Sylvain Steer est juriste spécialisé dans le numérique et membre de la Quadrature du net, une association de défense des libertés dans l’environnement numérique. Dans le cadre de son travail avec le CECIL (Centre d’études sur la citoyenneté l’information et les libertés), il a co-rédigé le Guide de survie des aventuriers d’internet. Il décrypte pour Impact(s) les enjeux sociétaux, juridiques et politiques que pose le numérique aujourd’hui.
Quels sont les différents modèles de menace sur internet ?
Ils sont infinis et dépendent de chaque situation. Une personne peut vouloir protéger certaines informations de certaines personnes. À partir de cette situation, il va y avoir des modèles de menace différents qui vont varier selon les motivations de chacun. Que l’on soit un activiste d’une ONG, un employé qui manipule des donnés sensibles ou un « Gilet jaune » qui discute sur Facebook, nous sommes exposés à des menaces diverses contre lesquelles il faut adopter des comportements divers.
La cybercriminalité est la première à laquelle nous pensons. Je pense notamment aux pratiques de fishing (hameçonnage : un procédé d’usurpation d’identité dans le but de récupérer des données personnes telles que des identifiants, coordonnées bancaires ou documents personnels, ndlr), ou encore aux randsomwares (logiciels malveillants qui prennent en otage des données personnelles, en échange d’une rançon, ndlr).
Il y a ensuite des problématiques plus sociétales et politiques. Prenons comme exemple Google, qui nous connait si bien. Cette firme a un impact énorme sur la société. 86 % de son chiffre d’affaires provient de l’activité publicitaire. Les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) ont une telle influence sur la société qu’ils empiètent de plus en plus sur des prérogatives de la puissance publique. Nous l’avons vu avec les protocoles de tracking pour lutter contre la pandémie de Covid-19. Enfin, ils ont également une influence très forte sur notre liberté d’expression, en régulant les contenus et opinions qu’ils considèrent valides ou non. Ils s’octroient finalement le rôle d’un juge censeur. La question est donc : accepte-t-on que des firmes étrangères aient autant de pouvoir sur nos vies ?
Lorsque l’on parle de vie privée sur internet, le sujet de l’anonymat revient fréquemment. Est-ce pertinent selon vous ?
L’anonymat, c’est l’impossibilité de faire un lien entre une action et l’identité de la personne qui a commise cette action. En réalité, on n’est pas plus anonyme sur internet que dans la vie réelle. Ce que l’on voit, sur les réseaux sociaux par exemple, c’est le pseudonymat. Un internaute avec un pseudonyme n’est pas anonyme. Les intermédiaires techniques tels que les fournisseurs d’accès ou les hébergeurs ont pour obligation de conserver les données de connexions de leurs clients. C’est-à-dire qu’ils savent que telle adresse IP (numéro d’identification de tout appareil connecté à internet, ndlr) s’est connecté à tel site, à telle heure, ce qu’elle y a fait, etc. Ces obligations limitent très fortement les possibilités d’anonymat en ligne. Vouloir être totalement anonyme sur internet revient à effacer toute trace qui permettrait de retrouver notre identité. Ce qui n’est pas à la porté de tous. Finalement, l’État a les capacités techniques de surveiller ce que l’on fait sur internet. La question est donc qu’est-ce que ce dernier a le droit de faire ? Le problème n’est pas tant que l’on ne soit pas anonyme, mais que l’État ait des pouvoirs démesurés de retrouver tout ce que tout le monde dit et fait à tout moment. C’est un équilibre délicat à trouver.
La sécurité en ligne est-elle réservée aux initiés ?
Tout d’abord, il faut bien comprendre que la sécurité n’est pas un produit mais un processus. C’est-à-dire qu’il y a différents degrés de sécurité. De plus, nous pouvons être en sécurité contre certaines menaces et non contre d’autres. Prenons pour exemple le navigateur Tor, un réseau de communication permettant de séparer l’identité d’une personne de son activité sur internet. Un opérateur réseau par exemple sait qui de ses utilisateurs navigue sur le réseau Tor. Mais il ne peut pas savoir ce qu’ils y font. Ce n’est pas le cas en France, mais dans certains pays, le simple fait d’utiliser ce réseau alerte directement les services de renseignement et peut causer des problèmes. Cela illustre qu’un très bon outil peut être inadapté dans certaines circonstances.
Il faut aussi voir que la sécurité s’est améliorée par certains aspects. Prenons en exemple le protocole de communication chiffrée « https », symbolisé par le petit cadenas vert sur notre navigateur. Ce protocole permet d’empêcher que quelqu’un qui soit sur le réseau entre nous et le site (une personne connectée au wifi ou notre fournisseur, ndlr), ait accès aux données communiquées. Il est aujourd’hui utilisé quotidiennement par tout le monde, sans que l’on ne s’en rende forcément compte. Dès que l’on discute avec sa banque ou que l’on envoie un mail, on utilise le protocole https. Ensuite, beaucoup de choses sont finalement assez banales et faciles à mettre en œuvre. Je pense aux mots de passe, qui est l’un des problèmes majeurs. De ce côté, les choses se sont améliorées. Les gestionnaires de mot de passe et la double authentification se répandent et le public commence, il me semble, à être bien sensibilisé. La question des mots de passe touche tout le monde et c’est vraiment une nécessité absolue.
Faut-il faire le compromis du confort d’utilisation pour naviguer sûrement et sainement sur internet ?
C’est en effet une idée reçue assez répandue, qui a son fond de vérité. Oui, si l’on veut naviguer de façon plus sûre et plus libre il va parfois falloir sacrifier certaines choses. Si par exemple on veut éviter que Google connaisse notre voix, on se prive de certains outils. Ces concessions à faire à l’échelle individuelle vont peut-être limiter notre confort. Mais à l’échelle collective, elles vont limiter l’emprise de l’État et des GAFAM sur nos vies. Ce sont des pertes de confort qui, à mon sens, se justifient par un nécessaire équilibre sociétal.
Par ailleurs, il faut aussi tempérer cette idée. Car la perte de confort n’est pas systématique. Prenons l’exemple des navigateurs : Firefox et Chrome marchent tous les deux très bien. Or, contrairement au second, Firefox est un logiciel libre avec des volontés de protection de la vie privée. Par ailleurs, il est vrai que si l’on a été habitué à Windows ou Apple, cela peut être un changement compliqué. Mais utiliser une distribution sous Linux n’altère pas nécessairement notre confort d’utilisation.
Comment savoir à quels outils nous pouvons faire confiance ?
C’est en effet la question centrale. Dès lors que nous allons sur internet, nous utilisons un ordinateur, un navigateur et toutes sortes d’outils. Or, Microsoft ou Apple n’a pas forcément les mêmes intérêts que nous. Lorsque l’on accède à des services en ligne, nous devons pouvoir leur faire confiance.
Le premier élément à regarder, c’est le modèle économique. Lorsque l’on ne paie pas ces services, nous n’en sommes pas les clients. Cela peut être le cas lorsque le service est offert dans une logique associative avec une volonté éthique. Mais cela peut aussi être le cas d’un service commercial qui se rémunère différemment, la plupart du temps en vendant nos données à des annonceurs. D’où la fameuse formule : « si c’est gratuit, c’est vous le produit ».
Le deuxième point concerne la question de la transparence des logiciels. Il arrive souvent que l’on ne puisse pas du tout savoir comment fonctionne un service en ligne. C’est ce que l’on appelle un logiciel non libre ou propriétaire. Lorsque l’on utilise un logiciel Microsoft par exemple, on ne sait pas véritablement tout ce qu’il peut faire. Et c’est Microsoft qui en a le contrôle. L’intérêt du logiciel libre est que tout le monde peut l’inspecter. Bien évidemment, l’informatique a rendu le monde complexe et vérifier le code source d’un logiciel libre n’est pas de la compétence de tout le monde. Il faut donc pouvoir déléguer une nouvelle fois sa confiance à des personnes tierces, qui pourront valider le code. C’est donc l’intérêt qu’il soit ouvert, afin que le maximum de personnes puissent le vérifier.
Ensuite, il y a des choses contre lesquelles il est très difficile d’agir à l’échelle individuelle. Par exemple, sortir des services et appareils Google/Android ou Apple est difficilement envisageable pour le grand public. Ce problème est d’ordre collectif. Trouver des alternatives prend du temps et ça n’est pas forcément accessible à tout le monde. Il y a eu de sérieuses améliorations pour la question des mots de passe ou le protocole https. Ce sont des bonnes choses faites collectivement et qui retirent du poids de sécurisation pour l’utilisateur. Mais il y a encore du travail.
Qu’en est-il des moteurs de recherche ?
Il n’y a pas vraiment de bonne solution concernant les moteurs de recherche. À mon sens, aucun ne garantit d’être éthique et viable sur le long terme. À l’heure actuelle, il y a quatre principaux moteurs de recherche : Google, Bing – le moteur de recherche Microsoft, qui est d’ailleurs associé avec Yahoo autour d’un système publicitaire conjoint -, Yandex et Baidu, les principaux moteurs de recherche russe et chinois.
Autour gravitent beaucoup d’autres propositions plus ou moins convaincantes. On a beaucoup parlé du projet français Qwant, qui en réalité ne présente pas les garanties nécessaires. Le moteur Écosia, qui plante des arbres grâce aux recettes publicitaires, est juste une vitrine pour Bing, le moteur de recherche de Microsoft. C’est-à-dire qu’il ramène des clients à Microsoft en prenant des revenus servant à rémunérer les salariés d’Écosia et à planter des arbres. Leur projet est tout à fait louable, mais fondamentalement, Écosia n’est pas un moteur de recherche car ils n’ont pas de serveurs qui indexent internet. Duck Duck Go est selon moi la meilleure garantie. Il s’appuie sur les résultats de Bing, Yahoo ou Yandex ainsi que des moteurs de recherche internes à des sites comme Wikipédia par exemple. Et ensuite, il mélange et organise lui-même ses résultats.
Mais en réalité, la plupart de ces moteurs de recherche dits « alternatifs » sont complètement dépendants de Bing, Google et consort. Ces derniers les laissent vivre car il y a besoin de donner l’impression d’un marché concurrentiel. Ils les tolèrent car ils savent que ces petits acteurs ne leur font pas trop d’ombre.
La seule solution vraiment idéale est finalement de limiter l’usage des moteurs de recherche. On peut notamment sauvegarder des pages ou ré-instaurer les idées des annuaires. Je pense notamment au projet YaCy. L’idée était que chacun stocke une petite partie d’internet sur son ordinateur. Avec un système horizontal de pair à pair, tout le monde partage ses résultats les uns avec les autres. Dans ce système, nous ne serions donc pas dépendant d’un service centralisé. C’était l’idée de revenir un peu aux idéaux d’internet. Mais malheureusement, le projet ne semble pas avoir pris.
Les politiques font-ils leur part ?
En 2016, l’Union Européenne a adopté un texte plutôt positif sur la question des données personnelles. Le fameux RGPD (Règlement général sur la protection des données) était plutôt une bonne surprise car les négociations étaient mal parties. Le RGPD dispose que la seule méthode possible pour la collecte de données à des fins publicitaires, c’est le consentement. Le RGPD ajoute que ce consentement doit être collecté valablement. C’est-à-dire qu’il doit être libre, éclairé, spécifique et univoque. Les interprétations sont d’ailleurs assez fermes sur ces caractéristiques. Par exemple, un consentement n’est pas considéré comme libre s’il faut un clic pour accepter la collecte de données et deux clics pour la refuser. On considère également que le consentement n’est pas libre si un service conditionne son accès au fait d’accepter la collecte de ses données personnelles, alors que ces dernières ne sont pas nécessaires au fonctionnement du service.
Or, ceci n’est pas appliqué dans certains cas. La première fois que nous allons sur le moteur de recherche de Google, nous devrions voir un bandeau nous demandant notre autorisation à la collecte de nos données personnelles pour accepter la publicité ciblée. Ce qui n’est pas le cas. Le RGPD ratifié en 2016 est entré en application le 25 mai 2018, le temps que les entreprises prennent les mesures adéquates. Nous, la Quadrature du net avons déposé une plainte symbolique le 25 mai 2018 contre les cinq géants du numérique car aucun ne respectaient ces règles de validité du consentement. Or, elle sont applicables et les interprétations que j’ai énoncées sont partagées par la CNIL (Commission nationale informatique et libertés) et le Contrôleur européen de la protection des données (CEPD, qui est la communauté des CNIL à l’échelle européenne, ndlr). Elles ont même été reprises par des arrêts de la Cour de justice de l’Union européenne. Il y a à mon sens un manque de volonté politique des différentes autorités de contrôle européennes pour faire appliquer ces mesures.
Pour quelles raisons ?
Il y a selon moi plusieurs raisons à cela. D’une part, beaucoup de ces acteurs sont devenus des auxiliaires du service public, avec le bon vouloir des États. Ils sont devenus incontournables et ont un rapport de pouvoir complexe avec les États. Il y a un manque de moyens mis dans les contrôles. Mais aussi un lobbying très agressif de ces géants à la Commission européenne. Actuellement, ces entreprises essaient de jouer la montre et de retarder les sanctions. Seule la CNIL française a réussi à sanctionner Google concernant ce sujet sur les appareils Android. Le géant a donc été condamné à 50 millions d’euros d’amende.
Ensuite, il y a également la question des pouvoirs de la Police et ses contrepouvoirs. Avec la Quadrature du net, nous avons des combats judiciaires sur le régime juridique concernant l’usage des données de connexion par les autorités. Le régime français a été déclaré deux fois illégal par la Cour de justice de l’Union européenne. Pour autant, il n’est toujours pas mis en conformité. Toutes ces questions demandent donc de faire pression sur ces pouvoirs qui s’auto-protègent.
Comment inciter le grand public à agir et à changer ses habitudes de navigation ?
C’est en effet la chose la plus essentielle à faire. Cela commence par la prise de conscience, qui à mon sens est déjà faite. Vous m’auriez posé la question il y a cinq ans, je vous aurais sans doute répondu le contraire. Mais je pense qu’avec les affaires Snowden ou Cambridge Analytica, les gens prennent globalement conscience de ces enjeux. Les sondages montrent les Français de plus en plus inquiets quant à la protection de leurs données personnelles. Pourtant, malgré les nombreux scandales qui ont entaché la réputation de Facebook, peu de personnes décident de quitter le réseau social. C’est devenu un engagement trop important dans leur vie sociale. Plus loin que la simple prise de conscience, il y a l’information et la formation à ces outils. L’un des principaux problème est que l’on régit nos vies avec des outils que l’on ne comprend pas.
C’est pourquoi à La quadrature du net, nous pensons que les solutions sont en grande partie d’ordre politique. Nous avons par exemple une proposition qui permettrait aux gens de quitter une plateforme comme Facebook, sans pour autant se couper d’une partie de leur vie. L’idée serait de contraindre ces plateformes à mettre en place un système, permettant d’interagir avec les utilisateurs du site, sans soi-même y être inscrit. