Refusons la surveillance biométrique

Vous avez hâte de voir les JO de Paris en 2024 ? Non ? Roooh… et la petite loi surveillance qui va avec ? Vous avez hâte de la voir appliquée aussi ? Non ? Alors cette BD est pour vous…

BD réalisée dans le cadre de la campagne de la Quadrature du Net contre l’article 7 de la loi JO.

Refusons la surveillance biométrique

Comme vous le savez, la France doit accueillir les Jeux Olympiques et Paralympiques en 2024.

Gee, blasé : « Euuuh… ouaaaaiis…  on a gagnééé… » Geekette, blasée aussi : « On va pouvoir dépenser plein d'argent public et encore bétonner plus de terres pour un concours à l'organisation opaque qui ne profitera qu'à une poignée de gens… »

En plus de ces joyeusetés, côté sécurité/surveillance, c’est pas jojo non plus.

Ainsi, l’Assemblée nationale va se prononcer en mars sur un projet de loi relatif à ces jeux, et dont l’article 7 consiste à autoriser la vidéosurveillance automatisée.

Politicien enthousiaste : « “Vidéosurveillance automatisée”, je n'aime pas ces mots. Je préfère “vidéoprotection intelligente”. » Gee, feignant l'enthousiasme : « Et pourtant, c'est complètement con et ça ne protège pas ! Étonnant, non ? »

La VSA, c’est la vidéosurveillance accompagnée d’algo-rithmes qui analysent les corps et les comportements pour détecter des personnes « suspectes ».

Geekette : « C'est un peu comme Big Brother, mais… » Gee : « Mais quoi ? » Geekette : « Non rien. C'est carrément Big Brother, en fait. » Smiley : « Quand 1984 cesse d'être un exemple de dérive possible mais un exemple tout court, ça pue. »

C’est donc un outil de surveillance de masse qui reproduira les biais bien humains de manière automatique et à grande échelle.

Gee, en panique : « On sait que les personnes noires sont largement plus victimes de faux positifs sur la reconnaissance faciale que les blanches…  Là, avec l'analyse des comportements, ça va être quoi ? Les gens qui ont le regard fuyant ou qui marchent de travers vont être déclarés suspects ? » Smiley : « Z'avez qu'à marcher droit !  GARDE À VOUS ! »

Le pire, c’est que la VSA est déjà déployée dans plus de 200 villes en France en toute opacité, avec notamment le logiciel Briefcam de Canon, utilisé à Nice, Roubaix ou encore Nîmes, et bien d’autres…

Politicien excité : « Bah justement, c'est déjà là ! Ça va pas trop vous changer ! » Geekette : « Quand ça pue, en général, la logique, c'est pas de rajouter une couche de merde dessus… c'est de nettoyer ! » Politicien : « Nettoyer ?  Interdire la vente de logiciels de VSA ? Mais et la CRÔASSANCE, alors ? »

Ajoutons que ces logiciels fonctionnent par des méthodes d’apprentissage automatique de type deep learning, des boîtes noires qui ne sont réellement maîtrisées que par une poignée d’experts pendant que les start-uppers jouent aux apprentis-sorciers avec…

Start-upper, enthousiaste : « Regardez, on a détecté un suspect ! C'est pas trop bien, sans déconner ?! » Gee, méfiant : « Mais c'est quoi, le raisonnement logique qui l'a marqué comme suspect ? » Start-upper : « Euuuh, bah j'sais pas, euuuh…  deep learning…  réseau de gneurones…  euuuh…  C'est magique, quoi. » Gee : « Hyper-rassurant. » Smiley : « Tu le sens, que les possibilités de contrôle diminuent un chouïa ? »

Avec évidemment, en prime, la petite excuse classique si ça déconne : « c’est pas notre faute, c’est l’algorithme ».

Du coup je me permets de recycler ce dessin de ma BD « Google, l’espion le plus con du monde » :

Image extraite de la BD en question. Politicien : « Ah non mais c'est pas nous, c'est l'algori… » Gee qui met une mandale (« SBAF ! ») au politicien : « La ferme ! L'algorithme, c'est vous qui l'avez codé !  Les données d'entraînement, c'est vous qui les fournissez ! Y'a pas d'intelligence supérieure ou externe à l'œuvre, assumez vos merdes ! » Smiley : « Et pi si vous maîtrisez pas vos outils… ARRÊTEZ-LES ! »

Alors bien sûr, on nous dit que ça ne sera qu’une expérimentation pour les JO…

Ce à quoi l’expérience d’à peu près toutes les lois de merde soi-disant temporaires devenues permanentes devrait nous amener à répondre :

Gee, avec un poulet à la place des fesses : « And my ass is chicken ?  You want a wing ? » Le poulet : « PWAAAK ! »

C’est pour toutes ces raisons que la Quadrature du Net lance une campagne avec un récapitulatif des problèmes et contre-arguments, ainsi qu’une plateforme pour contacter vos députés et députées afin de les appeler à voter contre :

www.laquadrature.net/biometrie-jo

Note : BD sous licence CC BY SA (grisebouille.net), dessinée le 22 février 2023 par Gee.

Références :

Crédit : Gee (Creative Commons By-Sa)




La réponse de l’hébergeur à la bergère

…ou considérations pratiques à l’attention des hébergeurs qui reçoivent une demande de retrait de contenu

L’association Scenari dont je suis membre a reçu un mail de la directrice juridique d’un important éditeur de manuels scolaires (que j’appellerai Éditions X), intitulé « contenus non autorisés ». Ce mail nous informait qu’avaient été découverts « des contenus non autorisés sur votre site et notamment « ​​Relation Client à Distance et Digitalisation »​ » et nous demandait « de supprimer tous les contenus non autorisés par nos maisons d’édition ».

On pourrait s’étonner que certains éditeurs de manuels scolaires jugent opportun en ce moment de chasser les copies illicites sur le Web. On pourrait préférer qu’ils concentrent l’ensemble de leurs forces pour chercher comment mettre à disposition leurs ressources au plus grand nombre. Mais ce n’est pas le sujet de cet article.

On pourrait aussi avoir envie de rappeler que les contenus pédagogiques devraient être sous licences libres, a fortiori quand ils ont été largement financés par l’argent public. Cela permettrait aux enseignants de se les réapproprier plutôt que de recréer des ressources à côté. Cela permettrait de favoriser des processus contributifs. Cela permettrait leur capacitation numérique, cela améliorerait leur autonomie quand il s’agit de mettre à disposition du contenu en ligne. Mais ce n’est toujours pas le sujet de cet article.

 

À la réception de cette demande, nous avons réagi promptement (on verra que c’est le terme employé dans la loi), mais avec un peu de recul, je me dis que nous avons réagi trop promptement. Le sujet de cet article est d’étudier comment un petit hébergeur associatif doit réagir en face d’une telle demande.

Rappel du contexte

L’association Scenari est hébergeur de contenus créés avec MyScenari, un logiciel libre combiné à un hébergement offert à ses membres, qui permet notamment de créer des sites et de les mettre en ligne. Pendant la crise Covid-19 l’association a lancé une « Action solidaire Scenari » permettant à tout enseignant non membre de l’association de bénéficier de cet hébergement (scenari.org).

C’était la première fois que nous recevions une demande de retrait de contenus.

Des contenus non autorisés… par quelle autorité ?

