1

Faciliter la conformité RGPD : le fichier GDPR.txt

Dans le cadre de mon bénévolat pour Framasoft, je suis amené à travailler sur la conformité de l’association au Règlement Général sur la Protection des Données (RGPD).

Ça fait des années qu’on essaye d’avancer sur le sujet, mais il faut bien reconnaître que, vu le nombre de services et d’activités que l’on gère, c’est la galère. D’ailleurs, si ça vous étonne, on a une entrée claire dans la FAQ.

On a tout de même bien avancé depuis octobre dernier, accompagné‧es que nous sommes par stella.coop. Notre liste des traitements est sur pied, mais il nous reste à compléter les fiches des différents traitements (on en documente d’ailleurs l’avancement dans notre wiki public). Il nous faut donc passer sur chaque service, déterminer les finalités des traitements, lister les données récupérées, vérifier si elles sont obligatoires, leur visibilité, les services tiers utilisés, etc.

Face à cette montagne, une idée me trotte dans la tête depuis un moment : que les développeurs et développeuses de logiciels maintiennent elles-mêmes un document synthétisant les informations utiles dans le cadre du RGPD. Cela faciliterait le travail de celles et ceux qui proposent des instances de leur logiciel, mutualiserait le travail ingrat et limiterait les erreurs.

 

Illustration par Dooffy, licence CC0

 

Comme on n’est jamais aussi bien servi que par soi-même, j’ai imaginé un fichier pour faciliter l’échange d’informations autour des questions liées au RGPD : le fichier GDPR.txt.

Le principe est fort simple : le fichier GDPR.txt se place à la racine du code source d’un projet logiciel — à la manière d’un fichier README — et contient l’ensemble des informations utiles concernant la collecte des données effectuée par ledit logiciel.

Le but est que les hébergeuses et hébergeurs de services puissent se baser sur des informations fiables pour créer leur propre liste de traitements de données. Car oui, attention : il ne suffit pas de fournir un fichier GDPR.txt pour se conformer au RGPD ! Ce fichier n’existe qu’à titre informatif.

Le format, quant à lui, est très simple. Si vous êtes développeur ou développeuse d’un logiciel libre, je vous invite à jeter un œil au site qui présente le format du fichier : gdpr-txt.org (en anglais). Vous pouvez également y contribuer sur Framagit.

En conclusion, j’aimerais que les acteurs et actrices du logiciel libre s’emparent de ce fichier et inventent encore d’autres manières d’informer les utilisateurs et utilisatrices sur la manière dont sont utilisées leurs données. Il serait dommage qu’après avoir bataillé pendant des années pour une meilleure réglementation autour de nos données personnelles, nous nous satisfaisions de l’état actuel. Soyons clairs : les GAFAM se torchent toujours autant avec nos données ; seulement, ils s’en lavent les mains grâce à une conformité RGPD de façade. C’est à nous désormais de placer la barre encore plus haut.




La recherche et ses publications : le long chemin vers un libre accès

« Si la recherche universitaire est financée par des fonds publics, il n’y a aucune raison pour que ses publications soient privées ». Et pourtant…

La diffusion des publications universitaires dépend le plus souvent d’éditeurs qui tirent profit de situations de quasi-monopole en imposant une sorte de péage.
Pour échapper à ce contrôle marchand qui rend inaccessible l’accès aux connaissances à une part importante de la communauté scientifique mondiale, un nombre significatif de chercheuses et chercheurs désirent rendre le fruit de leur travail intellectuel disponible en Open Access.

La lutte pour le partage des connaissances est déjà ancienne. Retour rapide…

Il y a un peu plus de 10 ans maintenant, Aaron Swartz subissait la pression de poursuites judiciaires, qui allait le mener au suicide, pour avoir téléchargé et mis à disposition gratuitement 4,8 millions d’articles scientifiques de JSTOR, une plateforme de publication universitaire payante. Aaron Swartz était partisan d’un libre accès aux connaissances scientifiques, levier d’émancipation et de justice.

Aron Swartz par Sage Ross, CC BY-SA 2.0 <https://creativecommons.org/licenses/by-sa/2.0>, via Wikimedia Commons
Alexandra Elbakyan par Apneet Jolly, CC BY 2.0 <https://creativecommons.org/licenses/by/2.0>, via Wikimedia Commons
C’est à peu près à la même époque qu’Alexandra Elbakyan a lancé Sci-Hub, animée du même désir de donner un large accès aux publications universitaires à tous ceux qui comme elle, n’avaient pas les moyens d’acquitter le péage imposé par des éditeurs comme la multinationale Elsevier.

Une large majorité de chercheurs, en France comme dans le monde entier, est favorable à l’accès libre à leurs publications. Citons par exemple Céline Barthonnat, éditrice au CNRS :

la diffusion du savoir scientifique fait partie du travail des personnels de la recherche [article L411-1 du code de la recherche]. Beaucoup de ces recherches qui sont financées par l’argent public sont diffusées ensuite par ces éditeurs prédateurs”.

(source)

Le billet de Glyn Moody que Framalang a traduit pour vous marque peut-être une étape dans ce long combat où la volonté de partager les connaissances se heurte constamment aux logiques propriétaires mercantiles qui veulent faire de la circulation des publications scientifiques un marché lucratif.

Glyn Moody indique ici qu’il existe désormais une possibilité pour que les auteurs et autrices de « papiers » scientifiques puissent conserver leur droit de publication et en permettre le libre accès.


Article original : Rights retention: one small step for academics, one giant leap for global access to knowledge

Traduction Framalang : Barbidule, Burbumpa, Claire, Draenog, Fabrice, goofy, jums, Sysy, xi

Rétention des droits : un petit pas pour la recherche, un pas de géant pour l’accès universel à la connaissance.

par Glyn Moody

empreinte du premier pas humain sur la Lune
Image by NASA/Buzz Aldrin.

 

Glyn Moody, par https://www.flickr.com/photos/stuartyeates/126951892/, CC BY-SA 2.0Il y a quelques semaines, nous nous demandions si les éditeurs universitaires essaieraient de faire supprimer l’extraordinaire Index général des publications scientifiques créé par Carl Malamud. Il existe un précédent de ce genre de poursuites judiciaires contre un service du plus grand intérêt pour la société. Depuis 2015, les éditeurs essaient de faire taire Sci-Hub, qui propose près de 90 millions de publications universitaires. Le motif de leur plainte : Sci-Hub viole leurs droits d’auteur1

C’est étrange, car d’après la loi, les droits d’auteur de la vaste majorité de ces 90 millions de publications sont détenus par les chercheur·euse·s qui les ont rédigées.

Et la majorité de ces chercheur·euse·s approuve Sci-Hub, comme l’a clairement montré une étude menée en 2016 par le magazine Science :

Il est probable que l’échantillon retenu pour le sondage soit biaisé par une surreprésentation des fans du site : près de 60 % des personnes interrogées disent avoir déjà utilisé Sci-Hub, et un quart le font quotidiennement ou chaque semaine. De sorte qu’on ne s’étonnera guère si 88 % d’entre elles déclarent ne rien voir de mal dans le téléchargement de publications piratées. Mais notez bien, éditeurs universitaires, que ce ne sont pas seulement des jeunes et de grands utilisateurs de Sci-Hub qui voient les choses ainsi. Un examen plus attentif des données du sondage indiquait que les personnes interrogées de toutes les catégories soutiennent la fronde, même celles qui n’ont jamais utilisé Sci-Hub ou celles âgées de plus de 50 ans – respectivement 84 % et 79 % – n’avaient aucun scrupule à le faire.

Alors, si la plupart des chercheur·euse·s n’ont aucun problème avec Sci-Hub, et l’utilisent eux-mêmes, pourquoi le site est-il poursuivi par les éditeurs ? La réponse à cette question révèle un problème clé crucial, celui des tentatives en cours pour rendre les savoirs universitaires librement accessibles, par le biais de l’open access.

Théoriquement, les chercheur·euse·s peuvent diffuser leurs publications sous une licence Creative Commons, ce qui permet de les lire et de les reproduire librement, et de se baser facilement sur ce travail. En réalité, les auteurs sont souvent « incités » à céder leurs droits aux éditeurs de la revue où apparaît la publication, ce qui conditionne l’accès aux connaissances derrière à des paiements onéreux. Ce n’est pas indispensable, c’est seulement ce qui est devenu habituel. Mais les conséquences en sont importantes. D’abord, les auteurs originaux deviennent réticents à partager leurs articles, parce qu’ils sont « sous copyright », comme le mentionne un précédent article (en anglais) de ce blog. Ensuite, si les droits sont transférés des auteurs vers les éditeurs, alors ces derniers peuvent poursuivre en justice les sites comme Sci-Hub, sans tenir compte de l’avis des chercheur⋅euse⋅s.

La bonne nouvelle, c’est qu’il existe maintenant des efforts coordonnés pour éviter ces problèmes grâce à « la rétention des droits ». Tout en garantissant aux éditeurs le droit de diffuser un article dans leur publication, les auteurs et autrices conservent aussi certains droits pour permettre le libre partage de leurs articles, et leur utilisation par des sites comme Sci-Hub. Un des chefs de file de cette initiative est cOAlition S, un groupe d’organisations de financement de la recherche, avec le soutien de la Commission européenne et du Conseil Européen de la Recherche. Les principes essentiels du « Plan S » de la Coalition précisent :

À compter de 2021, toutes les publications universitaires dont les résultats de recherche sont financés via des fonds publics ou privés au travers d’institutions nationales, continentales, régionales ou internationales, doivent être publiées dans des revues ou sur des plateformes en libre accès, ou bien encore être immédiatement disponibles sur un répertoire en libre accès, et ce sans aucune restriction.

L’un des points-clés de ce Plan S est le suivant :

Les auteurs et autrices ou leurs institutions gardent les droits sur leurs publications. Toute publication doit être placée sous licence ouverte, de préférence la licence Creative Commons Attribution (CC BY).

 

 

deux petits personnages simplifiés (boules avec 4 membres). l'un est enfermé derrière les barreaux d'une prison, il porte sur lui un C comme copyright, l'autre est libre et s'en va en courant, il porte les deux C de Cretaive Commons.
Illustration par Nina Paley

 

Ça semble fonctionner. Un récent article de Ross Mounce mettait en évidence le fait suivant :

En tant que personne indépendante de la cOAlition S, j’ai pu observer avec grand intérêt la mise en application de la stratégie de rétention des droits.
En utilisant Google Scholar et Paperpile, j’ai relevé plus de 500 papiers publiés sur des centaines de supports différents qui utilisaient la référence à la stratégie de rétention des droits dans les remerciements.

Les auteurs s’en servent pour conserver leurs droits sur les prépublications, les articles de revues, les supports de conférences, les chapitres de livres et même des posters sur les affiches, c’est tout à fait logique. La stratégie est rédigée en termes simples et elle est facile à ajouter à des résultats de recherche. Il est aisé de mentionner ses sources de financement des recherches et d’ajouter ce paragraphe : « Afin de maintenir un accès libre, l’auteur⸱ice a appliqué la licence de libre diffusion CC BY à toute version finale évaluée par les pairs découlant de la présente soumission », et donc les autrices et auteurs le font.

Comme souligné ci-dessus, il suffit donc aux chercheur·euse·s d’ajouter la brève mention qui suit à leurs articles pour conserver leurs droits fondamentaux :

« Afin de maintenir un accès libre, l’auteur⸱ice a appliqué la licence de libre diffusion CC BY à toute version finale évaluée par les pairs découlant de cette la présente soumission. »

C’est un si petit pas pour un⸱e chercheur⸱euse, mais un tel pas de géant pour faciliter l’accès universel à la connaissance, que toutes et tous devraient le faire naturellement.

Ce billet de Glyn Moody est sous licence CC BY 4.0


Pour aller plus loin…


 




Google chante le requiem pour les cookies, mais le grand chœur du pistage résonnera encore

Google va cesser de nous pister avec des cookies tiers ! Une bonne nouvelle, oui mais… Regardons le projet d’un peu plus près avec un article de l’EFF.

La presse en ligne s’en est fait largement l’écho : par exemple siecledigital, generation-nt ou lemonde. Et de nombreux articles citent un éminent responsable du tout-puissant Google :

Chrome a annoncé son intention de supprimer la prise en charge des cookies tiers et que nous avons travaillé avec l’ensemble du secteur sur le Privacy Sandbox afin de mettre au point des innovations qui protègent l’anonymat tout en fournissant des résultats aux annonceurs et aux éditeurs. Malgré cela, nous continuons à recevoir des questions pour savoir si Google va rejoindre d’autres acteurs du secteur des technologies publicitaires qui prévoient de remplacer les cookies tiers par d’autres identifiants de niveau utilisateur. Aujourd’hui, nous précisons qu’une fois les cookies tiers supprimés, nous ne créerons pas d’identifiants alternatifs pour suivre les individus lors de leur navigation sur le Web et nous ne les utiliserons pas dans nos produits.

David Temkin, Director of Product Management, Ads Privacy and Trust (source)

« Pas d’identifiants alternatifs » voilà de quoi nous réjouir : serait-ce la fin d’une époque ?

Comme d’habitude avec Google, il faut se demander où est l’arnaque lucrative. Car il semble bien que le Béhémoth du numérique n’ait pas du tout renoncé à son modèle économique qui est la vente de publicité.

Dans cet article de l’Electronic Frontier Foundation, que vous a traduit l’équipe de Framalang, il va être question d’un projet déjà entamé de Google dont l’acronyme est FLoC, c’est-à-dire Federated Learning of Cohorts. Vous le trouverez ici traduit AFC pour « Apprentissage Fédéré de Cohorte » (voir l’article de Wikipédia Apprentissage fédéré).

Pour l’essentiel, ce dispositif donnerait au navigateur Chrome la possibilité de créer des groupes de milliers d’utilisateurs ayant des habitudes de navigation similaires et permettrait aux annonceurs de cibler ces « cohortes ».


Article original sur le blog de l’Electronic Frontier Foundation : Google’s FLoC is a terrible idea.

Traduction Framalang : amostra, audionuma, Fabrice, goofy, jums, Mannik, mo, amostra, serici, Wisi_eu

Le FLoC de Google est une très mauvaise idée

par Bennett Cyphers

Les cookies tiers se meurent, mais Google essaie de créer leur remplaçant.

Personne ne devrait pleurer la disparition des cookies tels que nous les connaissons aujourd’hui. Pendant plus de deux décennies, les cookies tiers ont été la pierre angulaire d’une obscure et sordide industrie de surveillance publicitaire sur le Web, brassant plusieurs milliards de dollars ; l’abandon progressif des cookies de pistage et autres identifiants tiers persistants tarde à arriver. Néanmoins, si les bases de l’industrie publicitaire évoluent, ses acteurs les plus importants sont déterminés à retomber sur leurs pieds.

Google veut être en première ligne pour remplacer les cookies tiers par un ensemble de technologies permettant de diffuser des annonces ciblées sur Internet. Et certaines de ses propositions laissent penser que les critiques envers le capitalisme de surveillance n’ont pas été entendues. Cet article se concentrera sur l’une de ces propositions : l’Apprentissage Fédéré de Cohorte (AFC, ou FLoC en anglais), qui est peut-être la plus ambitieuse – et potentiellement la plus dangereuse de toutes.

L’AFC est conçu comme une nouvelle manière pour votre navigateur d’établir votre profil, ce que les pisteurs tiers faisaient jusqu’à maintenant, c’est-à-dire en retravaillant votre historique de navigation récent pour le traduire en une catégorie comportementale qui sera ensuite partagée avec les sites web et les annonceurs. Cette technologie permettra d’éviter les risques sur la vie privée que posent les cookies tiers, mais elle en créera de nouveaux par la même occasion. Une solution qui peut également exacerber les pires attaques sur la vie privée posées par les publicités comportementales, comme une discrimination accrue et un ciblage prédateur.

La réponse de Google aux défenseurs de la vie privée a été de prétendre que le monde de demain avec l’AFC (et d’autres composants inclus dans le « bac à sable de la vie privée » sera meilleur que celui d’aujourd’hui, dans lequel les marchands de données et les géants de la tech pistent et profilent en toute impunité. Mais cette perspective attractive repose sur le présupposé fallacieux que nous devrions choisir entre « le pistage à l’ancienne » et le « nouveau pistage ». Au lieu de réinventer la roue à espionner la vie privée, ne pourrait-on pas imaginer un monde meilleur débarrassé des problèmes surabondants de la publicité ciblée ?

Nous sommes à la croisée des chemins. L’ère des cookies tiers, peut-être la plus grande erreur du Web, est derrière nous et deux futurs possibles nous attendent.

Dans l’un d’entre eux, c’est aux utilisateurs et utilisatrices que revient le choix des informations à partager avec chacun des sites avec lesquels il ou elle interagit. Plus besoin de s’inquiéter du fait que notre historique de navigation puisse être utilisé contre nous-mêmes, ou employé pour nous manipuler, lors de l’ouverture d’un nouvel onglet.

Dans l’autre, le comportement de chacune et chacun est répercuté de site en site, au moyen d’une étiquette, invisible à première vue mais riche de significations pour celles et ceux qui y ont accès. L’historique de navigation récent, concentré en quelques bits, est « démocratisé » et partagé avec les dizaines d’interprètes anonymes qui sont partie prenante des pages web. Les utilisatrices et utilisateurs commencent chaque interaction avec une confession : voici ce que j’ai fait cette semaine, tenez-en compte.

Les utilisatrices et les personnes engagées dans la défense des droits numériques doivent rejeter l’AFC et les autres tentatives malvenues de réinventer le ciblage comportemental. Nous exhortons Google à abandonner cette pratique et à orienter ses efforts vers la construction d’un Web réellement favorable aux utilisateurs.

Qu’est-ce que l’AFC ?

En 2019, Google présentait son bac à sable de la vie privée qui correspond à sa vision du futur de la confidentialité sur le Web. Le point central de ce projet est un ensemble de protocoles, dépourvus de cookies, conçus pour couvrir la multitude de cas d’usage que les cookies tiers fournissent actuellement aux annonceurs. Google a soumis ses propositions au W3C, l’organisme qui forge les normes du Web, où elles ont été principalement examinées par le groupe de commerce publicitaire sur le Web, un organisme essentiellement composé de marchands de technologie publicitaire. Dans les mois qui ont suivi, Google et d’autres publicitaires ont proposé des dizaines de standards techniques portant des noms d’oiseaux : pigeon, tourterelle, moineau, cygne, francolin, pélican, perroquet… et ainsi de suite ; c’est très sérieux ! Chacune de ces propositions aviaires a pour objectif de remplacer différentes fonctionnalités de l’écosystème publicitaire qui sont pour l’instant assurées par les cookies.

L’AFC est conçu pour aider les annonceurs à améliorer le ciblage comportemental sans l’aide des cookies tiers. Un navigateur ayant ce système activé collecterait les informations sur les habitudes de navigation de son utilisatrice et les utiliserait pour les affecter à une « cohorte » ou à un groupe. Les utilisateurs qui ont des habitudes de navigations similaires – reste à définir le mot « similaire » – seront regroupés dans une même cohorte. Chaque navigateur partagera un identifiant de cohorte, indiquant le groupe d’appartenance, avec les sites web et les annonceurs. D’après la proposition, chaque cohorte devrait contenir au moins plusieurs milliers d’utilisatrices et utilisateurs (ce n’est cependant pas une garantie).

Si cela vous semble complexe, imaginez ceci : votre identifiant AFC sera comme un court résumé de votre activité récente sur le Web.

La démonstration de faisabilité de Google utilisait les noms de domaines des sites visités comme base pour grouper les personnes. Puis un algorithme du nom de SimHash permettait de créer les groupes. Il peut tourner localement sur la machine de tout un chacun, il n’y a donc pas besoin d’un serveur central qui collecte les données comportementales. Toutefois, un serveur administrateur central pourrait jouer un rôle dans la mise en œuvre des garanties de confidentialité. Afin d’éviter qu’une cohorte soit trop petite (c’est à dire trop caractéristique), Google propose qu’un acteur central puisse compter le nombre de personnes dans chaque cohorte. Si certaines sont trop petites, elles pourront être fusionnées avec d’autres cohortes similaires, jusqu’à ce qu’elles représentent suffisamment d’utilisateurs.

Pour que l’AFC soit utile aux publicitaires, une cohorte d’utilisateurs ou utilisatrices devra forcément dévoiler des informations sur leur comportement.

Selon la proposition formulée par Google, la plupart des spécifications sont déjà à l’étude. Le projet de spécification prévoit que l’identification d’une cohorte sera accessible via JavaScript, mais on ne peut pas savoir clairement s’il y aura des restrictions, qui pourra y accéder ou si l’identifiant de l’utilisateur sera partagé par d’autres moyens. L’AFC pourra constituer des groupes basés sur l’URL ou le contenu d’une page au lieu des noms domaines ; également utiliser une synergie de « système apprentissage » (comme le sous-entend l’appellation AFC) afin de créer des regroupements plutôt que de se baser sur l’algorithme de SimHash. Le nombre total de cohortes possibles n’est pas clair non plus. Le test de Google utilise une cohorte d’utilisateurs avec des identifiants sur 8 bits, ce qui suppose qu’il devrait y avoir une limite de 256 cohortes possibles. En pratique, ce nombre pourrait être bien supérieur ; c’est ce que suggère la documentation en évoquant une « cohorte d’utilisateurs en 16 bits comprenant 4 caractères hexadécimaux ». Plus les cohortes seront nombreuses, plus elles seront spécialisées – plus les identifiants de cohortes seront longs, plus les annonceurs en apprendront sur les intérêts de chaque utilisatrice et auront de facilité pour cibler leur empreinte numérique.

