciels uniquement disponibles sur le PlayStore de Google. Les utilisateurs sont piégés dans le monopole du fournisseur. Ainsi, le fait que le cœur d’Android est un logiciel libre ne donne pas réellement de liberté à 99 % de ses utilisateurs.

Finalement, quelle conclusion ?

Je pense que la communauté du logiciel libre et open source concernée par les 4 libertés de Stallman, le contrôle de sa vie numérique et la liberté des utilisateurs, doit étendre son champ d’action. Les licences libres sont nécessaires mais elles sont loin d’être encore suffisantes pour préserver la liberté des utilisateurs et leur garantir un contrôle de leur vie numérique.

La recette (matériel personnel) + (logiciel libre) = (liberté numérique) n’est plus valide.

Il faut davantage d’ingrédients. J’espère que la communauté du logiciel libre peut se réformer et le fera, pour traiter davantage de problématiques que les seules licences. Plus que jamais, le monde a besoin de personnes qui se battent pour les droits numériques et les libertés des utilisateurs.

symboles reliés par des opérateurs comme une équation : ordinateur + nuage open source + nuage de data + point d’inetrrogation = digital freedom
Image d’illustration de l’auteur pour ses diapos de conférence

 

 




Un manifeste des données utilisateurs, aujourd’hui ?

Le User Data Manifesto a été initié par Frank Karlitschek un militant du logiciel libre qui a fondé Nextcloud et Owncloud et participé à d’autres projets open source.
La source de cette traduction française figure sur ce dépôt Github, la dernière traduction que je reprends ici avec quelques modifications mineures date de 2015 et semble essentiellement due à Hugo Roy. Le dernier contributeur en date est Philippe Batailler.

[EDIT] Hugo Roy nous apporte cette précision :
hello – la traduction est bien de moi, mais le texte en anglais aussi 😉 la version actuelle du manifeste est une œuvre collaborative avec Frank et @jancborchardt

À la lecture on est frappé de la pertinence des propositions, cependant malgré quelques avancées du côté des directives de l’Union européenne, certains droits revendiqués ici sont encore à conquérir ! Et après 4 ans il faudrait peut-être ajouter d’autres éléments à ce manifeste : le droit d’échapper au pistage publicitaire, le droit d’anonymiser vraiment sa navigation, le droit de ne pas fournir ses données biométriques etc.

Mais c’est plutôt à vous de dire ce qui manque ou est à modifier dans ce manifeste pour qu’il soit solidement inscrit dans les lois et les usages. Comme toujours, le commentaires sont ouverts et modérés.

Manifeste des données utilisateur

Ce manifeste a pour but de définir les droits fondamentaux des utilisateurs sur leurs données à l’ère d’Internet. Chacun devrait être libre sans avoir à faire allégeance aux fournisseurs de service.

 

Par données utilisateur, on entend les données envoyées par un utilisateur ou une utilisatrice pour son propre usage.

Par exemple, les données utilisateur comprennent :

  • les fichiers qu’un utilisateur ou qu’une utilisatrice synchronise entre plusieurs appareils ou qu’il ou elle partage avec un⋅e proche
  • une bibliothèque d’albums photos, de livres ou d’autres fichiers qu’un utilisateur envoie depuis son appareil afin de pouvoir lire, voir, et modifier tout cela en ligne
  • les données générées par un appareil de l’utilisateur (comme un thermostat ou une montre connectée) et envoyées vers un serveur
  • les requêtes d’un utilisateur à un moteur de recherche, si de telles requêtes sont enregistrées comme telles

 

Ainsi, les utilisateurs devraient pouvoir…

1. Maîtriser leur accès à leurs données

Les données explicitement et volontairement envoyées par une utilisatrice devraient être sous la pleine maîtrise de l’utilisatrice. Les utilisateurs devraient être capables de décider à qui accorder un accès direct à leurs données et avec quelles permissions et licences cet accès devrait être accordé.

Lorsque les utilisateurs maîtrisent l’accès aux données qu’ils envoient, les données censées restées privées ou partagées à un cercle restreint ne devraient pas être rendues accessibles au fournisseur du service, ni divulguées aux États.

Cela implique que le droit d’utiliser le chiffrement ne devrait jamais être bafoué.

Cela implique également que lorsque des utilisateurs n’ont pas la pleine maîtrise sur l’envoi de leurs données (par exemple s’ils n’utilisent pas le chiffrement avant l’envoi) un fournisseur de service ne doit pas :

  • forcer les utilisateurs à divulguer des données privées (ce qui inclut la correspondance privée) pour eux, ni
  • imposer des conditions de licence (ex. : de droit d’auteur ou d’exploitation des données personnelles) qui vont au-delà de ce qui est nécessaire pour l’objectif du service.

Lorsque les utilisateurs rendent des données accessibles à d’autres, qu’il s’agisse d’un groupe de gens restreint ou d’un groupe plus large, ils devraient pouvoir décider sous quelles permissions l’accès à leurs données est autorisé. Cependant, ce droit n’est pas absolu et ne devrait pas empiéter sur le droit des tierces personnes à utiliser et exploiter ces données une fois qu’elles leur ont été rendues accessibles. Qui plus est, cela ne signifie pas que les utilisateurs devraient avoir le droit d’imposer des restrictions injustes à d’autres personnes. Dans tous les cas, les systèmes techniques ne doivent pas être conçus pour faire appliquer de telles restrictions (par exemple avec des DRM).

Les données reçues, générées ou collectées à partir de l’activité des utilisateurs dans l’utilisation du service (ex. : les métadonnées ou les données du graphe social) devraient leur être rendues accessibles et être également sous leur maîtrise. Si cette maîtrise n’est pas possible, alors ce type de données devrait être anonyme ou bien ne pas être stockée pour une période plus longue que nécessaire.

Certains services permettent aux utilisateurs de soumettre des données avec l’intention de les rendre publiquement accessibles à toutes et à tous. Y compris dans ces cas de figure, quelques données utilisateur restent privées (ex. : les métadonnées ou les données du graphe social). L’utilisatrice et l’utilisateur devraient pouvoir contrôler aussi ces données.

2. Savoir comment les données sont stockées

Quand les données sont envoyées à un fournisseur de service particulier, les utilisateurs et utilisatrices devraient être informé⋅e⋅s du lieu de stockage des données du fournisseur de service, de la durée, de la juridiction dans laquelle le fournisseur de service particulier opère et des lois qui s’y appliquent.

Lorsque les utilisateurs utilisent des services centralisés pour envoyer leurs données à un fournisseur de stockage particulier plutôt que de reposer sur des systèmes pair à pair, il est important de savoir où les fournisseurs pourraient stocker ces données car ils pourraient être obligés par les États à divulguer ces données qu’ils ont en leur possession.

Ce point est sans objet si les utilisateurs sont capables de stocker leurs propres données sur leurs appareils (ex. : des serveurs) dans leur environnement personnel et sous leur contrôle direct ou bien s’ils font confiance à des systèmes sans contrôle centralisé (ex. : le pair à pair).

Les utilisateurs ne devraient pas reposer sur des services centralisés. Les systèmes pair à pair et les applications unhosted sont un moyen d’y arriver. À long terme, tous les utilisateurs devraient être capables d’avoir leur propre serveur avec des logiciels libres.

3. Être libres de choisir une plateforme

Les utilisatrices devraient toujours être en mesure d’extraire leurs données d’un service à tout moment sans subir l’enfermement propriétaire.

Les utilisateurs ne devraient pas être bloqués par une solution technique particulière. C’est pourquoi ils devraient toujours être capables de quitter une plateforme et de s’installer ailleurs.

Les formats ouverts sont nécessaires pour garantir cela. Évidemment, sans le code source des programmes utilisés pour les données utilisateurs, cela n’est pas pratique. C’est pourquoi des programmes devraient être distribués sous une licence libre.

Si les utilisateurs ont ces droits, ils ont la maîtrise de leurs données plutôt que d’être sous la coupe des fournisseurs de service.

De nombreux services qui gèrent les données utilisateur à ce jour sont gratuits, mais cela ne signifie pas qu’ils soient libres. Plutôt que de payer avec de l’argent, les utilisateurs font allégeance aux fournisseurs de services pour que ceux-ci puissent exploiter les données utilisateurs (par ex. en les vendant, en offrant des licences ou en construisant des profils pour les annonceurs publicitaires).

Abandonner ainsi la maîtrise de sa vie privée et d’autres droits semble être un acte trivial pour de nombreuses personnes, un faible prix à payer en échange du confort que ces services Internet apportent.

Les fournisseurs de service ont ainsi été obligés de transformer leurs précieux services Internet en systèmes massifs et centralisés de surveillance. Il est crucial que chacun réalise et comprenne cela, puisqu’il s’agit d’une menace importante pour les libertés de l’humanité et le respect de la vie privée de chacun.

Enfin, pour assurer que les données utilisateurs soient sous la maîtrise des utilisateurs, les meilleurs conceptions techniques incluent les systèmes distribués ou pair-à-pair, ainsi que les applications unhosted. Juridiquement, cela signifie que les conditions générales d’utilisation devraient respecter les droits des utilisateurs et leur donner la possibilité d’exercer leurs droits aux données définis dans ce manifeste.

 

un jeune homme demande à maîtriser ses données, à savoir comment elles sont stockées et à pouvoir choisir sa plateforme. Le pdédégé aux lunettes teintées de dollars lui répond que bien sûr c’est garanti dans les CGU et que nous prenons très au sérieux votre vie privée etc. (habituel bullshit)
Illustration réalisée avec https://framalab.org/gknd-creator/




Un vaste réservoir d’images sous licences libres

Vous cherchez des images utilisables pour vos sites ou publications ? Savez-vous qu’il est facile d’en trouver avec divers niveaux de permissions via le moteur de recherche des Creative Commons ?

Ces petits logos, familiers des libristes, sont souvent combinés et permettent de savoir précisément à quelles conditions vous pouvez utiliser les images :

logo attribution CCAttribution : vous devez mentionner l’identité de l’auteur initial (obligatoire en droit français) (sigle : BY)

 

Non Commercial : vous ne pouvez pas tirer un profit commercial de l’œuvre sans autorisation de l’auteur (sigle : NC)

 

No derivative works : vous ne pouvez pas intégrer tout ou partie dans une œuvre composite (sigle : ND)

 

Share alike : partage de l’œuvre, vous pouvez rediffuser mais selon la même licence ou une licence similaire  (sigle : SA)

Si vous êtes dans le monde de l’éducation, pensez à faire adopter les bonnes pratiques aux élèves et étudiants qui ont besoin d’illustrer un document et qui ont tendance à piller Google images sans trop se poser de questions…

… mais il arrive souvent que de grands médias donnent aussi de bien mauvais exemples !

Si vous êtes embarrassé⋅e pour ajouter les crédits nécessaires sous l’image que vous utilisez, le nouveau moteur de recherche de Creative Commons vous facilite la tâche. C’est une des nouveautés qui en font une ressource pratique et précieuse, comme Jane Park l’explique dans l’article ci-dessous.

Article original : CC Search is out of beta with 300M images and easier attribution

Traduction Framalang : Goofy

Le moteur de recherche de Creative Commons propose maintenant 300 millions d’images plus faciles à attribuer

par Jane Park

Jane Park, directrice de produit et de la recherche
Jane Park, directrice de la Recherche Creative Commons dont elle pilote la conception, l’implémentation et le développement

Désormais la recherche Creative Commons n’est plus en version bêta, elle propose plus de 300 millions d’images indexées venant de multiples collections, une interface entièrement redessinée ainsi qu’une recherche plus pertinente et plus rapide. Tel est le résultat de l’énorme travail de l’équipe d’ingénieurs de Creative Commons avec l’appui de notre communauté de développeurs bénévoles.

CC Search parcourt les images de 19 collections grâce à des API ouvertes et le jeu de données Common Crawl, ce qui inclut les œuvres artistiques et culturelles des musées (le Metropolitan Museum of Art, le Cleveland Museum of Art), les arts graphiques (Behance, DeviantArt), les photos de Flickr, et un premier jeu de créations en 3D sous CC0 issus de Thingiverse.

Au plan esthétique et visuel, vous allez découvrir des changements importants : une page d’accueil plus sobre, une navigation meilleure avec des filtres, un design en harmonie avec le portail creativecommons.org, des options d’attribution faciles à utiliser et des canaux de communication efficaces pour faire remonter vos questions, réactions et désirs, tant sur les fonctionnalités du site que sur les banques d’images. Vous trouverez également un lien direct vers la page d’accueil des Creative Commons (le site de l’ancienne recherche est toujours disponible si vous préférez).

copie d’écran interface ancienne de la recherche de creative commons
Interface ancienne de la recherche d’images, qui demandait plusieurs étapes

 

copie d’écran, champ de saisie unique pour la recherche CC
Nouvelle interface qui unifie les recherches à partir d’un seul champ de saisie

 

Résultats de recherche du mot "Goofy" avec CC search
à gauche le nombre de résultats disponibles, et au survol de l’image, les symboles qui signalent les niveaux de permission

Si vous jetez un œil sous le capot, vous verrez que nous avons réussi à diminuer le temps de recherche et nous avons amélioré la pertinence de la recherche par phrase. Nous avons aussi implémenté des métriques pour mieux comprendre quand et comment les fonctionnalités sont utilisées. Enfin, nous avons bien sûr corrigé beaucoup de bugs que la communauté nous a aidé à identifier.

copie d’écran attribution facile des crédits
Une fois l’image sélectionnée, un simple clic pour copier les crédits (en texte enrichi ou en HTML)

Et bientôt…

Nous allons continuer à augmenter la quantité d’images de notre catalogue, en visant en priorité les collections d’images comme celles de Europeana et Wikimedia Commons. Nous projetons aussi d’indexer davantage de types d’œuvres sous licences CC, tels que les manuels et les livres audio, vers la fin de l’année. Notre but final demeure inchangé : donner l’accès à 1,4 milliard d’œuvres qui appartiennent aux Communs), mais nous sommes avant tout concentrés sur les images que les créateurs et créatrices désirent utiliser de diverses façons, comment ils peuvent apprendre à partir de ces images, les utiliser avec de larges permissions, et restituer leur exp)érience à tous pour nourrir la recherche Creative Commons.

Du point de vue des fonctionnalités, des avancées spécifiques figurent dans notre feuille de route pour ce trimestre : des filtres pour une utilisation avancée sur la page d’accueil, la possibilité de parcourir les collections sans entrer de termes de recherche, et une meilleure accessibilité et UX sur mobile. De plus, nous nous attendons à ce que certains travaux liés à la recherche CC soient effectués par nos étudiants du Google Summer of Code à partir du mois de mai.

Le mois prochain à Lisbonne, au Portugal, nous présenterons l’état de la recherche (“State of CC Search”) à notre sommet mondial  (CC Global Summit) où sera réunie toute une communauté internationale pour discuter des développements souhaités et des collections pour CC Search.

Participez !

Vos observations sont précieuses, nous vous invitons à nous communiquer ce que vous souhaiteriez voir s’améliorer. Vous pouvez également rejoindre le canal #cc-usability sur le Slack de CC pour vous tenir au courant des dernières avancées.

Tout notre code, y compris celui qui est utilisé pour la recherche CC, est open source (CC Search, CC Catalog API, CC
Catalog
) et nous faisons toujours bon accueil aux contributions de la communauté. Si vous savez coder, nous vous
invitons à nous rejoindre pour renforcer la communauté grandissante de développeurs de CC.

Remerciements

CC Search est possible grâce à un certain nombre d’institutions et d’individus qui la soutiennent par des dons. Nous aimerions remercier en particulier Arcadia, la fondation de Lisbet Rausing et Peter Baldwin, Mozilla, et la fondation Brin Wojcicki pour leur précieux soutien.

 

image deu geektionerd generator;, un personnage féminin fait remarquer que tout est sous licence CC BY-Sa
Sur le Framablog, on se sert souvent de GG le Générateur de Geektionerd. Pourquoi pas vous ?




Glyn Moody sur l’article 13 – Une aberration judiciaire

Glyn Moody est infatigable dans son combat contre les dispositions néfastes de la directive européenne sur le droit d’auteur dont le vote est maintenant imminent. Il y consacre une série d’articles dont nous avons déjà proposé deux traductions.

Voici un troisième volet où l’auteur expose notamment le danger de plaintes injustifiées et automatisées de la part de cyberdélinquants.

Article original par dans Copybuzz : Article 13 is Not Just Criminally Irresponsible, It’s Irresponsibly Criminal

Traduction Framalang : jums , Khrys, goofy, Barbara

L’article 13 est criminel et irresponsable

par Glyn Moody

Dans un éditorial précédent, j’ai souligné qu’il existe un gros mensonge au cœur de l’Article 13 de la proposition de directive européenne au sujet du droit d’auteur : il est possible de vérifier les téléversements de matériels non-autorisés sans pouvoir inspecter chaque fichier. L’UE s’est retrouvée dans cette position absurde car elle sait que de nombreux parlementaires européens rejetteraient l’idée d’imposer une obligation de suivi général sur les services en ligne, ne serait-ce que parce que la directive sur le commerce en ligne l’interdit de manière explicite. Au lieu de cela, le texte de l’article 13 prétend simplement que des alternatives techniques peuvent être trouvées, sans les préciser. La session parue récemment de « Q & R sur la proposition de directive au sujet du Copyright numérique » par le Parlement Européen explique encore que si les services ne sont pas assez intelligents pour trouver des solutions et utiliser des filtres sur les téléversements de contenu, c’est forcément de leur faute.

vue à la loupe d’un fragment de lettre anonyme d’extorsion avec des lettres découpées
Image par Sheila Sund.

 

Imposer des obligations légales qu’il est impossible de remplir, c’est avoir une conception totalement irresponsable de la chose judiciaire. Mais il existe un autre aspect de l’article 13 qui est pire encore : c’est qu’il va encourager une nouvelle vague de criminalité. On a du mal à imaginer un plus grand échec qu’une loi qui augmente l’absence de loi.

Une fois encore, le problème vient de l’idée erronée qu’il faut contraindre les entreprises à installer des filtres d’upload (c’est-à-dire de mise en ligne par téléversement). De même que les législateurs européens semblent incapables de comprendre l’idée que les services en ligne seront obligés de mener une surveillance généralisée pour se conformer à l’article 13, de même leur manque de connaissances techniques les rend incapables de comprendre les immenses défis pratiques que représente l’implémentation de cette forme de surveillance généralisée.

Au moins le gouvernement français est bien plus cohérent et honnête sur ce point. Il veut aller encore plus loin que l’accord conclu avec le gouvernement allemand, qui a fini par donner la base de l’article 13 sous le nouveau mandat de la présidence roumaine du Conseil, adopté le vendredi 8 février. La France veut supprimer les références à l’article 15 de la directive sur le e-commerce, qui interdit aux États membres d’imposer des obligations de contrôle généralisé, de manière à rendre plus « clair » que ces catégories d’obligations sont parfaitement justifiées quand il s’agit de protéger des contenus sous droits d’auteur.

Un autre éditorial soulignait certains des défis pratiques que pose la mise en œuvre de cette forme de surveillance généralisée. L’article 13 s’appliquera à tous les supports imaginables. Cela signifie que les services en ligne auront besoin de filtres pour le texte, la musique, l’audio, les images, les cartes, les diagrammes, les photos, les vidéos, les films, les logiciels, les modèles 3D, etc. L’article ne peut être filtré que s’il existe une liste de choses qui doivent être bloquées. Ainsi, dans la pratique, l’article 13 signifie que tout site important acceptant les téléversements d’utilisateurs doit avoir des listes de blocage pour chaque type de matériel. Même lorsqu’elles existent, ces listes sont incomplètes. Pour de nombreux domaines – photos, cartes, logiciels, etc. – elles n’existent tout simplement pas. En outre, pour une grande partie du contenu qui devrait être surveillé, les filtres n’existent pas non plus. En un nouvel exemple de législation irresponsable et paresseuse, l’article 13 demande l’impossible.

Que feront les services en ligne dans une telle situation ? La directive sur le droit d’auteur n’est d’aucune aide, elle dit seulement ce qui doit être fait, pas comment le faire. Cela incitera les entreprises à mettre en place des systèmes susceptibles d’offrir la meilleure protection lorsqu’elles seront confrontées à d’inévitables poursuites judiciaires. La principale préoccupation sera de bloquer avec un matériel d’une efficacité maximale ce qui est censé être bloqué, plutôt que de choisir les approches les moins intrusives possible qui maximisent la liberté d’expression pour les utilisateurs. L’absence de systèmes pour se protéger de cette responsabilité pourrait également signifier que certaines plateformes utiliseront le géoblocage, disparaîtront ou s’éloigneront de l’UE, et que d’autres ne seront, en premier lieu, jamais créées en Europe.

Cette injonction va encourager la mise en place de systèmes permettant à quiconque de soumettre des réclamations sur du contenu, qui sera ensuite bloqué. En adoptant ce système, les entreprises seront en mesure de traiter du contenu pour lequel il n’existe pas de listes de blocage générales et pourront ainsi éviter toute responsabilité en cas de téléchargement non autorisé. En plus d’être le seul moyen pratique de relever l’énorme défi que représente le filtrage de tous les types de contenus protégés par le droit d’auteur, cette approche a l’avantage d’avoir déjà été utilisée ailleurs, bien qu’à une plus petite échelle.

Par exemple, YouTube permet à quiconque de prétendre qu’il est le détenteur des droits d’auteur du contenu qui a été posté sur le service Google, et de le faire supprimer automatiquement. Les conséquences négatives de cette fonctionnalité ont été discutées précédemment ; il suffit de dire ici que le matériel légitime est souvent retiré par erreur, et que faire appel contre ces décisions est difficile et prend du temps, et les résultats sont très imprévisibles. La même chose se produira inévitablement avec les filtres de téléchargement de l’article 13, avec ce détail supplémentaire que le contenu sera bloqué avant même qu’il ne soit affiché, alors que le système automatisé de retrait créé par la Digital Millennium Copyright Act (DMCA) des États-Unis ne fonctionne qu’après que le contenu soit affiché en ligne. Cependant, un article récent sur TorrentFreak révèle une autre possibilité troublante :

Par un horrible abus du système de copyright de YouTube, un YouTubeur rapporte que des arnaqueurs utilisent le système des « 3 coups »2 de la plate-forme pour extorquer de l’argent. Après avoir déposé deux fausses plaintes contre ObbyRaidz, les escrocs l’ont contacté et exigé de l’argent comptant pour éviter un troisième – et la résiliation de son canal.

Avec l’article 13, trois avertissements ne sont même pas nécessaires : si votre téléchargement est repéré par le filtre, votre contenu sera bloqué à jamais. On semble penser qu’il importe peu que des erreurs soient commises, parce que les gens peuvent tout bonnement faire appel. Mais comme nous l’avons déjà mentionné, les processus d’appel sont lents, ne fonctionnent pas et ne sont pas utilisés par les gens ordinaires, qui sont intimidés par le processus dans son ensemble. Ainsi, même la menace de revendiquer du contenu sera beaucoup plus forte avec l’article 13 qu’avec YouTube.

Ce qui veut dire que personne ne peut garantir que son contenu pourra seulement paraître en ligne, sauf pour les grosses sociétés de droits de diffusion (américaines) qui forceront les principales plateformes américaines à passer des accords de licence. Même si votre contenu arrive à passer le filtre sur les téléversements, vous allez encore courir le risque d’être racketté par les arnaqueurs au droit d’auteur qui abusent du système. Les obligations de suspension de l’article 13, qui impliquent que le matériel protégé par le droit d’auteur qui a été signalé par les titulaires de droits (ou les arnaqueurs) ne puisse plus être re-téléchargé, rendent les tentatives de réclamer du contenu ou de remettre quelque chose en ligne avec l’article 13 plus difficiles qu’elles ne le sont actuellement sur YouTube.

C’est vraiment une mauvaise nouvelle pour les nouveaux artistes, qui ont absolument besoin de visibilité et qui n’ont pas les poches pleines pour payer des avocats qui règlent ce genre de problèmes, ou pas assez de temps pour s’en occuper eux-mêmes. Les artistes plus établis perdront des revenus à chaque fois que leur contenu sera bloqué, donc ils décideront peut-être aussi de payer des arnaqueurs qui déposeront des fausses plaintes d’infraction au droit d’auteur. Avec cette nouvelle menace, les militants qui utilisent des sites permettant le téléversement public seront aussi sérieusement touchés : beaucoup de campagnes en ligne sont liées à des événements ou des journées particulières. Elles perdent la majeure partie de leur efficacité si leurs actions sont retardées de plusieurs semaines ou même de plusieurs jours, ce que les procédures d’appel ne manqueront pas de faire valoir. C’est plus simple de payer celui qui vous fait chanter.

Ce problème révèle une autre faille de l’Article 13 : il n’y a aucune pénalité pour avoir injustement prétendu être le détenteur des droits sur un contenu, ce qui empêche la mise en ligne de contenus légitimes bloqués par les filtres. Cela veut dire qu’il n’existe presque aucun obstacle si l’on veut envoyer des milliers, voire des millions, de menaces contre des artistes, des militants et autres. Il est clair que c’est de l’extorsion, évidemment illégale. Mais comme les forces de police sont dépassées aujourd’hui, il est à parier qu’elles ne dédieront que des ressources réduites à chasser les fantômes sur Internet. Il est facile pour les gens de se cacher derrière de faux noms, des comptes temporaires et d’utiliser des systèmes de paiement anonymisés tels que le Bitcoin. Avec assez de temps, il est possible d’établir qui se trouve derrière ces comptes, mais si la somme demandée est trop faible, les autorités ne s’en occuperont pas.

En d’autres termes, la nature trop peu réfléchie de l’Article 13 sur les filtres à l’upload crée une nouvelle catégorie de « crime parfait » en ligne. D’une part, tout le monde peut déposer plainte, pourvu d’avoir une connexion Internet, et ce depuis n’importe où dans le monde, et de l’autre cette plainte est prise sans aucun risque pratiquement. Une combinaison particulièrement séduisante et mortelle. Loin d’aider les artistes, la Directive Copyright pourrait créer un obstacle majeur sur la route de leurs succès.