Nous avons donc réagi promptement, c’est à dire que nous avons immédiatement répondu au mail reçu que nous allions « éliminer les contenus non autorisés » et nous avons presque aussi rapidement signifié à l’auteur que nous avions reçu cette demande. Celui-ci a retiré ses contenus aussitôt le message reçu, reconnaissant que c’était « borderline », mais regrettant que l’éditeur n’ait pas été « un peu plus compréhensif » dans le contexte actuel où il lui faut bien chercher des solutions pour maintenir la fameuse « continuité pédagogique », et s’étonnant que les Éditions X avec qui il est en contact ne l’aient pas interpellé directement.

Donc les contenus ont été éliminés. Grâce à nous.

Grâce à nous un éditeur a pu faire valoir son bon droit. Grâce à nous le travail d’un enseignant et de ses étudiants a été compliqué. Le travail d’un enseignant qui avait fait l’effort de chercher des solutions, par lui-même, d’en trouver, de les mettre en œuvre. Pas pour spolier des ayants droit, mais pour inventer des solutions à ces problèmes. Il a créé du contenu, nous l’avons détruit.

Pourquoi diable avons-nous fait cela ?

Parce que nous avons réagi, presque mécaniquement, à un argument d’autorité. Un argument d’autorité c’est un argument qui « consiste à faire appel à une autorité plutôt qu’à la raison », nous dit Arthur Schopenhauer dans L’Art d’avoir toujours raison (ouvrage que je recommande par ailleurs). Donc, la Directrice juridique (avec une majuscule) des Éditions X nous remercie de. Notez qu’il n’y a pas d’accent à Édition dans le mail reçu, qu’un éditeur devrait pourtant savoir que les majuscules s’accentuent, et qu’en faisant remarquer cela j’use également d’un stratagème rhétorique, l’attaque personnelle (argumentum ad personam) qui permet d’attaquer la personne plutôt que le discours. Je me dispense habituellement de le faire lorsque je m’en rends compte, c’est un des avantages de s’intéresser à la rhétorique. Disons que j’ai laissé celui-ci pour illustration de mon propos, et montrer que la rhétorique est une arme à double tranchant.
dessin humoristique fabriqué avec le générateur de geektionnerd. Titre : Soyons procéduriers avec Édith Sillon. à gauche une silhouette féminine mains sur les hanches déclare "Nous vous demandons donc de supprimer les contenus non autorisés, car nous défendons les intérêts des ayant-droits (ortho fautives avec trait d’union inutile et pluriel au mot "droit"). En face d’elle, une autre silhouette féminine, bras croisés , répond : Pas question parce que le pluriel c’est ayants droit (S à ayant, pas de trait d’union). Elle ajoute plus bas "et toc";
Argument d’autorité donc. Je vois pourtant au moins trois bonnes raisons de faire fonctionner sa raison, justement, et de ne pas répondre à une telle demande à moins, soit d’y être obligé légalement, soit de s’être construit son propre avis sur la question.

En répondant positivement à la demande sans y être légalement obligé, on fait le choix de léser celui qui est ciblé par la demande. Or nous n’avons pas forcément les éléments pour savoir qui est dans son droit de l’un ou de l’autre. D’une part au sens légal, qu’est-ce qui me prouve que ?… On verra que la loi actuelle va en ce sens et que la preuve est à la charge du demandeur. D’autre part au sens éthique : les ayants droit ont-ils vraiment raison d’interdire coûte que coûte l’accès à leurs contenus, en toutes circonstances ? Aaron Swartz est mort d’avoir refusé une réponse simpliste à cette question. On ne nous en demande pas tant, mais on peut au moins s’arrêter un peu et réfléchir.

En répondant positivement à la demande sans y avoir mûrement réfléchi, nous agissons comme les robots qui suppriment des contenus, parfois de façon tout à fait stupide et injustifiée. Or la majorité des hébergeurs, a fortiori petits, a fortiori libristes, sont contre les systèmes de filtrage automatisés et ont combattu leur systématisation prévue par la proposition de directive européenne sur le droit d’auteur.

En répondant positivement à la demande sans y être obligé, nous consommons de l’énergie qui n’est pas investie ailleurs. Les hébergeurs associatifs, sans orientation commerciale, ont mieux à faire que de s’occuper des intérêts des détenteurs de droits patrimoniaux. Faire tourner les services, les sécuriser, les faire connaître, les documenter, répondre aux utilisateurs, modérer les propos inappropriés, haineux ou discriminatoires… À tout cela on s’est engagé. Mais supprimer des corrigés d’exercices pour un BTS ? Vraiment ? Est-ce que les éditeurs ne peuvent pas se débrouiller pour cela ? (on verra que c’est également à peu près ce que dit la loi, pour le moment).

La loi qui s’applique actuellement est la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dites LCEN.

L’article qui nous intéresse est en particulier l’article 6.

En voici quelques points saillants :

Les hébergeurs sont désignés par la périphrase : « Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne », je garderai le terme hébergeur pour mon exégèse (Section I-1).

Les hébergeurs doivent être en mesure de prévenir le « téléchargement et la mise à disposition illicite d’œuvres et d’objets protégés par un droit d’auteur ou un droit voisin » (Section I-1 et référence à l’article L. 336-3 du CPI).

Les hébergeurs ne peuvent pas voir leur responsabilité engagée s’ils « n’avaient pas effectivement connaissance » du caractère illicite des données stockées ou s’ils « « ont agi promptement pour retirer ces données ou en rendre l’accès impossible » » (Section I-2 et I.3).

Les hébergeurs ne sont pas obligés de « surveiller les informations qu'[ils] transmettent ou stockent », ni de « rechercher des faits ou des circonstances révélant des activités illicites » » (sauf « « surveillance ciblée et temporaire demandée par l’autorité judiciaire ») (Section I-7).

Les hébergeurs ont l’obligation de « mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance » des données permettant « la répression de l’apologie des crimes contre l’humanité, de la provocation à la commission d’actes de terrorisme et de leur apologie, de l’incitation à la haine raciale, à la haine à l’égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap ainsi que de la pornographie enfantine, de l’incitation à la violence, notamment l’incitation aux violences sexuelles et sexistes, ainsi que des atteintes à la dignité humaine », « des activités illégales de jeux d’argent », des opérations liées au « tabac manufacturé dans le cadre d’une vente à distance » (l’atteinte au droit d’auteur n’est, logiquement, pas mentionné dans cette liste) (Section I-7).

Et la section I.5 nous précise que la connaissance des faits litigieux est présumée acquise lorsqu’il leur est notifié (je reproduis intégralement cette partie) :

  • la date de la notification ;
  • si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l’organe qui la représente légalement ;
  • les nom et domicile du destinataire ou, s’il s’agit d’une personne morale, sa dénomination et son siège social ;
  • la description des faits litigieux et leur localisation précise ;
  • les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;
  • la copie de la correspondance adressée à l’auteur ou à l’éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l’auteur ou l’éditeur n’a pu être contacté.

On comprend donc que celui ou celle qui veut faire retirer du contenu par un hébergeur doit :

  • au moins avoir essayé de contacter directement l’auteur de l’infraction qu’elle pointe, avant de s’adresser à l’hébergeur,
  • fournir une motivation qui prouve les faits, ce n’est pas à l’hébergeur de mener l’enquête.

Évolutions attendues à moyen terme (directive européenne)

La directive européenne 2019/790 sur le « droit d’auteur et les droits voisins dans le marché unique numérique » a été adoptée le 17 avril 2019. Il s’agit d’une directive, c’est donc un texte qui ne s’applique pas encore mais qui doit être transposé dans la loi française.

L’article 13 du projet de directive, devenu l’article 17 de la directive adoptée, a été combattu, notamment par les hébergeurs et les défenseurs des libertés individuelles, parce qu’il renverse la charge des ayants droit vers les hébergeurs :

« Si aucune autorisation n’est accordée, les fournisseurs de services de partage de contenus en ligne sont responsables des actes non autorisés de communication au public, y compris la mise à la disposition du public, d’œuvres protégées par le droit d’auteur et d’autres objets protégés, à moins qu’ils ne démontrent que […] ».

L’hébergeur qui n’aura pas d’accord avec les ayants droit et/ou qui ne sera pas en mesure de filtrer a priori les contenus sera responsable. Ce qui implique la nécessité pour les hébergeurs de passer de tels contrats et de mettre en place des dispositifs automatisés de filtrage.

Je ne m’étends pas sur cette évolution à venir, pour le moment, le régime qui s’applique est celui décrit précédemment.

« La directive passe par deux étapes avant de produire ses effets : une fois votée par les institutions européennes, elle doit ensuite être transposée par les États membres dans leur droit national, à la différence du règlement, qui s’applique directement. »

Guide dont vous êtes le héros à l’usage des petits hébergeurs

1

Vérifiez que le sujet de la demande n’est relatif qu’au droit d’auteur.

Si on est bien uniquement dans le cas du droit d’auteur, allez en 2.
Si on est dans le cas d’un autre signalement portant sur une répression d’intérêt général tel que mentionné par la loi (crimes, haine, terrorisme, discrimination… cf. supra), allez directement en 6.

2

Vérifiez que la demande reçue est conforme à la forme prescrite par la LCEN, article 6, section I.5 (cf. supra).

Si oui, il faut la considérer, allez en 6.
Sinon, allez en 3.

3

La demande reçue n’est pas complète :

S’il y a des menaces associées à une demande incomplète, allez en 4.
Si la demande est presque complète, il ne manque qu’une information par exemple, allez en 5.
Sinon, allez en 9.

4

Vous avez été menacé alors que la demande de signalement n’est pas conforme à la loi :

  • signalez à votre tour la menace reçue au procureur de la république avec un mot pour lui expliquer la situation et mettre en évidence votre statut de petit hébergeur (ce sera utile notamment si le demandeur est un habitué des démarches cavalières) ;
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande pour information, informez-le de votre démarche.

5

La demande est presque dans les formes, mais qu’il manque au moins une information :

  • accusez réception de la demande en répondant que vous êtes un prestataire technique dont l’activité est d’offrir un accès à des services de communication au public en ligne tel que défini par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;
  • n’entreprenez aucune autre démarche (au demandeur de rendre conforme sa demande s’il le souhaite) ;
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande pour information, informez-le de votre démarche.

6

Vous avez reçu une demande conforme à la LCEN, vous êtes tenu d’y répondre, vérifiez les informations transmises.

Si vous êtes convaincu que les informations sont fausses, allez en 7.
Si vous avez un doute sur la véracité des informations, allez en 8.
Si les informations vous semblent vraies, allez en 10.

7

Vous avez reçu une demande conforme à la LCEN, mais vous êtes convaincu qu’elle est abusive :

  • accusez réception et informez le demandeur que vous pensez les informations transmises fausses et signalez-lui que l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, prévoit que le fait de demander sciemment un retrait sur des bases inexactes est puni d’une peine d’un an d’emprisonnement et de 15 000 Euros d’amende ;
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande pour information, informez-le de votre démarche.

8

Vous avez reçu une demande conforme à la LCEN, mais avez un doute sur la véracité des informations :

  • ​accusez réception et demandez un complément d’information au demandeur ;​
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande pour information, informez-le de votre démarche, demandez-lui éventuellement son avis ;
  • une fois recueillies les informations complémentaires, décidez de vous rendre en 7 ou en 10.

9

La demande est incomplète, sans menace :

Ignorez la demande et ignorez les relances si elles ne sont pas plus circonstanciées (ou menaçantes).

10

Vous avez reçu une demande conforme à la LCEN et les informations vous semblent vraies :

  • procédez au retrait immédiat des données ou rendez-les inaccessibles (en cas de manipulation informatique présentant un risque de perte de données, procéder à une copie préalable) ;
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande et informez-le de votre décision.

logigramme parodique avec des symboles de jeu dans les symboles et des phrases idiotes
Le trajet idéal vous est fourni dans une représentation simplifiée grâce à ce logigramme. On est comme ça chez Framasoft.

La responsabilité de l’hébergeur

Je précise que ce guide est juste un guide, chaque hébergeur est invité à l’adapter selon son éthique et les situations rencontrées. En particulier, la jurisprudence a déjà considéré que la responsabilité de l’hébergeur pouvait être engagée même si la demande était incomplète dès lors que la description des faits était suffisamment précise pour permettre le retrait. Donc, suivre ce guide comporte une part de risque, notamment si vous ne répondez pas ou peu (points 5 et 9 du guide).

Mais d’un autre côté le législateur a confié de facto à l’hébergeur la responsabilité de garantir l’équilibre entre liberté d’expression d’une part et le préjudice aux tiers d’autre part. Si l’hébergeur ne tient pas son rôle, en arbitrant systématiquement en faveur des retraits, de peur d’un jugement défavorable, y compris lorsque les faits ne sont pas avérés ou que les procédures ne sont pas respectées, alors il œuvre de fait contre la liberté d’expression. Le statut juridique de l’hébergeur ne lui permet pas d’être neutre, il doit prendre ses responsabilités.

Note concernant l’identité de l’éditeur

L’association Scenari a préféré ne pas divulguer le nom de l’éditeur, j’ai respecté ce choix, le propos de l’article étant moins de porter l’attention sur l’attitude de celui-ci que de proposer une réflexion pratique.

Note concernant le mail reçu

Ressentant peut-être une légère honte à faire cette demande en plein confinement, la directrice juridique a assorti sa demande du commentaire suivant : « En effet, nous nous opposons à la mise en ligne de corrigés de nos ouvrages et la majorité des enseignants nous demande de lutter contre ces pratiques qui perturbent leur enseignement. ».

J’ai choisi de ne pas considérer cet angle car :

  • Sa demande portait bien sur « tous les contenus non autorisés par nos maisons d’édition » et non pas sur tel ou tel corrigé.
  • Je souhaiterais une preuve que la préoccupation de la majorité des enseignants soient en ce moment de lutter contre ces pratiques et pas plutôt de lutter pour trouver des solutions.
  • Une recherche web circonstanciée ne faisait pas ressortir ces contenus, donc seuls les étudiants ayant déjà l’adresse fournie par l’enseignant pouvait en pratique accéder au contenu.

Remerciements

Merci aux membres de l’association Scenari, de Framasoft et du CHATONS de m’avoir aidé dans cette recherche, et en particulier à Denis Dordoigne à qui j’ai emprunté une part significative du guide proposé, à Stéphane Poinsart de m’avoir pointé la référence du JournalDuNet concernant la jurisprudence, à Christelle pour ses précieux compléments, à Benjamin pour m’avoir relu et rappelé que les hébergeurs avaient leur rôle à jouer, à tous les autres qui ont contribué anonymement.

 




21 degrés de liberté – 17

Journaux intimes et courriers privés ont longtemps été considérés comme littéralement sacrés, inviolables pour tout le monde. Qu’en est-il aujourd’hui quand nos vies intimes s’expriment sur des supports numériques ?

Voici déjà le 17e article de la série écrite par Rick Falkvinge. Le fondateur du Parti Pirate suédois aborde une fois de plus la restriction de notre bulle privée à l’ère numérique.

Le fil directeur de la série de ces 21 articles, comme on peut le voir clairement dans les épisodes précédents que nous vous avons déjà livrés, c’est la perte de certaines libertés dont nous disposions encore assez récemment, avant que le passage au tout-numérique ne nous en prive.

Nos journaux intimes étaient inviolables

Source : Rick Falkvinge sur privateinternetaccess.com

Traduction Framalang : redmood, draenog, Susyl, goofy + 1 anonyme

Pour nos parents du monde analogique, un journal intime ou une lettre personnelle pouvait rarement être saisie par les autorités, pas même lors d’une perquisition par les forces de l’ordre à la recherche de preuves d’un délit. Ce genre d’objets bénéficiait d’une protection en sus du droit constitutionnel à la vie privée. Pour nos enfants du monde numérique, en revanche, les équivalents de journaux intimes et lettres ne sont même pas considérés comme dignes d’une protection constitutionnelles fondamentales .

eune fille qui écrit sur ses genoux un journal intime

Dans la plupart des juridictions, il existe un droit constitutionnel à la vie privée. Dans ces pays, les forces de l’ordre ne peuvent se permettre de débarquer et de lire les mails d’une personne, mettre ses appels téléphoniques sur écoute, ou pister son adresse IP. Il leur faut d’abord une ordonnance d’un tribunal, basée sur des preuves concrètes d’un crime grave : la règle générale est que vous avez le droit à la vie privée, et les violations de cette règle sont des exceptions, et non la norme.

Et pourtant, il existe généralement un niveau de protection supplémentaire : même lorsque les autorités obtiennent la permission d’un juge de violer l’intimité d’une personne sous la forme d’un mandat de perquisition de son domicile personnel, certains objets ne peuvent être saisis à moins d’obtenir des autorisations spécifiques supplémentaires, accordées par le même type de juge. Cette catégorie d’objets comprend les objets personnels les plus privés : les lettres privées, les journaux intimes, etc.

Bien sûr, cela est vrai uniquement dans le monde analogique de nos parents. Bien que la lettre de la loi soit la même, cette protection ne s’applique pas du tout au monde numérique de nos enfants, à leurs journaux et lettres intimes.

Parce que les journaux intimes modernes sont conservés sur ordinateur. Si ce n’est sur un ordinateur de bureau, alors c’est sur un ordinateur mobile de poche – que nous appelons « téléphone » pour des raisons historiques, mais qui est en réalité un ordinateur de poche.

Et les ordinateurs sont des outils de travail, dans le monde analogique de nos parents. Il y a de nombreux cas de jurisprudence, qui définissent toutes formes de dispositifs électroniques comme des outils de travail, datant de l’époque du monde analogique, et les forces de l’ordre ont allégrement recours à ces derniers, alors même qu’aujourd’hui nos outils numériques contiennent nos journaux intimes, lettres personnelles, et d’autres choses bien plus privées que ce qu’un journal intime analogique a jamais pu contenir.

Oui : alors que les journaux intimes de vos parents étaient sous haute protection de la loi, ceux de vos enfants – pas moins personnels à leurs yeux, que ceux de vos parents étaient aux leurs – sont autant protégés contre les fouilles et les saisies qu’une banale clé à molette dans un quelconque atelier.

Alors la question c’est : comment sommes-nous passés du point A au point B ? Pourquoi la police, qui sait qu’elle n’a pas le droit de toucher à un journal intime classique lors d’une perquisition, se saisit-elle immédiatement des téléphones, qui jouent exactement le même rôle pour nos enfants ?

La réponse courte est « parce qu’ils le peuvent ». Aussi, parce que « personne n’a tapé du poing sur la table », si l’on veut y voir une leçon quant à la nécessaire action citoyenne.
Parce que certaines personnes ont vu un intérêt politique à court terme à « sévir contre la criminalité » et ont, au passage, totalement ignoré des droits durement acquis.

Chiffrez tout.

La vie privée demeure de votre responsabilité.




Logiciel privateur de liberté… jusqu’à la prison ?

Dans le mode du logiciel libre, et contrairement à ce que le nom laisse suggérer, ce n’est pas le logiciel qui est libre, mais bien l’utilisateur du logiciel.

Le logiciel propriétaire, c’est-à-dire l’opposé du logiciel libre, est alors parfois appelé « logiciel privateur », car il prive l’utilisateur de certaines libertés fondamentales (étudier, exécuter, etc. le code source du programme).

Rebecca Wexler, étudiante dans l’école de droit de Yale (Yale Law School) nous montre ici qu’en plus ne nous priver de ces libertés qui peuvent parfois sembler bien futiles pour tout un chacun, ces logiciels peuvent compromettre le système judiciaire et nous priver ainsi de nos libertés fondamentales.

Condamnés par le code

par Rebecca Wexler

Source : Convicted by code (Slate)

Traduction :Vincent,  McGregor, roptat, oS,Diane, CLC, touriste, teromene, Piup, Obny et anonymes.

Obny CC BY-NC-SA Dérivé de Su morais et CyberHades.
Obny CC BY-NC-SA Dérivé de Su morais et CyberHades.

Le code « secret » est partout : dans les ascenseurs, les avions, les appareils médicaux.

En refusant de publier le code source de leurs logiciels, les entreprises rendent impossible son inspection par des tiers, et ce même si le code a un impact énorme sur la société et la politique. Verrouiller l’accès au code empêche de connaître les failles de sécurité qui peuvent nous rendre vulnérables au piratage et à la fuite de données. Cela peut menacer notre vie privée en accumulant de l’information sur nous à notre insu. Cela peut interférer avec le principe d’égalité devant la loi si le gouvernement s’en sert pour vérifier notre éligibilité à une allocation, ou nous inscrire sur une liste d’interdiction de vol. De plus, le code gardé secret permet le trucage des données et occulte les erreurs, comme dans l’affaire Volkswagen : l’entreprise a récemment avoué avoir utilisé un logiciel caché pour truquer les tests d’émission menés sur 11 millions de voitures, qui rejetaient l’équivalent de 40 fois la limite légale.

Mais aussi choquante que la fraude de Volkswagen puisse être, elle ne fait qu’en annoncer bien d’autres du même genre. Il est temps de s’occuper de l’un des problèmes de transparence technologique les plus urgents et les plus négligés : les programmes secrets dans le système judiciaire. Aujourd’hui, des logiciels fermés, propriétaires, peuvent vous envoyer en prison et même dans le couloir de la mort. Et dans la plupart des juridictions des États-Unis, vous n’avez pourtant pas le droit de les inspecter. Pour faire court, les procureurs ont le même problème que Volkswagen.