Mais si l’un des points est déjà clair c’est le facteur temps. Les cohortes AFC seront réévaluées chaque semaine, en utilisant chaque fois les données recueillies lors de la navigation de la semaine précédente.
Ceci rendra les cohortes d’utilisateurs moins utiles comme identifiants à long terme, mais les rendra plus intrusives sur les comportements des utilisatrices dans la durée.

De nouveaux problèmes pour la vie privée.

L’AFC fait partie d’un ensemble qui a pour but d’apporter de la publicité ciblée dans un futur où la vie privée serait préservée. Cependant la conception même de cette technique implique le partage de nouvelles données avec les annonceurs. Sans surprise, ceci crée et ajoute des risques concernant la donnée privée.

Le Traçage par reconnaissance d’ID.

Le premier enjeu, c’est le pistage des navigateurs, une pratique qui consiste à collecter de multiples données distinctes afin de créer un identifiant unique, personnalisé et stable lié à un navigateur en particulier. Le projet Cover Your Tracks (Masquer Vos Traces) de l’Electronic Frontier Foundation (EFF) montre comment ce procédé fonctionne : pour faire simple, plus votre navigateur paraît se comporter ou agir différemment des autres, plus il est facile d’en identifier l’empreinte unique.

Google a promis que la grande majorité des cohortes AFC comprendrait chacune des milliers d’utilisatrices, et qu’ainsi on ne pourra vous distinguer parmi le millier de personnes qui vous ressemblent. Mais rien que cela offre un avantage évident aux pisteurs. Si un pistage commence avec votre cohorte, il doit seulement identifier votre navigateur parmi le millier d’autres (au lieu de plusieurs centaines de millions). En termes de théorie de l’information, les cohortes contiendront quelques bits d’entropie jusqu’à 8, selon la preuve de faisabilité. Cette information est d’autant plus éloquente sachant qu’il est peu probable qu’elle soit corrélée avec d’autres informations exposées par le navigateur. Cela va rendre la tâche encore plus facile aux traqueurs de rassembler une empreinte unique pour les utilisateurs de l’AFC.

Google a admis que c’est un défi et s’est engagé à le résoudre dans le cadre d’un plan plus large, le « Budget vie privée »  qui doit régler le problème du pistage par l’empreinte numérique sur le long terme. Un but admirable en soi, et une proposition qui va dans le bon sens ! Mais selon la Foire Aux Questions, le plan est « une première proposition, et n’a pas encore d’implémentation dans un navigateur ». En attendant, Google a commencé à tester l’AFC dès ce mois de mars.

Le pistage par l’empreinte numérique est évidemment difficile à arrêter. Des navigateurs comme Safari et Tor se sont engagés dans une longue bataille d’usure contre les pisteurs, sacrifiant une grande partie de leurs fonctionnalités afin de réduire la surface des attaques par traçage. La limitation du pistage implique généralement des coupes ou des restrictions sur certaines sources d’entropie non nécessaires. Il ne faut pas que Google crée de nouveaux risques d’être tracé tant que les problèmes liés aux risques existants subsistent.

L’exposition croisée

Un second problème est moins facile à expliquer : la technologie va partager de nouvelles données personnelles avec des pisteurs qui peuvent déjà identifier des utilisatrices. Pour que l’AFC soit utile aux publicitaires, une cohorte devra nécessairement dévoiler des informations comportementales.

La page Github du projet aborde ce sujet de manière très directe :

Cette API démocratise les accès à certaines informations sur l’historique de navigation général des personnes (et, de fait, leurs intérêts principaux) à tous les sites qui le demandent… Les sites qui connaissent les Données à Caractère Personnel (c’est-à-dire lorsqu’une personne s’authentifie avec son adresse courriel) peuvent enregistrer et exposer leur cohorte. Cela implique que les informations sur les intérêts individuels peuvent éventuellement être rendues publiques.

Comme décrit précédemment, les cohortes AFC ne devraient pas fonctionner en tant qu’identifiant intrinsèque. Cependant, toute entreprise capable d’identifier un utilisateur d’une manière ou d’une autre – par exemple en offrant les services « identifiez-vous via Google » à différents sites internet – seront à même de relier les informations qu’elle apprend de l’AFC avec le profil de l’utilisateur.

Deux catégories d’informations peuvent alors être exposées :

1. Des informations précises sur l’historique de navigation. Les pisteurs pourraient mettre en place une rétro-ingénierie sur l’algorithme d’assignation des cohortes pour savoir si une utilisatrice qui appartient à une cohorte spécifique a probablement ou certainement visité des sites spécifiques.
2. Des informations générales relatives à la démographie ou aux centres d’intérêts. Par exemple, une cohorte particulière pourrait sur-représenter des personnes jeunes, de sexe féminin, ou noires ; une autre cohorte des personnes d’âge moyen votant Républicain ; une troisième des jeunes LGBTQ+, etc.

Cela veut dire que chaque site que vous visitez se fera une bonne idée de quel type de personne vous êtes dès le premier contact avec ledit site, sans avoir à se donner la peine de vous suivre sur le Net. De plus, comme votre cohorte sera mise à jour au cours du temps, les sites sur lesquels vous êtes identifié⋅e⋅s pourront aussi suivre l’évolution des changements de votre navigation. Souvenez-vous, une cohorte AFC n’est ni plus ni moins qu’un résumé de votre activité récente de navigation.

Vous devriez pourtant avoir le droit de présenter différents aspects de votre identité dans différents contextes. Si vous visitez un site pour des informations médicales, vous pourriez lui faire confiance en ce qui concerne les informations sur votre santé, mais il n’y a pas de raison qu’il ait besoin de connaître votre orientation politique. De même, si vous visitez un site de vente au détail, ce dernier n’a pas besoin de savoir si vous vous êtes renseigné⋅e récemment sur un traitement pour la dépression. L’AFC érode la séparation des contextes et, au contraire, présente le même résumé comportemental à tous ceux avec qui vous interagissez.

Au-delà de la vie privée

L’AFC est conçu pour éviter une menace spécifique : le profilage individuel qui est permis aujourd’hui par le croisement des identifiants contextuels. Le but de l’AFC et des autres propositions est d’éviter de laisser aux pisteurs l’accès à des informations qu’ils peuvent lier à des gens en particulier. Alors que, comme nous l’avons montré, cette technologie pourrait aider les pisteurs dans de nombreux contextes. Mais même si Google est capable de retravailler sur ses conceptions et de prévenir certains risques, les maux de la publicité ciblée ne se limitent pas aux violations de la vie privée. L’objectif même de l’AFC est en contradiction avec d’autres libertés individuelles.

Pouvoir cibler c’est pouvoir discriminer. Par définition, les publicités ciblées autorisent les annonceurs à atteindre certains types de personnes et à en exclure d’autres. Un système de ciblage peut être utilisé pour décider qui pourra consulter une annonce d’emploi ou une offre pour un prêt immobilier aussi facilement qu’il le fait pour promouvoir des chaussures.

Au fur et à mesure des années, les rouages de la publicité ciblée ont souvent été utilisés pour l’exploitation, la discrimination et pour nuire. La capacité de cibler des personnes en fonction de l’ethnie, la religion, le genre, l’âge ou la compétence permet des publicités discriminatoires pour l’emploi, le logement ou le crédit. Le ciblage qui repose sur l’historique du crédit – ou des caractéristiques systématiquement associées – permet de la publicité prédatrice pour des prêts à haut taux d’intérêt. Le ciblage basé sur la démographie, la localisation et l’affiliation politique aide les fournisseurs de désinformation politique et la suppression des votants. Tous les types de ciblage comportementaux augmentent les risques d’abus de confiance.

Au lieu de réinventer la roue du pistage, nous devrions imaginer un monde sans les nombreux problèmes posés par les publicités ciblées.

Google, Facebook et beaucoup d’autres plateformes sont en train de restreindre certains usages sur de leur système de ciblage. Par exemple, Google propose de limiter la capacité des annonceurs de cibler les utilisatrices selon des « catégories de centres d’intérêt à caractère sensible ». Cependant, régulièrement ces tentatives tournent court, les grands acteurs pouvant facilement trouver des compromis et contourner les « plateformes à usage restreint » grâce à certaines manières de cibler ou certains types de publicité.

Même un imaginant un contrôle total sur quelles informations peuvent être utilisées pour cibler quelles personnes, les plateformes demeurent trop souvent incapables d’empêcher les usages abusifs de leur technologie. Or l’AFC utilisera un algorithme non supervisé pour créer ses propres cohortes. Autrement dit, personne n’aura un contrôle direct sur la façon dont les gens seront regroupés.
Idéalement (selon les annonceurs), les cohortes permettront de créer des regroupements qui pourront avoir des comportements et des intérêts communs. Mais le comportement en ligne est déterminé par toutes sortes de critères sensibles : démographiques comme le genre, le groupe ethnique, l’âge ou le revenu ; selon les traits de personnalités du « Big 5 »; et même la santé mentale. Ceci laisse à penser que l’AFC regroupera aussi des utilisateurs parmi n’importe quel de ces axes.
L’AFC pourra aussi directement rediriger l’utilisatrice et sa cohorte vers des sites internet qui traitent l’abus de substances prohibées, de difficultés financières ou encore d’assistance aux victimes d’un traumatisme.

Google a proposé de superviser les résultats du système pour analyser toute corrélation avec ces catégories sensibles. Si l’on découvre qu’une cohorte spécifique est étroitement liée à un groupe spécifique protégé, le serveur d’administration pourra choisir de nouveaux paramètres pour l’algorithme et demander aux navigateurs des utilisateurs concernés de se constituer en un autre groupe.

Cette solution semble à la fois orwellienne et digne de Sisyphe. Pour pouvoir analyser comment les groupes AFC seront associés à des catégories sensibles, Google devra mener des enquêtes gigantesques en utilisant des données sur les utilisatrices : genre, race, religion, âge, état de santé, situation financière. Chaque fois que Google trouvera qu’une cohorte est associée trop fortement à l’un de ces facteurs, il faudra reconfigurer l’ensemble de l’algorithme et essayer à nouveau, en espérant qu’aucune autre « catégorie sensible » ne sera impliquée dans la nouvelle version. Il s’agit d’une variante bien plus compliquée d’un problème que Google s’efforce déjà de tenter de résoudre, avec de fréquents échecs.

Dans un monde numérique doté de l’AFC, il pourrait être plus difficile de cibler directement les utilisatrices en fonction de leur âge, genre ou revenu. Mais ce ne serait pas impossible. Certains pisteurs qui ont accès à des informations secondaires sur les utilisateurs seront capables de déduire ce que signifient les groupes AFC, c’est-à-dire quelles catégories de personnes appartiennent à une cohorte, à force d’observations et d’expérimentations. Ceux qui seront déterminés à le faire auront la possibilité de la discrimination. Pire, les plateformes auront encore plus de mal qu’aujourd’hui à contrôler ces pratiques. Les publicitaires animés de mauvaises intentions pourront être dans un déni crédible puisque, après tout, ils ne cibleront pas directement des catégories protégées, ils viseront seulement les individus en fonction de leur comportement. Et l’ensemble du système sera encore plus opaque pour les utilisatrices et les régulateurs.

deux guitaristes : l'un acoustoique à gauche chante : cookies c'est fini, dire que c'était la source de mes premiers revenus… (sur l'air de Capri c'est fini). L'autre à droite, guitare électrique dit : "et maintenant un peu de Floc and roll".
Avec Google les instruments changent, mais c’est toujours la même musique…

Google, ne faites pas ça, s’il vous plaît

Nous nous sommes déjà prononcés sur l’AFC et son lot de propositions initiales lorsque tout cela a été présenté pour la première fois, en décrivant l’AFC comme une technologie « contraire à la vie privée ». Nous avons espéré que les processus de vérification des standards mettraient l’accent sur les défauts de base de l’AFC et inciteraient Google à renoncer à son projet. Bien entendu, plusieurs problèmes soulevés sur leur GitHub officiel exposaient exactement les mêmes préoccupations que les nôtres. Et pourtant, Google a poursuivi le développement de son système, sans pratiquement rien changer de fondamental. Ils ont commencé à déployer leur discours sur l’AFC auprès des publicitaires, en vantant le remplacement du ciblage basé sur les cookies par l’AFC « avec une efficacité de 95 % ». Et à partir de la version 89 de Chrome, depuis le 2 mars, la technologie est déployée pour un galop d’essai. Une petite fraction d’utilisateurs de Chrome – ce qui fait tout de même plusieurs millions – a été assignée aux tests de cette nouvelle technologie.

Ne vous y trompez pas, si Google poursuit encore son projet d’implémenter l’AFC dans Chrome, il donnera probablement à chacun les « options » nécessaires. Le système laissera probablement le choix par défaut aux publicitaires qui en tireront bénéfice, mais sera imposé par défaut aux utilisateurs qui en seront affectés. Google se glorifiera certainement de ce pas en avant vers « la transparence et le contrôle par l’utilisateur », en sachant pertinemment que l’énorme majorité de ceux-ci ne comprendront pas comment fonctionne l’AFC et que très peu d’entre eux choisiront de désactiver cette fonctionnalité. L’entreprise se félicitera elle-même d’avoir initié une nouvelle ère de confidentialité sur le Web, débarrassée des vilains cookies tiers, cette même technologie que Google a contribué à développer bien au-delà de sa date limite, engrangeant des milliards de dollars au passage.

Ce n’est pas une fatalité. Les parties les plus importantes du bac-à-sable de la confidentialité comme l’abandon des identificateurs tiers ou la lutte contre le pistage des empreintes numériques vont réellement améliorer le Web. Google peut choisir de démanteler le vieil échafaudage de surveillance sans le remplacer par une nouveauté nuisible.

Nous rejetons vigoureusement le devenir de l’AFC. Ce n’est pas le monde que nous voulons, ni celui que méritent les utilisatrices. Google a besoin de tirer des leçons pertinentes de l’époque du pistage par des tiers et doit concevoir son navigateur pour l’activité de ses utilisateurs et utilisatrices, pas pour les publicitaires.

Remarque : nous avons contacté Google pour vérifier certains éléments exposés dans ce billet ainsi que pour demander davantage d’informations sur le test initial en cours. Nous n’avons reçu aucune réponse à ce jour.




Pour un monde avec un million de Netflix

À l’occasion du #DayAgainstDRM, attardons-nous sur un des géants du web.

Cette multinationale dont l’initiale n’est pas dans GAFAM a eu un rôle déterminant pour imposer des verrous numériques (les DRM) dans nos appareils, nos logiciels et jusque dans ce qui fait le web.

À noter : cet article bénéficie désormais d’une version audio.
Merci à Sualtam, auteur de lectureaudio.fr pour cette contribution active.

Il est temps qu’on parle de Netflix.

Pour en savoir plus sur le #DayAgainstDRM.

 

Le péché originel : le droit d’auteur

La convention de Berne, initialement signée en 1886 par moins d’une dizaine d’états de la zone européenne, implique aujourd’hui 179 membres. Lire cette convention permet de reprendre la mesure des interdits qu’elle pose. Elle stipule notamment que le droit de communiquer au public la représentation d’une œuvre est soumise à l’autorisation de son auteur. C’est ce que l’on appelle le droit patrimonial : « l’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous » (article L111-1 du code de la propriété intellectuelle français).

mimiandeunice.com — ♡ Copying is an act of love. Please copy & share.

En France le droit patrimonial s’installe dans la loi en 1791, juste après la révolution, il est alors octroyé pour une durée couvrant la durée de la vie de l’auteur plus cinq ans. Petit à petit cette durée a été augmentée pour atteindre aujourd’hui 70 ans après la mort de l’auteur. Certaines exceptions font que c’est parfois un peu plus (je vous le mets quand même ?), parfois moins, notamment dans le cas des œuvres collectives (où ce n’est « que » 70 ans après la publication de l’œuvre). Dans d’autres pays c’est également parfois plus, parfois moins (c’est « seulement » 50 ans après la mort de l’auteur au Canada). On peut retenir qu’une œuvre publiée en 2020 ne pourra pas être reproduite sans autorisation de l’auteur au moins jusqu’en 2070, souvent 2090. Au XXIIe siècle quoi. C’est dans longtemps.

Oui, on sait, il faut bien que les industries culturelles vivent, que les auteurs soient rémunérés, etc. On aurait des choses à dire, mais ce n’est pas le sujet… Quand même, il faut garder en tête que ces lois ont été envisagées d’un point de vue industriel, de façon à garantir un retour sur investissement à des sociétés qui mobilisaient des moyens techniques lourds et onéreux. L’habillage sous terme de « droit d’auteur » n’est qu’une apparence sémantique : ce qui importe, c’est de sécuriser la filière de captation industrielle de la valeur.

En résumé, les créations ne sont pas librement exploitables en général et on parle d’ayant-droits pour désigner les personnes qui ont le contrôle d’une œuvre.

Le droit d’auteur, allégorie.

La gestion des droits numériques aka le DRM

La copie étant devenue plus facile — mais pas plus légale — avec les facilités ouvertes par la numérisation des œuvres, puis les facilités de circulation prolongées par Internet puis le Web, les ayants droit ont cherché des moyens de lutter contre ce qui profitait à presque tout le monde. Sauf eux donc. Notons qu’un ayant droit n’est en général pas un auteur. Celui-ci a généralement cédé ses droits patrimoniaux à l’ayant droit qui les exploite et lui reverse une partie des bénéfices. La répartition occasionne d’ailleurs régulièrement des négociations et souvent des conflits, comme lors de la grève des scénaristes américains, fortement syndiqués, qui bloqua une partie de la production audiovisuelle états-unienne en 2007-2008.

Les ayants droits, qui ont donc des droits à faire valoir même quand ils n’ont en rien contribué à l’œuvre — c’est le cas des héritiers des écrivains par exemple — ont déployé de nombreuses stratégies pour défendre leurs droits. Dont les DRM. Un DRM c’est un programme informatique dont l’objectif est de faire dysfonctionner la lecture d’un fichier dans le cas général. C’est un buggeur. Informatiquement c’est assez étonnant comme pratique, ça consiste à faire en sorte que les programmes fonctionnent moins bien. Donc si vous avez un contenu sous DRM, vous devez disposer du moyen technique (un logiciel non libre le plus souvent) fourni par celui qui gère l’accès au contenu pour le lire.

Brendan Mruk and Matt Lee — CC BY-SA

On pourrait aussi parler des nombreuses occasions où les DRM empêchent les programmes de fonctionner même dans le cas où a été légitimement acquis le contenu — parce que quand vous vous amusez à faire exprès de faire dysfonctionner des programmes, eh bien c’est plus facile que de les faire de nouveau fonctionner après — mais ce n’est pas non plus le sujet. On pourrait aussi expliquer que les DRM n’empêchent pas ceux qui veulent vraiment accéder aux contenus de le faire tout de même et donc qu’ils ont surtout comme conséquence de compliquer la vie de tout le monde sans rien résoudre en réalité. Mais ce n’est toujours pas notre sujet. Gardez néanmoins en tête que le vendeur peut ainsi effacer un de vos livres, même d’Orwell, avec toutes vos notes, voire votre bibliothèque complète car il ne trouve pas cette activité assez rentable.

En résumé il est illégal de diffuser le contenu de quelqu’un sans son accord et il existe des techniques pour compliquer la vie de ceux qui voudraient le faire quand même.

Quand les fabricants du Web ont laissé entrer les DRM

Le web n’a pas échappé aux DRM. Cela s’appelle les EME (Encrypted Media Extension). Il y a eu des oppositions, la FSF, l’Electronic Frontier Foundation, les associations militantes du libre. Et il y a eu aussi des acteurs, dont le W3C et Mozilla qui ont cédé devant la puissance des industriels souhaitant exploiter le droit d’auteur et devant les pratiques déjà en place. Ce fut certainement le processus de standardisation du web le plus controversé, et ce sont les promoteurs des DRM qui ont gagné.

https://www.w3.org/TR/encrypted-media

Et aujourd’hui cela verrouille le web.

Le composant de gestion des DRM dans le navigateur n’est pas libre. Mozilla Firefox, ainsi que la majorité des autres navigateurs non libres utilisent Widevine de Google. Il est très difficile techniquement et totalement interdit légalement de chercher à en connaître les codes sources. Il est donc illégal de connaître le fonctionnement de l’un des outils que l’on utilise le plus au quotidien. Oui, même si c’est Firefox.

De plus le mécanisme DRM rend la construction de nouveaux navigateurs plus compliquée, voire même impossible selon Cory Doctorow. En fait il reste possible de fabriquer un nouveau navigateur mais il ne pourra pas lire les contenus sous DRM. Parce qu’un éventuel système DRM alternatif, c’est compliqué à faire, et que ça n’aurait de toutes façons pas la confiance des ayants droit. Et puis parce que Google, l’acteur dominant sur ce terrain (oui, sur ce terrain-là aussi) n’acceptera pas de licencier un lecteur Widevine libre.

Notez bien, même si vous avez bien acquis le droit d’accéder à ces contenus, que vous avez tout bien payé, vous ne pourrez pas les lire. Un tel navigateur libre a donc peu de chance de survivre, en dehors du cercle militant (c’est par exemple le cas du Tor Browser construit sur la base de Mozilla Firefox mais n’intégrant pas le composant propriétaire Widevine).