 

[MISE À JOUR 13/02 22:50]

Dernières nouvelles de l’article 13 : Julia Reda (Parti Pirate européen) explique ici juliareda.eu/2019/02/eu-copyri où on en est et termine en expliquant ce qu’on peut faire (=intervenir auprès des parlementaires européens)
Voir aussi ce que propose saveyourinternet.eu/fr/




Glyn Moody sur l’article 13 – Les utilisateurs oubliés

Pour faire suite à l’article de Glyn Moody traduit dans le Framablog voici un autre billet du même auteur, publié ce vendredi 8 février, qui évoque des possibilités d’aménagement de l’article 13, mais surtout la nécessité de faire entrer dans la loi de larges exceptions pour ne pas oublier tous ceux et celles qui utilisent Internet…

Billet original paru dans Copybuzz : Fix the gaping hole art the Heart of Article 13: Users’s Rights

Un vaste oubli au cœur de l’article 13 : les droits des utilisateurs

par Glyn Moody

Le feuilleton à suspense de l’article 13 se poursuit. Les désaccords entre la France et l’Allemagne sur les exemptions à l’obligation d’utiliser des filtres de téléchargement ont stoppé la progression vers la mise au point de la nouvelle législation et permis d’espérer que les graves dommages causés par l’article 13 à Internet pourraient être évités à la dernière minute.

couer gravé dans une porte en bois
image par epicantus.

Mais les deux pays semblent être parvenus à un compromis qui est sans doute pire que le texte original. Cela implique qu’en pratique, même les plus petits sites seront obligés de demander des licences et d’accepter les conditions qui leur sont offertes. Il s’agit là d’une recette qui risque d’entraîner encore plus d’abus de la part de l’industrie du droit d’auteur et d’éloigner les jeunes entreprises numériques de l’UE.

Mais à côté de cette proposition incroyablement stupide de la France et de l’Allemagne, il y a un commentaire intéressant de Luigi Di Maio, le vice-premier ministre et ministre italien du Développement économique (original en italien), qui a été largement négligé :

La priorité est de modifier les articles 11 et 13, qui traitent de la taxe sur les liens et du filtrage du contenu. La directive sur le droit d’auteur connaît actuellement une période mouvementée. Les signes qui nous parviennent de Bruxelles ne sont pas encourageants, mais je suis convaincu que l’on peut trouver une solution qui protège les droits des internautes tout en garantissant en même temps les droits des auteurs.

Ce qui est important ici, c’est la mention des droits des utilisateurs. Les discussions à leur sujet ont été marquées par leur absence la plupart du temps où la directive de l’UE sur le droit d’auteur a été en cours d’élaboration. C’est vraiment scandaleux et cela montre à quel point le projet de loi est partial. Il s’agit de donner encore plus de droits à l’industrie du droit d’auteur, sans tenir compte de l’impact négatif sur les autres. Cette considération primordiale est si extrême que les conséquences désastreuses que l’article 13 aura sur l’Internet dans l’UE ont d’abord été niées, puis ignorées.

L’une des manifestations les plus évidentes de cette indifférence à l’égard des faits et du mépris des citoyens de l’UE concerne les mèmes. Comme nous l’avons expliqué il y a quelques mois, il n’est pas vrai que les mèmes ne seront pas affectés par l’article 13, et de nombreux politiciens l’ont souligné. Il n’y a pas d’exception au droit d’auteur à l’échelle de l’UE pour les mèmes : dans certains pays, les mèmes seraient couverts par certaines des exceptions existantes, dans d’autres non.

Actuellement, l’article 5 de la directive de 2001 sur le droit d’auteur stipule que « les États membres peuvent prévoir des exceptions ou des limitations », y compris « à des fins de caricature, de parodie ou de pastiche », qui pourraient couvrir les mèmes, selon l’interprétation que le juge en fait lorsqu’il est saisi d’une affaire judiciaire. Si les politiciens de l’UE se souciaient le moins du monde des utilisateurs ordinaires d’Internet, ils pourraient au minimum rendre ces exceptions obligatoires afin de fournir un espace juridique bien défini pour les mèmes. C’est précisément ce que l’eurodéputée Julia Reda a proposé dans son rapport de 2015 au Parlement européen évaluant l’actuelle directive de 2001 sur le droit d’auteur. Elle a écrit :

L’exception relative à la parodie, à la caricature et au pastiche devrait s’appliquer quel que soit le but de l’œuvre dérivée. Il ne devrait pas être limité par le droit d’auteur d’un titulaire de droit, mais seulement par les droits moraux de l’auteur.