Prenons la Californie. Martell Chubbs est actuellement accusé de meurtre pour des faits remontant à 1977, dans lesquels la seule preuve contre lui est une analyse ADN effectuée par un logiciel propriétaire. Chubbs, qui dirigeait une petite entreprise de dépannage à domicile à l’époque de son arrestation, a demandé à inspecter le code source du logiciel afin de pouvoir contester la précision de ses résultats. Il cherchait à déterminer si le code implémente correctement les procédures scientifiques établies pour l’analyse ADN et s’il fonctionne comme son fabriquant le prétend. Mais ce dernier a affirmé que l’avocat de la défense pourrait voler ou dupliquer le code et causer des pertes financières à l’entreprise. Le tribunal a rejeté la requête de Chubbs, lui autorisant l’examen du rapport de l’expert de l’état, mais pas l’outil qu’il a utilisé. Des tribunaux de Pennsylvanie, Caroline du Nord, Floride et d’autres ont rendu des décisions similaires.

Nous devons faire confiance aux nouvelles technologies pour nous aider à trouver et condamner les criminels, mais aussi pour disculper les innocents. Les logiciels propriétaires interfèrent avec cette confiance dans de plus en plus d’outils d’investigation, des tests ADN aux logiciels de reconnaissance faciale et aux algorithmes qui indiquent à la police où chercher les futurs crimes. Inspecter les logiciels n’est cependant pas seulement bon pour les accusés : divulguer le code à des experts de la défense a permis à la Cour suprême du New Jersey de confirmer la fiabilité scientifique d’un éthylotest.

Non seulement il est injuste de court-circuiter la possibilité pour la défense de contre-expertiser les preuves médico-légales, mais cela ouvre la voie à de mauvaises pratiques scientifiques. Les experts décrivent la contre-expertise comme « le meilleur instrument légal jamais inventé pour la recherche de la vérité ». Mais des révélations récentes ont révélé une épidémie de mauvaises pratiques scientifiques qui sapent la justice criminelle. Des études ont contesté la validité scientifique des recherche de similitudes sur les marques de morsure, les cheveux et les fibres, des diagnostics du syndrome du bébé secoué, de techniques balistiques, des séances d’identifications olfactives par des chiens, des preuves issues de l’interprétation de taches de sang, et des correspondances d’empreintes digitales. Le Massachusetts se démène pour gérer les retombées des falsifications de résultats par un technicien d’un laboratoire criminel qui a contaminé les preuves de dizaines de milliers d’affaires criminelles. Et le Projet Innocence rapporte que de mauvaises analyses légales ont contribué à l’incrimination injustifiée de 47% des prévenus. L’Académie Nationale des Sciences (National Academy of Sciences) accuse entre autres le manque de processus d’évaluation par les pairs dans les disciplines liées à l’analyse légale d’être responsable de cette crise.

Les logiciels ne sont pas non plus infaillibles. On a découvert des erreurs de programmation qui changent les ratios de probabilité des tests ADN d’un facteur 10, amenant des procureurs australiens à remplacer 24 avis d’experts dans des affaires criminelles. Quand les experts de la défense ont identifié une erreur dans le logiciel de l’éthylotest, la Cour suprême du Minnesota a invalidé le test en tant que preuve pour tous les futurs jugements. Trois des plus hautes cours de l’état (américain, NdT) ont encouragé à accepter davantage de preuves de failles dans des programmes, de manière à ce que les accusés puissent mettre en cause la crédibilité de futurs tests.

La contre-expertise peut aider à protéger contre les erreurs – et même les fraudes – dans la science et la technique de l’analyse légale. Mais pour que cet appareil judiciaire puisse fonctionner, l’accusé doit connaître les fondements des accusations de l’état. En effet, lorsque le juge fédéral de Manhattan, Jed S. Rakoff, a démissionné en signe de protestation contre la commission sur les sciences légales du président Obama, il a prévenu que si l’accusé n’a pas accès à toutes les informations pour effectuer une contre-expertise, alors le témoignage d’un expert judiciaire n’est « rien d’autre qu’un procès par embuscade » (c.-à-d. sans accès préalable aux éléments  de preuve, NdT).

La mise en garde de Rakoff est particulièrement pertinente pour les logiciels des outils d’analyse légale. Puisque éliminer les erreurs d’un code est très difficile, les experts ont adopté l’ouverture à l’analyse publique comme le moyen le plus sûr de garder un logiciel sécurisé. De manière identique, demander au gouvernement d’utiliser exclusivement des outils d’analyse légale ouverts permettrait leur contre-expertise participative. Les fabricants d’outils d’analyse légale, qui vendent exclusivement aux laboratoires d’expertise criminelle du gouvernement, peuvent manquer de motivations pour conduire les tests de qualité minutieux requis.

Pour en être certains, les régulateurs du gouvernement conduisent actuellement des tests de validation pour au moins quelques outils d’analyse légale numériques. Mais même les régulateurs peuvent être incapables d’auditer le code des appareils qu’ils testent, se contentant à la place d’évaluer comment ces technologies se comportent dans un environnement contrôlé en laboratoire. De tels tests « en boite noire » n’ont pas été suffisants à l’Agence de Protection de l’Environnement (Environmental Protection Agency) pour repérer la fraude de Volkswagen et ce ne sera pas non plus assez pour garantir la qualité des technologies numériques d’analyse légale.

La Cour suprême a depuis longtemps reconnu que rendre les procès transparents aide à s’assurer de la confiance du public dans leur équité et leur légitimité. Le secret de ce qu’il y a sous le capot des appareils d’informatique légale jette un doute sur ce processus. Les accusés qui risquent l’incarcération ou la peine de mort devraient avoir le droit d’inspecter les codes secrets des appareils utilisés pour les condamner.




Allumons les réverbères du Libre

Dans son communiqué de presse du 07 avril 2016, la Commission des lois du Sénat français déclare approuver le projet de loi pour une République Numérique porté par la secrétaire d’État au numérique Axelle Lemaire. Néanmoins, le Sénat a tenu à renommer ce projet de loi :

La commission a adopté le projet de loi en le modifiant : sans constituer la révolution que suggérait son premier intitulé, il contient un certain nombre de dispositions utiles pour assurer une meilleure régulation de la société numérique et améliorer la protection des droits des individus. C’est pourquoi la commission a modifié le titre du projet de loi, désormais intitulé : « projet de loi pour une société numérique ».

L’argument est limpide : nul ne saurait transformer les prérogatives de la puissance publique en place. C’est à la société de se transformer (se numériser) et c’est à la République (et ses institutions) qu’il revient de réguler les usages numériques. Tel est l’ordre des choses, et il est fort compréhensible que la Commission des lois ne laisse pas passer un texte qui transformerait une République dont elle est garante de l’intégrité.

Pourtant, cette rigidité est-elle bien conforme à l’air du temps ? Cette société numérique n’est-elle pas justement en train de montrer que ces usages sont précisément ceux d’une démocratie en train de se faire, mobilisant les attentions et renouvelant les pratiques politiques y compris debout à la place de la République. Peut-être est-ce justement à cause de cela et de ce qu’il cristallise comme besoin de transparence, de démocratie et de coopération, que le logiciel libre peine tant à être compris et assimilé par les institutions.

Ce texte de Véronique Bonnet, administratrice de l’April, synthétise ces questionnements. Un peu d’espoir peut-être en usant nous-mêmes, de plus en plus, du logiciel libre pour s’émanciper enfin ?

Sympathy for the Free Software

Par Véronique Bonnet, administratrice de l’April

Indésirable, le logiciel libre (free software) ? Un amendement de la commission des lois du Sénat vient de faire disparaître, pour l’instant, avant l’examen en séance prévu fin avril, l’encouragement au logiciel libre. Certes, il s’agissait bien d’un amendement de repli, non juridiquement contraignant, que l’Assemblée avait voté comme pis-aller, vu les tirs de barrage contre la priorisation. Le simple encouragement est-il déjà tabou ? Caillou dans la chaussure ? Loup dans la bergerie ? Disons ici notre sympathie irréductible, notre attachement citoyen au logiciel libre, n’en déplaise aux frilosités qui se drapent dans des habits bien improbables.

Du diable, on dit qu’il est dans les détails.

Un détail, justement. Le projet de loi numérique a changé de nom, la semaine dernière, en cours de route. Initialement, il s’appelait « Projet de loi pour une république numérique ». Le Conseil d’État, en décembre dernier, s’était étonné du décalage entre un tel intitulé et le contenu du projet de loi.

Dans le second volet d’un article publié le 15 avril par la revue EpiNet, intitulé « Bienheureuse panne d’imprimante, encore », j’ai essayé de montrer que si on prenait au sérieux la notion de république, alors on ne pouvait pas faire l’économie d’une priorisation de l’informatique libre dans le domaine public, « dans la tâche de protéger des regards ce qui doit l’être, et celle de rendre visible et accessible ce qui doit l’être, dans une république. »

J’avais dans mon argumentaire fait état de deux axes, esquissés, mais non assumés par le texte soumis à l’examen des parlementaires. Un premier axe qui disait vouloir découvrir et laisser à découvert ce qui devait l’être, dans une république, soit les traitements algorithmiques des paramètres qui débouchent sur des décisions et influent sur les existences. Un second axe qui disait vouloir couvrir et garder couvert ce qui devait le rester dans une république, soit le contrôle des données personnelles.

La semaine dernière, le gouvernement a remplacé le terme de « république », peut être trop contraignant, par le terme de « société ». Société numérique en lieu et place de la république numérique ? En rabattre sur les exigences de fraternité, d’égalité et de liberté vers une loi a minima peu conforme aux exigences de la république, mais bien suffisante pour la société. On ne peut s’empêcher de faire le lien avec la très thatcherienne et libérale exclamation : « such a thing as society! », dans un contexte où il était demandé à cette responsable britannique de prendre au sérieux le traitement social de la pauvreté.

Remplacer « république » par « société », est-ce donner congé à bon compte à la juste revendication d’une interopérabilité, d’une auditabilité, soit, en un mot, de choix numériques qui garantissent une dimension publique vraiment publique et une dimension privée vraiment privée, purement et simplement ? La république oblige. La société, tout autant.

À ce moment de croisée des chemins pour le Libre, puisque c’est maintenant l’ensemble des Sénateurs qui doit examiner le projet de loi, esquissons en quelques traits de quelle liberté heureuse ce combat pour la priorité au logiciel libre est fait.

En tant que libristes, nous sommes, en quelque sorte, des allumeurs de réverbères. Une variante des lanceurs d’alerte. Un peu ce que les lucioles sont aux colibris. Nous essayons de sensibiliser sur le non auditable, le non interopérable, l’obscurantisme des verrous logiciels, des chausse-trappes, des rentes de situation. Allumeur de réverbère, c’est un beau métier.

 

allumeur de réverbère dessin de saint exupéry pour le Petit Prince
Copyright © 2016 Le Petit Prince – Eh non, l’ouvrage n’est toujours pas dans le domaine public en France.

 

Celui du Petit Prince, dans l’accélération folle de la succession des jours et des nuits, réduits chacun à une minute, suivait néanmoins la consigne : éclairer quand il le fallait, éteindre quand il le fallait. Saint-Exupéry suggère de celui-là qu’il est un peu lampiste. La consigne lui a été donnée quand le jour durait un jour, et la nuit une nuit. Mais lampiste encore au sens d’autrefois : celui qui veille à l’allumage des lampes.

Ma main au feu que la régie lumière du projet de loi « pour une république numérique », puis « pour une société numérique » soit plus proche du Prince de Machiavel, régulateur et opératoire, que de la philosophie des Lumières, émancipatrice. Le pire est de faire croire que le logiciel libre peut porter atteinte aux appels d’offre, un vilain petit canard juridique, monstre mal bâti. Démon ? Seulement au sens du démon de Socrate, cette voix intérieure qui est médiation entre les situations et les concepts. Free Software, doux démon. Loin des tentations de la Pomme et autres gaffes à âmes.

reguler-internet

Faut-il, pourtant, se résoudre, abjurer ? « Eppure, si muove », aurait dit, ou en tous cas pensé, Galilée. Que l’on traduit d’ordinaire par « et pourtant, elle tourne ». Il parlait de la Terre, dans la perspective de l’héliocentrisme honni par les potentats d’alors. Aller contre l’évidence de la logique des êtres parlants d’étudier, utiliser, améliorer, redistribuer, en sécurisant leurs échanges et en ayant une visibilité sur ce qu’il veulent partager ou garder pour eux ?

Ceux qui prennent les libristes pour de joyeux lampistes — pas au sens d’autrefois —, et les vessies pour les lanternes, et les enfants du bon dieu pour des canards sauvages, feraient bien de s’aviser que le bon sens finit toujours par prévaloir sur les mauvais prétextes.

Il y a quelque chose comme une raison dans l’histoire. Si ce n’est pas sous cette législature, tôt ou tard, le free software finira par s’imposer. Mais ce serait mieux maintenant.

Devil-Girl-300px
Devil girl by GDJ,  Public Domain

Pour ma part, c’est tout vu. Je roule en GNU/Linux. Je m’habille en Debian. Je n’ai pas encore de RoLeX pour réussir ma vie, mais je suis, j’eXisTe en LaTeX. Je priorise avec l’April. Je dégooglise avec Framasoft. Je neutralise avec LQDN. J’ai jeté aux orties mes menottes numériques. Contre les portes dérobées, je mets en garde les autres, avec d’autres. Et à toi, Free Software, je dis ma sympathie, que diable !

 




Sécurité de nos données : sur qui compter ?

Un des meilleurs experts indépendants en sécurité informatique résume ici parfaitement ce qui selon lui constitue un véritable problème : notre dépendance aux commodités que nous offrent les entreprises hégémoniques de l’Internet. Nous bradons bien facilement nos données personnelles en échange d’un confort d’utilisation dont on ne peut nier sans hypocrisie qu’il nous rend la vie quotidienne plus facile.

Dès lors que nous ne pouvons renoncer aux facilités que nous procurent Google, Facebook et tous les autres, pouvons-nous espérer que les technologies de sécurité nous épargnent un pillage de nos données personnelles ? Rien n’est moins sûr, selon Bruce Schneier, qui en appelle plutôt à la loi qu’à la technique.

 

Goofy.

 

Traduction Framalang : Simon, Docendo, KoS, goofy, audionuma, seb, panini, lamessen, Obny, r0u

Article original : Everyone Wants You To Have Security, But Not from Them

Ils veulent tous notre sécurité, mais pas grâce à d’autres

Bruce Schneier, exepert en sécurité informatiquepar Bruce Schneier

En décembre dernier, le PDG de Google Eric Schmidt a été interviewé lors d’une conférence sur la surveillance de l’Institut CATO. Voici une des choses qu’il a dites, après avoir parlé de certaines des mesures de sécurité que son entreprise a mises en place après les révélations de Snowden : « si vous avez des informations importantes, l’endroit le plus sûr pour les garder, c’est chez Google. Et je peux vous assurer que l’endroit le plus sûr pour ne pas les conserver en sécurité, c’est partout ailleurs ».

J’ai été surpris, parce que Google collecte toutes vos informations pour vous présenter la publicité la plus ciblée possible. La surveillance est le modèle économique d’Internet, et Google est l’une des entreprises les plus performantes en la matière. Prétendre que Google protège vos données mieux que quiconque, c’est méconnaître profondément ce pourquoi Google conserve vos données gratuitement.

Je m’en suis souvenu la semaine dernière lorsque je participais à l’émission de Glenn Back avec le pionnier de la cryptographie Whitfield Diffie. Diffie a déclaré :


Vous ne pouvez pas avoir de vie privée sans sécurité, et je pense que nous avons des défaillances flagrantes en sécurité informatique, pour des problèmes sur lesquels nous travaillons depuis 40 ans. Vous ne devriez pas vivre avec la peur d’ouvrir une pièce jointe dans un message. Elle devrait être confinée ; votre ordinateur devrait être en mesure de la traiter. Et si nous avons continué depuis des dizaines d’années sans résoudre ces problèmes, c’est en partie parce que c’est très difficile, mais aussi parce que beaucoup de gens veulent que vous soyez protégés contre tout le monde… sauf eux-mêmes. Et cela inclut tous les principaux fabricants d’ordinateurs qui, grosso modo, veulent contrôler votre ordinateur pour vous. Le problème, c’est que je ne suis pas sûr qu’il existe une alternative viable.

Cela résume parfaitement Google. Eric Schmidt veut que vos données soient sécurisées. Il veut que Google soit le lieu le plus sûr pour vos données tant que vous ne vous préoccupez pas du fait que Google accède à vos données. Facebook veut la même chose : protéger vos données de tout le monde sauf de Facebook. Les fabricants de matériels ne sont pas différents. La semaine dernière, on a appris que Lenovo avait vendu des ordinateurs avec un logiciel publicitaire préinstallé, appelé Superfish, qui casse la sécurité des utilisateurs pour les espionner à des fins publicitaires.

C’est la même chose pour les gouvernements. Le FBI veut que les gens utilisent un chiffrement fort, mais veut des portes dérobées pour pouvoir accéder à vos données. Le Premier ministre britannique David Cameron veut que vous ayez une sécurité efficace, tant qu’elle n’est pas trop forte pour vous protéger de son gouvernement. Et bien sûr, la NSA dépense beaucoup d’argent pour s’assurer qu’il n’y a pas de sécurité qu’elle ne puisse casser.

Les grandes entreprises veulent avoir accès à vos données pour leurs profits ; les gouvernements les veulent pour des raisons de sécurité, que ces raisons soient bonnes ou moins bonnes. Mais Diffie a soulevé un point encore plus important : nous laissons beaucoup d’entreprises accéder à nos informations parce que cela nous facilite la vie.

J’ai abordé ce point dans mon dernier livre, Data and Goliath :


Le confort est l’autre raison pour laquelle nous cédons volontairement des données hautement personnelles à des intérêts privés, en acceptant de devenir l’objet de leur surveillance. Comme je ne cesse de le dire, les services basés sur la surveillance sont utiles et précieux. Nous aimons pouvoir accéder à notre carnet d’adresses, notre agenda, nos photos, nos documents et tout le reste sur n’importe quel appareil que nous avons à portée de la main. Nous aimons des services comme Siri et Google Now, qui fonctionnent d’autant mieux quand ils savent des tonnes de choses sur nous. Les applications de réseaux sociaux facilitent les sorties entre amis. Les applications mobiles comme Google Maps, Yelp, Weather et Uber marchent bien mieux et plus rapidement lorsqu’elles connaissent notre localisation. Permettre à des applications comme Pocket ou Instapaper de connaître nos lectures semble un prix modique à payer pour obtenir tout ce que l’on veut lire à l’endroit qui nous convient. Nous aimons même quand la publicité cible précisément ce qui nous intéresse. Les bénéfices de la surveillance dans ces applications, et d’autres, sont réels et non négligeables.

trap

Comme Diffie, je doute qu’il existe une alternative viable. Si Internet est un exemple de marché de masse à l’échelle de la planète, c’est parce que toute l’infrastructure technique en est invisible. Quelqu’un d’autre s’en occupe pour vous. On veut une sécurité forte, mais on veut aussi que les entreprises aient accès à nos ordinateurs, appareils intelligents et données. On veut que quelqu’un d’autre gère nos ordinateurs et smartphones, organise nos courriels et photos, et nous aide à déplacer nos données entre nos divers appareils.
Tous ces « quelqu’un d’autre » vont nécessairement avoir la capacité de violer notre vie privée, soit en jetant carrément un coup d’œil à nos données soit en affaiblissant leur sécurité de façon à ce qu’elles soient accessibles aux agences nationales de renseignements, aux cybercriminels, voire les deux. La semaine dernière, on apprenait que la NSA s’était introduite dans l’infrastructure de la société néerlandaise Gemalto pour voler les clés de chiffrement de milliards, oui, des milliards de téléphones portables à travers le monde. Cela a été possible parce que nous, consommateurs, ne voulons pas faire l’effort de générer ces clés et configurer notre propre sécurité lorsque nous allumons pour la première fois nos téléphones ; nous voulons que ce soit fait automatiquement par les fabricants. Nous voulons que nos données soient sécurisées, mais nous voulons que quelqu’un puisse les récupérer intégralement lorsque nous oublions notre mot de passe.

Nous ne résoudrons jamais ces problèmes de sécurité tant que nous serons notre pire ennemi. C’est pourquoi je crois que toute solution de sécurité à long terme ne sera pas seulement technologique, mais aussi politique. Nous avons besoin de lois pour protéger notre vie privée de ceux qui respectent les lois, et pour punir ceux qui les transgressent. Nous avons besoin de lois qui exigent de ceux à qui nous confions nos données qu’ils protègent nos données. Certes, nous avons besoin de meilleures technologies de sécurité, mais nous avons également besoin de lois qui imposent l’usage de ces technologies.

Crédit photo : Nicubunu (CC BY-SA 2.0)




Geektionnerd : Article 13 de la LPM

Geektionnerd - Simon Gee Giraudot - CC by-sa

Geektionnerd - Simon Gee Giraudot - CC by-sa

Source :

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)




Le juriste et le logiciel libre (Libres conseils 41/42)

Traduction : Framalang d’après une première traduction effectuée par Liu qihao (aka Eastwind) qui remercie François van der Mensbrugghe, Catherine Philippe et Ciarán O’Riordan.

Quelques considérations sur le rôle du juriste dans le domaine du logiciel libre et open source

Till Jaeger

Le docteur Till Jaeger est collaborateur du cabinet d’avocats JBB Rechtsanwaelte depuis 2001. Avocat diplômé et spécialisé dans le domaine du droit d’auteur et du droit des médias, il conseille autant les grandes et moyennes entreprises du secteur des technologies de l’information que les institutions gouvernementales et les développeurs de logiciels sur des sujets impliquant contrats, licences et usage en ligne. Son travail est orienté vers les contentieux relatifs aux logiciels libres et open source. Il est co-fondateur de l’institut pour l’étude juridique du logiciel libre et open source (ifrOSS). En outre, il aide développeurs et éditeurs de logiciels dans le processus de mise en compatibilité et en conformité de leurs licences libres. Till a représenté le projet gpl-violations.org dans plusieurs procès (NdT : devant les juridictions allemandes) dont l’objet portait sur le respect de la GPL. Il a également publié divers articles et livres à propos de questions juridiques sur les logiciels libres et open source. Il a été membre du comité C lors de l’élaboration de la GPLv3.

Pour commencer, clarifions une chose : je ne suis pas un geek. Je ne l’ai jamais été, et je n’ai aucune intention de le devenir. En revanche, je suis juriste. La plupart des lecteurs de ce livre auront probablement tendance à éprouver une plus grande sympathie à l’égard des geeks qu’envers les juristes. Cependant, je ne souhaite pas éluder ce fait : la communauté du logiciel libre et open source n’est pas nécessairement passionnée par les juristes, elle est trop occupée à développer du code. Cela, je le savais déjà au début de l’année 1999, lorsque nos chemins se sont croisés pour la première fois. Néanmoins, d’autres éléments m’étaient, à ce moment-là, encore inconnus. En 1999, tandis que je terminais ma thèse de doctorat portant sur le droit d’auteur classique, j’évaluais l’étendue des droits moraux. Dans ce contexte, j’ai passé un certain temps à réfléchir à la question suivante : comment les droits moraux des développeurs sont-ils protégés par la licence GPL, étant donné que celle-ci confère aux utilisateurs un droit de modification sur leurs logiciels ? C’est ainsi que je suis entré pour la première fois en contact avec le logiciel libre et open source.

À cette époque, les qualificatifs « libre » et « ouvert » avaient évidemment des significations différentes. Mais dans le monde dans lequel je vivais, cette distinction ne méritait pas d’être débattue. Cependant, vu que j’étais libre d’étudier ce qui m’intéressait et ouvert à l’exploration de nouvelles questions sur le droit d’auteur, j’ai rapidement découvert que les deux termes ont quelque chose en commun : bien qu’ils soient effectivement différents, ils sont bien mieux utilisés lorsqu’ils sont ensemble…

Voici trois choses que j’aurais souhaité savoir à l’époque :

Tout d’abord, que mes connaissances techniques, en particulier dans le domaine du logiciel, étaient insuffisantes. Ensuite, que je ne comprenais pas véritablement la communauté et que j’ignorais ce qui importait aux yeux de ses membres. Et cerise sur le gâteau, que je ne connaissais pas grand-chose aux juridictions étrangères, à l’époque. Ces notions m’auraient été précieuses si j’avais pu les aborder dès le départ.

Depuis, j’ai appris suffisamment et, à l’instar de la communauté qui se réjouit de partager ses réalisations, je suis heureux de partager mes leçons (1).

Connaissances techniques

Comment est formée une architecture logicielle ? À quoi ressemble la structure technique d’un logiciel ? Quelles sont les licences compatibles ou incompatibles entre elles ? Comment et pourquoi ? Quelle est la structure du noyau Linux ? Pour citer un exemple, la question essentielle des éléments constitutifs d’une « œuvre dérivée » selon la GPL détermine la manière dont le logiciel pourra être licencié. Tout élément rentrant dans le champ d’une œuvre dérivée d’un logiciel originaire sous licence GPL doit être redistribué selon les termes de cette dernière. Pour évaluer si un programme constitue une « œuvre dérivée » ou pas, il est nécessaire d’avoir au préalable une compréhension technique approfondie. Ainsi, l’interaction des modules de programmes, des liaisons, des IPC (Communications inter-processus), des greffons, des infrastructures technologiques, des fichiers d’en-tête, etc. détermine au niveau formel (parmi d’autres critères) le degré de connexité d’un logiciel par rapport à un autre, ce qui aide à le qualifier ou non d’œuvre dérivée.

Connaissance de l’industrie et de la communauté

Au-delà de ces questions fonctionnelles, l’étendue de mes connaissances des principes régissant le libre était limitée, tant au regard de la motivation des développeurs que des entreprises utilisant du logiciel libre. En outre, je ne connaissais pas son arrière-plan philosophique, et n’étais pas plus familier avec les modalités pratiques d’interactions sociologiques de la communauté. Ainsi, les questions : « Qui est mainteneur ? » ou « Quel est le fonctionnement d’un système de contrôle de version ? » ne trouvaient pas d’écho à mes oreilles. Or, pour servir du mieux possible vos clients, ces questions sont toutes aussi importantes que la maitrise des aspects d’ordre purement technique. Par exemple, nos clients nous demandent de nous occuper du côté juridique des modèles économiques construits sur une double licence de type « open core ». Ceci inclut la gestion des contrats de supports, de services, de développements ainsi que les conventions applicables aux codes sources venant des contributions. Ce faisant, nous guidons entreprises et institutions dans la grande réserve du logiciel libre lors de la mise en place de ces modèles.

D’autre part, nous conseillons aussi les développeurs sur la manière de régler les litiges nés des violations de leur droit d’auteur, notamment via l’élaboration et la négociation de contrats en leur nom et pour leur compte. Ceci étant, pour répondre à tous ces besoins de manière complète, il est fondamental de s’être familiarisé avec cette multiplicité de points de vue.

Connaissances en droit comparé

La troisième chose dont un juriste libriste a besoin, c’est de connaissances à propos des juridictions étrangères, au moins quelques-unes et, plus il en acquiert, mieux il se porte. Pour pouvoir interpréter les différentes licences correctement, il est essentiel de comprendre l’état d’esprit dans lequel s’inscrivaient les personnes qui les ont écrites.

Dans la plupart des cas, le système juridique américain est d’une importance capitale. Par exemple, lors de l’élaboration de la GPL, celle-ci a été écrite avec, à l’esprit, des notions issues de la common law étasunienne. Aux États-Unis le terme « distribution » inclut la distribution en ligne. Or, le système de droit d’auteur allemand établit un distinguo entre la distribution en ligne et hors-ligne. Dès lors,  les licences qui ont été rédigées par des juristes de la common law étasunienne peuvent être interprétées comme incluant la
distribution en ligne. Au cours d’un procès, cet argument peut devenir particulièrement pertinent (2).

Un apprentissage permanent

Au final, toutes ces connaissances sont d’une grande utilité. Aussi, j’espère qu’à l’image du processus d’évolution d’un logiciel, qui apporte son lot de solutions aux besoins de tous les jours, mon esprit continuera à répondre aux défis que la vibrante communauté du logiciel libre et open source pose constamment à l’attention d’un juriste.

(1) L‘Institut für Rechtsfragen der Freien und Open Source Software (institut des questions de droit sur les logiciels libres et open source) propose, entre autres, une collection d’ouvrages et de jurisprudences en lien avec les logiciels libres et open source ; pour plus de détails, voir sur le site http://www.ifross.org/.

(2) Voir : http://www.ifross.org/Fremdartikel/LGMuenchenUrteil.pdf, Cf. Welte v.Skype, 2007