En résumé, il est aujourd’hui impossible de diffuser de la vidéo, et des médias en général, sous droit d’auteur sur le Web sans un accord avec un géant du numérique.

L’émergence du continent Netflix

Mettre en place un serveur d’accès libre à des fichiers ne coûte pas grand chose. En 2020, c’est vrai même pour des vidéos. Avec une machine solide qui coûtera quelques centaines d’euros par mois à amortir (accès Internet, disques, énergie, etc…), on peut diffuser quelques milliers de films à quelques milliers d’utilisateurs (peut être pas de la 4K en streaming à toute heure, mais ce serait tout de même une offre suffisante pour de nombreux utilisateurs relativement modestes dans leurs usages). Donc en théorie de nombreuses sociétés commerciales devraient être en mesure d’offrir un tel service. On devrait être en situation de concurrence forte.

Mais ce n’est pas ce que l’on observe. On observe une domination oligarchique avec Netflix qui confisque environ la moitié du marché en Europe et une vingtaine d’acteurs au dessus de 5% de parts de marché.

Netflix et les DRM, par la FSF.

Pourquoi est-on dans cette situation ? Parce que la mise en place du service implique surtout d’acheter des droits. Et qu’il faut ensuite une infrastructure technique solide pour gérer les données, les chiffrer, les diffuser à ceux qui ont acquis le privilège d’y accéder et pas aux autres, etc. Sinon on risque d’être poursuivi en justice par les ayants droits.

Donc il faut des moyens. Beaucoup de moyens.

En résumé, c’est à cause de l’état du droit international qu’il est coûteux de diffuser la culture par des voies légales. Et c’est parce que c’est coûteux que l’on assiste à l’émergence de cet acteur proto-monopolistique qu’est Netflix.

Plus, c’est mieux

À noter que le monopole est une stratégie de développement industriel à part entière2, consciemment appliquée. Il signifie donc être et rester seul tout en haut. Cela implique une guerre commerciale permanente avec d’éventuels concurrents (guerre alimentée par la puissance financière des actionnaires).

Or le monopole pose problème. Il permet, une fois établi, des pratiques commerciales inégales, c’est donc un problème pour les consommateurs qui deviennent dépendants d’un système, sans alternative. C’est même pour ça qu’il est combattu depuis très longtemps3, même dans des zones où l’économie de marché n’est pas discutée4.

L’Oncle Sam peint par James Montgomery Flagg pendant la Première Guerre mondiale — Wikipédia, Public Domain

Mais, notamment quand il touche à la culture, le monopole pose d’autres problèmes, que d’aucuns considéreront comme plus importants.

Il engendre la concentration de la distribution. Qu’un diffuseur choisisse ce qu’il veut diffuser est légitime. C’est son business. Son catalogue c’est son business, s’il ne veut pas gérer de vieux films lents en noir et blanc, c’est son droit. S’il ne veut pas de film chinois ou français, il fait bien ce qu’il veut sur ses serveurs. S’il veut entraîner des IA à pousser des utilisateurs à regarder tout le temps les mêmes genres de trucs, c’est son problème (bon, et un peu celui des utilisateurs si c’est fait à leur insu, mais disons qu’ils donnent leur consentement, même moyennement éclairé, à un moteur de recommandation, donc qu’ils ne sont pas totalement innocents).

Mais dès lors qu’il n’y a plus qu’un seul diffuseur, c’est différent, car il décide alors de ce qui est diffusé. Tout court. Il acquiert le pouvoir de faire disparaître des pans entier de la culture. Et de décider de ce que sera celle de demain.

En résumé, la recherche du monopole est une stratégie économique des géants du web ; appliquée aux domaines culturels, elle engendre un contrôle de la culture.

Le pouvoir de fabriquer la culture

Mais ça ne s’arrête pas là. L’acteur monopolistique devient riche, très riche. Si c’est un vendeur de livres, il se met à commercialiser d’autres trucs rentables (comme des médicaments). Si c’est un diffuseur de films et de séries, il se met aussi à produire des films et des séries. C’est lui qui paye les acteurs, les scénaristes et qui choisit ce qu’il va diffuser. Il rachètera ou créera ensuite des écoles du cinéma qui expliqueront comment faire les choses comme il pense qu’il faut les faire. Il conçoit ses propres appareils pour imposer son format exclusif non-standard, en ne permettant pas la lecture d’autres formats, ouverts.

Bref il se déploie. Il acquiert le pouvoir de faire la culture. Il devient la culture. Mais ce n’est pas un être humain, un artiste, un poète, c’est un système industriel qui a pour but de grossir pour générer des profits financiers. Il va donc fourbir ses outils pour servir ces buts. Des recettes de storytelling sont définies, puis usées jusqu’à la trame tant qu’un retour sur investissement suffisant est réalisé. Un marketing de plus en plus précis va tenter de définir des communautés, des profils, à servir selon des algorithmes toujours plus précis, nourris d’informations collectées de façon pantagruélique. L’expérience utilisateur sera étudiée, affinée, optimisée afin de contraindre l’usager par des moyens détournés à demeurer dans l’écosystème contrôlé par l’industrie. Ses concurrents vont s’efforcer de le dépasser en y consacrant plus de moyens techniques et financiers, en appliquant le même genre de recettes, pour servir les mêmes objectifs.

Un démocrate, une pièce de Julie Timmerman et un dossier : Edward Bernays, petit prince de la propagande (C&F Éditions https://cfeditions.com/bernays)

Le but est désormais de s’arroger le plus de temps de cerveau disponible que possible.

C’est là que réside le véritable souci : la place hégémonique de ce modèle économique fait qu’il définit nos horizons d’une façon mondialisée uniforme. En cherchant à capter notre attention, cela définit nos protentions, notre attente de l’avenir d’une façon univoque. Il assèche notre écosystème symbolique des possibles. Il limite nos portes de sortie. Il renforce sa propre vision du monde. Le modèle dominant issu d’une société anglo-saxonne capitaliste, avec ses présupposés et ses valeurs, finit ainsi par être essentialisé.

En résumé, plus petit est le nombre d’acteurs qui font la culture et plus restreinte est cette culture, qui tend à l’uniforme.

Un monde sans Netflix ? Non, un monde avec un million de Netflix !

Est-il possible de faire autrement ? Is there an alternative ? Oui et non. On peut imaginer.

Dimitri Damasceno — CC BY-SA https://www.flickr.com/photos/dimidam/12380371

On peut imaginer le soutien par chaque état de sa propre industrie numérique de façon à disposer de, disons 100 Netflix, deux ou trois par pays qui aurait l’envie et les moyens5.

On pourrait aussi imaginer de réduire les contraintes législatives et techniques liées au droit d’auteur. On arriverait peut-être à 1000 Netflix en réduisant ainsi le coût d’entrée juridique. On garderait des interdits (la reproduction massive), des embargos (6 mois, 1 an, 3 ans, mais pas 70 ans), etc. On resterait globalement dans le cadre actuel, mais selon une équation plus équilibrée entre ayants droits et utilisateurs.

Et puis allons plus loin, imaginons un monde où la culture serait sous licences libres. Chacun pourrait librement créer une activité basée sur l’exploitation des œuvres. On ouvrirait un site de diffusion de musique ou de séries comme on ouvre un commerce de proximité ou un chaton. Ça ferait sûrement un million de Netflix. Un archipel de Netflix où chaque îlot aurait sa vision, avec des archipels qui ne pourraient pas se voir. Mais on s’en foutrait, s’il y avait un million de Netflix, il y en aurait bien un qui nous correspondrait (même si on est d’un naturel exigeant).

On peut donc imaginer. Mais on peut aussi commencer dès aujourd’hui à mettre les voiles.

Les auteurs peuvent déposer leurs œuvres sous licence libre, pour préparer le monde de demain. Ils peuvent le faire quelques mois, voire années, après une exploitation commerciale classique. Ça permettra à d’autres d’en vivre. À la culture de se diffuser. Et même ça les aidera peut-être en tant que créateurs et créatrices, à faire émerger d’autres modèles de financement de la culture, moins mortifères que ceux qui existent actuellement pour les créateurs et créatrices6.

Les utilisateurs de culture peuvent agir via leurs usages, c’est à dire avec leurs porte-monnaie comme le propose la FSF :

 

Cancel your subscription to Netflix, and tell them why. https://defectivebydesign.org/cancelnetflix.

Il est également possible de soutenir directement des créateurs et créatrices qui tentent de sortir de ces ornières, en proposant leur travail sous licences libres.

Les citoyens peuvent jouer de leur influence en interpellant les détenteurs du pouvoir politique, ou en soutenant les acteurs associatifs qui militent contre les DRM, comme la FSF ou La Quadrature Du Net.

En résumé ? Coupez votre abonnement Netflix et envoyez les sous à une asso, un·e artiste de votre choix, qui milite pour un truc chouette ou qui simplement produit des contenus à votre goût. Même si c’est juste pour un mois ou deux, histoire de voir comment ça fait…




Apple a posé le verrou final

La sécurité est pour Apple un argument marketing de poids, comme on le voit sur une page qui vante les mérites de la dernière version Big Sur de macOS  :

Sécurité. Directement  intégrée. Nous avons intégré dans le matériel et les logiciels du Mac des technologies avancées qui travaillent ensemble pour exécuter les apps de façon plus sécurisée, protéger vos données et garantir votre sécurité sur le Web.

(source)

On sait que le prix des appareils Apple les met hors de portée de beaucoup d’internautes, mais c’est un autre prix que les inconditionnels d’Apple vont devoir accepter de payer, celui de la liberté de faire « tourner » des applications. Comme l’explique ci-dessous un responsable de la sécurité chez Librem (*la traduction Framalang conserve au dernier paragraphe quelques lignes qui font la promotion de Purism/Librem), la dernière version de macOS donne l’illusion du contrôle mais verrouille l’utilisateur, tant au niveau logiciel que matériel désormais.

Article original : Apple Users Got Owned, licence CC-By-SA 4.0

Traduction Framalang : goofy, Julien / Sphinx, framasky, Steampark, mo

Apple a pris le contrôle sur ses utilisateurs

par Kyle Rankin

portrait au crayon de Kyle Rankin, souriant, de trois-quarts
Kyle est Chief Security Officer chez Librem (Mastodon )

On entend souvent dire des pirates informatiques qu’ils ont « pris le contrôle » (en anglais owned ou pwned) d’un ordinateur. Cela ne veut pas dire qu’ils ont pris possession physiquement de l’ordinateur, mais qu’ils ont compromis l’ordinateur et qu’ils ont un contrôle à distance si étendu qu’ils peuvent en faire ce qu’ils veulent. Lorsque les pirates informatiques contrôlent un ordinateur, ils peuvent empêcher l’exécution de logiciels, installer les logiciels de leur choix et contrôler le matériel à distance, même contre la volonté du propriétaire et généralement à son insu.

Les pirates informatiques comprennent intuitivement une chose que beaucoup d’utilisateurs d’ordinateurs ne comprennent pas : la propriété n’est pas une question de possession, mais de contrôle. Si votre entreprise vous donne un ordinateur, ou même si vous apportez le vôtre, mais qu’elle contrôle à distance la façon dont vous l’utilisez et peut passer outre à vos souhaits, c’est l’ordinateur de l’entreprise, pas le vôtre. Selon cette définition, la plupart des téléphones, aujourd’hui, sont la propriété du vendeur, et non de l’utilisateur, et comme je l’ai exposé dans The General Purpose Computer in Your Pocket 7 :

L’un des plus beaux tours que Big Tech ait jamais joué a été de convaincre les gens que les téléphones ne sont pas des ordinateurs à usage général et qu’ils devraient suivre des règles différentes de celles des ordinateurs portables ou de bureau. Ces règles donnent commodément au vendeur un plus grand contrôle, de sorte que vous ne possédez pas un smartphone mais que vous le louez. Maintenant que le public a accepté ces nouvelles règles pour les téléphones, les vendeurs commencent à appliquer les mêmes règles aux ordinateurs portables et aux ordinateurs de bureau

L’illusion du contrôle

L’illusion selon laquelle les utilisateurs d’Apple ont le contrôle de leurs ordinateurs a été rapidement mise à mal cette semaine quand Apple a distribué dans le monde entier sa nouvelle version de macOS  « Big Sur ». Des utilisateurs ont commencé à remarquer dès la diffusion de la mise à jour qu’ils avaient des problèmes pour exécuter des applications locales : ces applications bégayaient et macOS lui-même ne répondait plus par moments, même si l’utilisateur n’avait pas encore mis à jour son OS vers Big Sur. Drôle de coïncidence que la sortie d’un nouvel OS puisse bloquer des applications locales et même des applications ne venant pas d’Apple.

Comme cet article d’Ars Technica l’explique, des utilisateurs ont été capables de déboguer ce problème assez rapidement :

Il n’a pas fallu longtemps à certains utilisateurs de Mac pour se rendre compte que trustd, le processus de macOS chargé de vérifier avec les serveurs d’Apple si une application est authentifiée, tentait de se connecter au domaine ocsp.apple.com mais échouait de manière répétée.

… ce qui a provoqué des ralentissements sur tout le système, entre autres quand les applications essayaient de se lancer. Pour résumer le problème, à chaque fois que vous lancez une application signée sur macOS, un service d’enregistrement « notarial » envoie des informations sur l’application aux serveurs d’Apple pour vérifier que les signatures concordent. Si c’est le cas, votre système d’exploitation autorise l’application à démarrer. Quand l’ordinateur est hors connexion, la vérification échoue mais l’application est encore autorisée à fonctionner. Mais quand l’ordinateur est connecté, la signature est appliquée et comme le service était actif mais lent, les applications se sont arrêtées pendant que le système d’exploitation attendait une réponse.

La prise de contrôle à distance grâce à la signature du code.

Les applications utilisent souvent la signature du code comme moyen pour l’utilisateur de détecter les altérations. Le développeur signe le logiciel avec sa clé privée et l’utilisateur peut vérifier cette signature avec une clé publique. Seul le logiciel qui n’a pas été modifié correspondra à la signature. Dans le monde du logiciel libre, les distributions comme PureOS comprennent des clés publiques installées sur l’ordinateur local, et les mises à jour de logiciels vérifient automatiquement que les signatures correspondent avant d’appliquer la mise à jour elle-même. Quand on utilise ainsi les signatures, on peut tester une application avant son installation pour savoir si elle a été modifiée, c’est ainsi que l’utilisateur bénéficie d’un contrôle total sur le processus.

Apple a fait franchir à la signature de code un pas supplémentaire en incluant ce service « notarial ». Toutes les applications signées, qu’elles viennent ou non d’Apple, doivent demander l’autorisation de démarrer au service notarial distant. Ce qui signifie que l’entreprise Apple non seulement connaît toutes les applications que vous avez installées, mais elle est informée aussi à chaque fois que vous les exécutez. Ce qui n’était autrefois qu’un service facultatif est devenu aujourd’hui obligatoire. À partir de Big Sur, vous ne pourrez plus utiliser un outil comme Little Snitch pour bloquer ce service, ni le faire passer par Tor pour gagner en confidentialité. Apple et tous ceux qui ont accès à la communication en texte brut peuvent savoir quand vous avez lancé le navigateur Tor ou d’autres outils nécessaires à la protection de la vie privée, ou encore à quelle fréquence vous utilisez des applications de la concurrence.

[Mise à jour : il semble que les services notariaux d’Apple n’envoient pas d’informations sur l’application, mais envoient plutôt des informations sur le certificat de développeur utilisé pour les signer (ce qui est plus logique étant donné la façon dont l’OSCP fonctionne). Cela signifie qu’Apple peut savoir, par exemple, que vous avez lancé une application de Mozilla, mais ne peut pas nécessairement dire si vous avez lancé Firefox ou Thunderbird. Si un développeur ne signe qu’une seule application, bien sûr, on peut établir une corrélation entre le certificat et l’application. Le service semble également mettre en cache une approbation pendant un certain temps, de sorte que le fait qu’il envoie des informations à Apple chaque fois que vous exécutez une application dépend de la fréquence à laquelle vous la lancez].

J’imagine que beaucoup de personnes ont été surprises de découvrir cette fonctionnalité, mais je soupçonne également que beaucoup l’accepteront au nom de la sécurité. Pourtant, comme c’est le cas pour de nombreuses fonctionnalités d’Apple, la sécurité est un terme de marketing alors que la véritable motivation c’est le contrôle. Alors que la signature de code permettait déjà à Apple de contrôler si vous pouviez installer ou mettre à jour un logiciel, cette fonctionnalité lui permet de contrôler si vous pouvez exécuter des applications. Apple a déjà utilisé la signature de code sur iOS pour retirer les applications de ses concurrents de l’App Store et aussi pour désactiver à distance des applications au prétexte de la sécurité ou de la confidentialité. Il n’y a aucune raison de croire qu’ils n’utiliseront pas le même pouvoir sur macOS maintenant qu’il ne peut plus être contourné. Le but ultime d’Apple avec la signature de code, son coprocesseur Secure Enclave et sa puce Silicon propriétaires, c’est de s’assurer le contrôle et la propriété totales du matériel que vend l’entreprise.

Reprenez le contrôle

Vous devriez demeurer en pleine possession des ordinateurs que vous achetez. Ni les pirates informatiques ni les vendeurs ne devraient avoir le droit de vous contrôler à distance.
Nous construisons des ordinateurs portables, des ordinateurs de bureau, des serveurs et des téléphones sûrs, respectueux de la vie privée et de la liberté, qui vous redonnent le contrôle et vous garantissent que lorsque vous achetez un ordinateur Purism, c’est vous qui en êtes vraiment propriétaire.

Voir aussi :

ordinateur fermé par un cadenas
« Secure. » par Wysz, licence CC BY-NC 2.0




Prédation de nos données de santé : SantéNathon ne lâche pas l’affaire

Les conséquences des stratégies économiques et technologiques d’un État peuvent parfois prendre des tournures très concrètes. En matière de données de santé des citoyens, beaucoup pouvaient penser que l’humanisme des professionnels de santé pouvait suffire pour protéger les données de santé des citoyens, dans le respect du secret médical. Mais la pression concurrentielle et l’éthique font rarement bon ménage.

En novembre 2019, nous avions confié les colonnes de ce blog au collectif Interhop qui promeut l’usage des logiciels libres et de l’open source en santé. Il fait partie du collectif SantéNathon qui a lancé une démarche de recours à l’encontre du projet très discuté du Health Data Hub, une plateforme nationale de données de santé dont l’opérateur choisi par les autorités est l’entreprise Microsoft. À l’heure où le Privacy Shield est tombé, à l’heure du RGPD, à l’heure où la « souveraineté numérique » n’est plus seulement un sujet stratégique mais aussi sécuritaire, nous confions de nouveau ces colonnes pour un point d’étape sur les enjeux et les actions en cours.


Plateforme Nationale des Données de Santé

À l’occasion d’une audience prévue au Conseil d’État ce 08 octobre 2020, cette petite vidéo a été tournée devant les locaux d’une entreprise bien connue.

Le Health Data Hub Centralise les données de santé chez Microsoft. Le collectif SantéNathon, issu du monde informatique et de la santé, s’oppose à la centralisation chez Microsoft Azure des données de santé de plus de 67 millions de personnes. Un recours déposé au Conseil d’État demande l’application de la décision de la plus haute juridiction européenne qui s’alarmait de l’accès sans limitation des services de renseignement américains aux données hébergées par les GAFAM.

La genèse du projet Health Data Hub

Tout commence en janvier 2016 avec la loi de modernisation du système de santé. Le Système national des données de santé (SNDS) est créé. Initialement il est limité aux données médico-administratives et met à disposition des données individuelles de santé issues de 3 bases de données :

  • Les données de la carte vitale,
  • Les données de la tarification des établissements de santé,
  • Les données statistiques relatives aux causes médicales de décès.

En juillet 2019, la loi élargit considérablement le SNDS et crée le Health Data Hub ou Plateforme des Données de Santé — PDS. La CNIL s’alarme du changement de paradigme engendré : « Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui vise à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement ».

En plus du SNDS historique voici à titre d’exemples les bases qui doivent être hébergées au sein de la PDS :

  • la base OSCOUR : base de données relative aux passages aux urgences en France. Pour chaque patient admis aux urgences, elle recueille les éléments suivants : code postal de résidence, date de naissance, sexe, date et heure d’entrée et de sortie, durée de passage, mode d’entrée, provenance, mode de transport, classification de gravité, diagnostic principal et associés, mode de sortie, destination pour les patients mutés ou transférés.
  • le Registre France Greffe de Moelle : données permettant d’étudier le parcours de soin entre l’annonce du don et le don de Moëlle.
  • Base des 500 000 angioplasties : données permettant d’étudier l’impact des stents dans la vie réelle.
  • la cohorte I-Share : données permettant d’analyser la santé des étudiants.
  • SIVIC : données nationales de suivi de la prise en charge de patients hospitalisés COVID19 (depuis mars 2020).
  • STOIC : bases de données de scanners thoraciques issus de plusieurs centres ainsi que des données cliniques.
  • COVID TELE : formulaires d’orientation concernant la COVID19 issues d’application en santé et outils de télémédecine.

Cette liste est loin d’être exhaustive ; les données de cabinets de médecins généralistes, des hôpitaux, des laboratoires, d’imagerie doivent aussi remplir cette plateforme. Toutes ces bases seront centralisées et liées (on parle d’appariement) pour former le catalogue de données de la PDS.

Vives inquiétudes quant au choix de Microsoft Azure

Le 10 décembre 2019, l’alerte est lancée. Dans une tribune parue dans Le Monde, un collectif initié par des professionnels du secteur de santé et de l’informatique médicale s’inquiète. En effet, la PDS qui regroupe l’ensemble des données de santé de plus de 67 millions de personnes sera hébergée chez Microsoft Azure, le cloud du géant américain. Ces données constituent la part la plus sensible des données à caractère personnel car elles sont protégées par le secret médical.

Progressivement, ce collectif évolue. Il s’appelle maintenant SanteNathon.org. C’est une rencontre inédite de 18 personnes physiques et morales issues :

  • de l’industrie du logiciel libre :
    • Conseil National du Logiciel Libre (CNLL)
    • Ploss Auvergne-Rhône-Alpes
    • SoLibre
    • NEXEDI
  • des associations de patients et de volontaires :
    • Association Constances
    • Association les “Actupiennes”
    • Association Française des Hémophiles
    • Mme Marie Citrini, représentante des Usages des Hôpitaux de Paris
  • des associations de professionnels de santé :
    • Syndicat National des Jeunes Médecins Généralistes (SNJMG)
    • Syndicat de la Médecine Générale (SMG)
    • Union Française pour une Médecine Libre (UFML)
    • M. Didier Sicard, médecin et professeur de médecine à l’Université Paris Descartes).
  • d’ingénieurs :
    • l’Union Fédérale Médecins, Ingénieurs, Cadres, Techniciens (UFMICT-CGT)
    • l’Union Générale des Ingénieurs, Cadres et Techniciens (UGICT-CGT)
    • l’Association interHop
    • Monsieur Bernard Fallery, professeur émérite en systèmes d’information
  • d’organisations de la société civile :
    • L’Observatoire de la transparence dans les politiques du médicament
    • Le Syndicat National des Journalistes (SNJ)

Ce collectif dénonce le choix de Microsoft essentiellement à cause de l’absence d’appel d’offre et des effets de l’extraterritorialité du droit américain. En effet Microsoft est soumis au CLOUD Act qui permet aux autorités américaines de mettre la main sur des données détenues par des entreprises américaines même si les données sont hébergées dans l’Union Européenne.

Pire encore la Cour de Justice de l’Union Européenne a récemment révélé que les renseignements américains n’ont aucune limitation quant à l’utilisation des données des Européen⋅ne⋅s. En ce sens, elle a invalidé l’accord facilitant le transfert des données entre les USA et l’Union Européenne, le “Privacy Shield” ou « Bouclier de Protection des Données ».

Menacée directement par les conséquences de cette décision qui rend illicites tous les transferts de données en dehors des frontières de l’Union, Facebook fait pression sur l’Union Européenne. Elle menace de stopper ses services d’ici la fin de l’année.

Le bras de fer entre les États-Unis et l’Union Européenne est engagé. Nos données de santé ne doivent pas être prises en otage. Le collectif SantéNathon se bat pour une recherche garante du secret médical et protectrice de nos données.

Les actions initiées par le collectif SantéNathon

Un premier recours a été déposé le 28 mai 2020 devant le Conseil d’Etat. La juge concluait à plusieurs irrégularités dans le traitement des données sur la plateforme et des risques majeurs pour les droits et libertés fondamentales. Cependant, le Conseil d’État considérait, qu’au moment du jugement, la société Microsoft intégrait la liste des organisations ayant adhéré au « Bouclier de protection des données ». Le transfert des données était donc licite. Ce n’est plus le cas aujourd’hui !

Les parties requérantes ont donc déposé un nouveau référé liberté. Elles demandent par conséquent au Conseil d’État de prendre la mesure de l’invalidation du “Privacy Shield” et des risques en matière de respect de la vie privée. En ce sens, elles sollicitent la suspension du traitement et la centralisation des données au sein du Health Data Hub.

Elles font également valoir que les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants.

Une audience au Conseil d’État est donc prévue le 8 octobre 2020…

— Collectif SantéNathon

 


Image d’en-tête : Luis Jiménez Aranda — La sala del hospital en la visita del médico en jefe (1889). Wikipédia.

 

 




Quand les tribunaux nourrissent les trolls

Les Patent Trolls ou « chasseurs de brevets » sont des sociétés parasites qui tirent profit d’un portefeuille de brevets dont elles ont fait le plus souvent des dépôts abusifs. Elles sont particulièrement néfastes aux USA où elles multiplient les menaces de procédures judiciaires pour extorquer de l’argent aux entreprises.

Quand des sociétés ne vivent que de failles du système et qu’elles utilisent les tribunaux pour museler leurs victimes ça donne ce que vous allez lire… Avec L’Electronic Frontier Foundation, rediffusons largement sur nos réseaux les tracas subis par Mycroft puisqu’on veut les empêcher d’en parler, justement !

Les commentaires, comme toujours sur ce blog, sont ouverts et modérés.

Page originale sur le site de l’EFF : Courts Shouldn’t Stifle Patent Troll Victims’ Speech

Traduction Framalang : Cyrille Préaux, goofy, lumibd, tykayn, mo, Delaforest, Bromind, Pierre-Emmanuel Largeron, serici

Les tribunaux ne devraient pas réprimer la parole des victimes de trolls de brevets

Aux États-Unis, nous n’attendons pas des fonctionnaires – y compris les juges – qu’ils régulent la parole, et nous ne leur en accordons pas l’autorisation. Les tribunaux ne sont autorisés à restreindre la liberté d’expression que dans les circonstances les plus rares, sous réserve de limitations strictes. Nous avons donc été troublés d’apprendre qu’un juge du Missouri a rendu une ordonnance bâillonnant la parole d’une petite entreprise qui a choisi de s’exprimer au sujet d’un procès intenté contre elle par un troll de brevets.

Mycroft AI, une entreprise de neuf employés qui développe des technologies vocales open source, a publié le 5 février, un article de blog pour décrire comment la compagnie a été traitée par un troll de brevet qui s’appelle Voice Tech Corporation. Comme tous les trolls de brevet, Voice Tech n’offre ni services ni produits. L’entreprise détient simplement les brevets qu’elle a acquis grâce à plus d’une décennie d’argumentation sans contradicteur avec l’Office américain des brevets.

Les deux brevets de Voice Tech ne décrivent rien d’autre que l’usage des commandes vocales, avec un appareil mobile, pour exécuter des commandes par un ordinateur. Rien de plus. C’est le simple énoncé d’une idée, sans aucun détail sur sa mise en œuvre. Cette idée est présente dans la science-fiction depuis plus de 50 ans : l’entreprise s’appelle en fait Mycroft d’après le superordinateur du roman de Robert Heinlein «Révolte sur la lune» . Lorsque Voice Tech a utilisé ces brevets pour, d’une part, menacer puis, d’autre part, poursuivre en justice Mycroft AI, les dirigeants de la société ont refusé de payer les 30 000$ réclamés par ces brevets ridicules. Tout au contraire, ils se sont battus – et ont demandé l’aide de leur communauté.

« Les mathématiques ne sont pas brevetables et les logiciels ne devraient pas l’être non plus », écrit Joshua Montgomery, directeur de Mycroft, sur le blog. « Je n’ai pas l’habitude de demander ça, mais j’aimerais que toutes les personnes qui pensent que les trolls de brevets sont néfastes à l’open source, repostent, mettent en lien, tweetent et/ou partagent cet article. »

Montgomery a également déclaré qu’il a « toujours voulu être un chasseur de trolls » et qu’à son avis, face à de telles situations, « il vaut mieux être agressif et les « poignarder, fusiller et les pendre », puis les dissoudre dans de l’acide ». Il a inclus un lien vers une loi de l’État à laquelle il s’est opposé l’année dernière, où il avait utilisé la même citation.
Ce langage cru a attiré l’attention et l’histoire est devenue virale sur des forums comme reddit et Hacker News. Le procès et l’article ont également été couverts par des publications techniques telles que The Register et Techdirt. Selon Mycroft, cela a conduit à un afflux de soutien bien nécessaire.

Et sinon, vous pouvez faire la chasse aux trolls grâce à Framatroll

Le tribunal intervient

Cependant, selon Voice Tech, cela a conduit à du harcèlement. La société a réagi en demandant au juge qui supervise l’affaire, le juge de district américain Roseann Ketchmark du district ouest du Missouri, d’intervenir. Voice Tech a laissé entendre que l’article avait conduit à la fois à un harcèlement de son avocat et à une tentative de piratage. Mycroft a vigoureusement nié tout harcèlement ou piratage et a déclaré qu’il «admonesterait et nierait» toute attaque personnelle.

Malheureusement, le juge Ketchmark a non seulement accepté l’argument de Voice Tech concernant le harcèlement, mais il a également ordonné à Mycroft de supprimer des parties du billet de blog. Pire encore, il a ordonné à Mycroft de cesser de solliciter le soutien de sa propre communauté open source. Mycroft a reçu l’ordre spécifique de supprimer la demande que «toute personne de notre communauté qui pense que les trolls de brevets sont mauvais pour l’open source» poste à nouveau et rediffuse la nouvelle.

Pour être clair, si les allégations sont vraies, l’avocat de Voice Tech a le droit de répondre à ceux qui le harcèlent réellement. Cette décision est toutefois profondément troublante. Il ne semble pas qu’il y ait eu suffisamment de preuves pour que le tribunal estime que l’article cru de Mycroft ait conduit directement au harcèlement — une exigence essentielle (bien que non suffisante) avant d’interdire à une partie de partager ses opinions sur une affaire.

Cependant le public a le droit de savoir ce qui se passe dans cette affaire et Mycroft a le droit de partager cette information, même si elle est formulée dans un langage un peu cru. Le fait que certains membres du public aient pu réagir négativement au message, ou même tenter de pirater Voice Tech, ne justifie pas de passer outre à ce droit sans preuves solides montrant un lien direct entre le message de Mycroft et le harcèlement de l’avocat de Voice Tech.

Patent troll
« Troll under the Bridge » – Fremont Troll à Seattle

Les chasseurs de brevets et la censure

Mais il y a pire. Renforcée par son succès initial, Voice Tech continue à faire pression pour davantage de censure. En juin, Mycroft a publié une mise à jour de son produit MARK II. Alors qu’elle comptait sur sa sortie en 2021, Montgomery a écrit que «L’avancement dépendait du recrutement et des distractions telles que les trolls de brevets» et a fait référence à un article de Techdirt. Voice Tech a rapidement réagi et demande au travers d’une note à MyCroft de supprimer le lien et d’amender l’article :

«Voice Tech demande que Mycroft supprime le lien vers l’article TECHDIRT et mette à jour l’article original sur le forum de la communauté Mycroft au plus tard avant la fermeture des bureaux le 22 juillet 2020. Si Mycroft n’obtempère pas, Voice Tech n’aura d’autre choix que de porter plainte auprès du tribunal pour diffamation.»