Elle a également proposé une reconnaissance beaucoup plus large des droits des utilisateurs, leur permettant d’exploiter la technologie numérique, en particulier les téléphones mobiles, pour créer de nouvelles œuvres basées sur des éléments de leur vie quotidienne – photos, vidéos et audio – ainsi que du matériel qu’ils rencontrent sur Internet :

La législation sur le droit d’auteur ne devrait pas faire obstacle à cette vague sans précédent d’expression créative émergente et devrait reconnaître les nouveaux créateurs comme des acteurs culturels et des parties prenantes valables.

Une loi sur le droit d’auteur vraiment moderne comprendrait cette nouvelle dimension passionnante. Par exemple, l’article 29.21 de la Loi sur le droit d’auteur du Canada prévoit une vaste exception pour le contenu généré par les utilisateurs. Son existence démontre que l’inclusion d’une disposition similaire dans le droit communautaire n’est pas une demande déraisonnable et qu’elle est compatible avec les traités internationaux régissant le droit d’auteur.
Pourtant, la proposition de directive sur le droit d’auteur ignore complètement cet aspect et avec lui, les besoins et les aspirations de centaines de millions de citoyens européens dont la vie s’est enrichie grâce à leur expression personnelle en ligne. Au lieu de cela, les préoccupations de ce groupe d’intervenants clés n’ont fait l’objet que d’un vœu pieux. Ici, par exemple, dans un récent « non-papier » – le nom même trahit sa nature marginale – la Commission européenne propose une petite concession pour les utilisateurs :

les co-législateurs pourraient prévoir que les utilisations mineures de contenu par des téléchargeurs amateurs ne devraient pas être automatiquement bloquées… ni engager la responsabilité de l’auteur du téléchargement.

Mais il n’y a pas d’explication sur la façon dont cela va se produire – par magie, peut-être ? Au lieu de ces mots vagues, nous avons besoin d’une exception concrète qui reconnaisse la réalité de la façon dont la plupart des gens utilisent l’Internet de nos jours – pour partager des éléments du matériel protégé par le droit d’auteur à des fins non commerciales, pour le divertissement et l’édification de la famille et des amis.

S’il est trop difficile d’espérer une exception complète et appropriée pour le contenu généré par les utilisateurs que des pays avant-gardistes comme le Canada ont introduit, il existe une alternative que même les législateurs timorés devraient pouvoir accepter. L’article 10.2 de la Convention de Berne , cadre général des lois sur le droit d’auteur dans le monde, se lit comme suit :

Est réservé l’effet de la législation des pays de l’Union et des arrangements particuliers existants ou à conclure entre eux, en ce qui concerne la faculté d’utiliser licitement, dans la mesure justifiée par le but à atteindre, des œuvres littéraires ou artistiques à titre d’illustration de l’enseignement par le moyen de publications, d’émissions de radiodiffusion ou d’enregistrements sonores ou visuels, sous réserve qu’une telle utilisation soit conforme aux bons usages.

Pourquoi ne pas créer une exception générale au droit d’auteur au sein de l’UE pour de telles « illustrations », qui s’appliqueraient au-delà des établissements d’enseignement, au grand public réutilisant du matériel dans le but limité « d’illustrer » une pensée ou un commentaire ? Après tout, on pourrait faire valoir qu’une telle utilisation est, en effet, un nouveau type d’enseignement, en ce sens qu’elle transmet des connaissances et des opinions sur le monde, en s’appuyant sur les possibilités offertes par les technologies modernes. Ce n’est pas la meilleure solution, mais c’est mieux que rien. Cela montrerait au moins que la Commission européenne, les États membres et les députés européens sont conscients de l’existence du public et sont prêts à jeter une petite miette dans sa direction.

En fait, il y a peu de temps, le texte proposé pour la directive sur le droit d’auteur a inclus une telle formulation dans une section sur le contenu généré par l’utilisateur. Celle-ci a été initialement proposée sous la présidence autrichienne en décembre 2018, demandée par les Allemands dans leur document officieux de janvier 2019, et reprise initialement par la présidence roumaine. Cependant, la présidence roumaine l’a ensuite supprimée à la suite de plaintes émanant de certains pays de l’UE (très probablement les Français). Peut-être que l’Italie devrait la faire remettre à sa place.