Mycroft a supprimé le lien. VoiceTech a également cherché à censurer les journalistes indépendants sur l’affaire, tels que ceux qui ont publié sur Techdirt.

C’est déjà choquant que de petites entreprises telles que Mycroft AI soient sujettes à des menaces et des litiges concernant des brevets, qui dépassent à peine de la science-fiction, fournis par une bureaucratie défaillante. Mais il est encore plus inadmissible qu’elles ne puissent pas en parler librement. Aucune entreprise ne devrait avoir à souffrir en silence des dommages causés par les chasseurs de brevets à son activité, à sa communauté, et au public au sens large. Nous espérons que le juge Ketchmark reconsidérera clairement et rapidement sa censure et l’annulera. Nous sommes heureux de la démarche de Mycroft AI d’enclencher une action en justice pour combattre ces brevets clairement invalides.

 

 




« Avant tout, ne pas nuire », rappelle Laurent Chemla

Votée dans l’urgence et portée par une personnalité politique au moins controversée, la loi Avia qui s’appliquera dès le mois de juillet vise à réprimer la « cyberhaine ». Un grand nombre de voix se sont pourtant élevées pour émettre des mises en garde, comme dans cette alerte « la loi Avia est évidemment une atteinte gravissime à la liberté d’expression » et même dans des tribunes du Figaro ici et .

Nous avons choisi de reprendre ici celle de Laurent Chemla (c’est qui ce gars-là ?) qui fustige la précipitation brouillonne et souhaite l’application à la vie politique d’un fort ancien principe en médecine. Elle est parue d’abord sur son blog Médiapart et il nous autorise à la reproduire.


À noter : cet article bénéficie désormais d’une version audio.
Merci à Sualtam, auteur de lectureaudio.fr pour cette contribution active.

Primum non nocere — par Laurent Chemla

Si la médecine a retenu (entre autres) d’Hippocrate son fameux « primum non nocere » (« Avant tout, ne pas nuire »), on peut regretter que le politique n’ait pas, lui aussi, appris ce principe de prudence abstentionniste, et que trop souvent il use du mantra inverse : « Il faut faire quelque chose ».

Non. Il ne faut jamais « faire quelque chose ».

Déjà parce que, dans la très grande majorité des cas, « faire quelque chose » c’est faire n’importe quoi.

Ensuite parce que, souvent, ne rien faire est moins nocif que d’inventer des solutions qui semblent faciles et rapides mais qui risquent surtout d’aggraver les choses.

Et enfin parce que, presque toujours, on se retrouve à justifier l’injustifiable une fois qu’on a mal agi. Au motif évidemment qu’il fallait bien « faire quelque chose ».

Loi « contre la haine » ?

Prenons l’exemple de la loi Avia « contre la haine en ligne ».

Celle-ci part d’un constat: la haine se diffuse – en ligne comme partout, et (c’est le grand principe de cette loi, que Mme Avia a clairement exposé ) « ce qui est interdit dans l’espace réel doit l’être également dans l’espace virtuel ».

Passons rapidement sur le fait que – dans la rue – la haine est partout sans que rien ou presque ne s’y oppose. Entre usagers de la route, entre piétons, entre voisins, entre manifestants et contre-manifestants, entre police et manifestants, la haine est devenue dans nos sociétés occidentales presque un mode de vie, au point qu’on s’étonne et se méfie du moindre geste bienveillant non sollicité. Et la rue… la rue est le théâtre quotidien du harcèlement des femmes et des exclus, des insultes, des remarques sexistes, homophobes, racistes et violentes, des agressions, des crachats et de la peur. La rue aussi c’est la pauvreté mise en spectacle, le mépris de l’étranger et de ceux que la société laisse sur, justement, le trottoir.

Oser affirmer, devant la représentation nationale, que la haine est interdite dans  » l’espace réel  » c’est – évidemment – se foutre d’un monde auquel on n’appartient plus parce qu’on s’en est protégé par des vitres teintées, des chauffeurs et des gardes du corps.

Qu’on me comprenne bien : ceci n’est pas une raison pour ignorer la haine en ligne. Mais quand l’argument de Mme Avia, pour justifier son texte, repose sur un tel mensonge préalable, on a le droit de s’en inquiéter même si ce n’est pas en soi un motif d’inaction. J’y reviendrai.

Passons, donc.

Et que ça saute !

Cette loi repose sur une idée simple. Simpliste, même : il suffirait de rendre les intermédiaires techniques responsables des contenus publiés par des tiers, de les contraindre à retirer tout ce qui leur est signalé comme étant « manifestement illicite » sous peine d’amendes démesurées, pour que nous soyons tous protégés des méchants, car c’est très urgent.

Et hop !

Alors déjà, pardon de le dire, mais ce débat-là est si vieux qu’il a le droit de vote depuis déjà 6 ans. C’est dire l’urgence de légiférer et de voter un tel texte alors que le pays n’est même pas encore sorti d’un confinement imposé par une crise d’une ampleur encore jamais vue. C’EST URGENT ON T’A DIT les morts, les masques, les tests et le vaccin, on verra plus tard.

Ce débat date du tout début de l’Internet grand-public, autour de 1996. Il a réuni des comités, des commissions, il a connu des lois, des rejets du Conseil Constitutionnel, d’autres lois, des jurisprudences, des textes, des réglements et une directive européenne. Des centaines, des milliers d’experts, de juristes, d’associations, de citoyens et de lobbies se sont penchés dessus (et s’y penchent encore puisque l’Europe a prévu d’y revenir durant la présente législature), pour essayer d’imaginer des équilibres qui respectent à la fois le droit à la liberté d’expression et la juste volonté d’empêcher les délits.

Des livres y sont entièrement consacrés.

Depuis 24 ans.

C’est dire L’URGENCE du truc, alors qu’on a remis aux calendes un sujet aussi fondamental que nos retraites parce que, voilà, c’est pas trop le moment hein.

C’était TELLEMENT urgent qu’on n’a même pas respecté la procédure européenne obligatoire pour ce type de législation, c’est trop grave : on se moque des députés sur Twitter, tu te rends compte, il faut légiférer VITE !

Bref.

Têtes d’oeuf

Clément Viktorovitch résume très bien les termes du problème dans cette courte vidéo : quand on délègue à des entreprises privées le droit de juger de ce qui est légal ou illégal, on s’expose à une censure de très grande ampleur – parce que c’est plus simple et moins cher de censurer que de se poser des questions, surtout quand on risque des amendes de très grande ampleur, et que le profit est le seul guide des entreprises privées. Tout simplement.

Rendre la justice est une fonction régalienne. Les fonctions régaliennes sont des tâches que l’État ne doit pas, ou ne peut pas, déléguer à des sociétés privées. La loi Avia fait le contraire. Voilà mon résumé à moi.

Je le dis, je le répète, je le blogue et je le conférence depuis plus de 20 ans, ici et partout : si le droit à la liberté d’expression est inscrit dans notre constitution depuis le 18e siècle, ce droit n’était que très théorique jusqu’à l’arrivée d’Internet. C’est par et grâce à Internet que la parole publique est devenue accessible à tous.

Il n’est donc pas très étonnant que ce droit-là soit un des moins bien protégés par nos textes de loi, il n’est donc pas très étonnant que la liberté d’expression du grand public remette en cause les usages et les habitudes des puissants… et il n’est donc pas très étonnant que ces mêmes puissants fassent tout ce qu’ils peuvent pour remettre à sa place ce grand public qui ose s’arroger le droit de les critiquer à la face du monde.

Il est donc d’autant plus important d’y faire très attention et de ne pas légiférer n’importe comment et dans l’URGENCE parce que l’ego de quelque députée a été un peu froissé par des remarques en ligne sur ses tendances mordantes, fussent-elles problématiques. Je vous engage à revoir, encore une fois, dans la courte vidéo ci-dessus mentionnée en quels termes Mme Avia a présenté son texte en première lecture ( « MES trolls, MES haters, MES têtes d’œuf anonymes ») pour bien comprendre ses raisons – très personnelles et donc très éloignées du bien public – d’agir.

Hélas, le respect des grands principes républicains n’est visiblement pas l’URGENCE.

Latin de garage

En médecine, donc, le « triangle hippocratique » (médecin, malade et maladie) se base sur la confiance. La confiance qu’on accorde à celui entre les mains duquel on remet sa vie pour qu’il n’agisse que pour notre bien, ou – au minimum – pour qu’il n’aggrave pas notre situation. Primum non nocere.

En politique, ce même principe devrait s’appliquer. Mais force est de constater qu’en politique aujourd’hui, le principe est plutôt « primum actum » (« d’abord agir », dans mon latin de garage) avant même d’avoir bien pesé le pour et le contre. Au risque de tuer le malade, et dans le cas qui me fait réagir ici au risque de réduire à néant un de nos droits fondamentaux.

Pour autant, « ne rien faire » contre la haine en ligne n’est pas le contraire de « faire n’importe quoi pourvu que ça fasse taire mes opposants au risque de détruire des équilibres difficilement atteints ». L’accès à la liberté d’expression pour tous est un phénomène récent, et il est normal de réfléchir à ses dérives. Et il est normal que ces dérives se produisent tant que la société n’a pas intégré profondément les règles qu’impose l’usage d’une liberté. Ce n’est pas, pour faire un parallèle rapide, parce que la liberté de se déplacer est un droit fondamental qu’on a pas besoin d’un code de la route. Mais ce n’est pas parce qu’on a besoin d’un code de la route qu’on doit donner le droit aux sociétés d’autoroute d’interdire le passage à qui bon leur semble.

Intégrer les règles sociales d’un outil aussi profondément disruptif qu’Internet ne se fait pas en un jour, ni même en une génération. Ça prend du temps, ça nécessite des efforts, y compris financiers. On peut, on doit s’opposer à la haine. En ligne comme partout. En donnant des moyens à l’éducation pour former de futurs citoyens. En donnant à la justice des moyens d’agir plus rapidement et plus efficacement.

Pour qu’à force d’exemples et de formations, chacun apprenne à mieux se comporter, à mieux peser la responsabilité qu’il doit s’imposer lorsqu’il use de la parole publique, à mieux connaître ses droits et ses devoirs. En ligne comme partout. C’est long, c’est cher, ça ne se fait pas dans l’urgence et ce n’est pas aussi facile que de faire voter une loi stupide par une majorité sans partage.

Mais dans une société démocratique et respectueuse de ses grands principes, c’est comme ça que ça devrait se faire.

Et pas autrement.

 

en titre en haut "Laurent Chemla se heurte à l’hostilié des latinistes d egarage". en bas à gauche jeune homme souriant qui dit "c’est par et graĉe à internet que la parole publique est devenue accessible à tous". devant lui deux curés catholiques l’air furieux brandissent une croix et disent "vade retro cyberhaine"
Réalisé par Gégé https://framalab.org/gknd-creator/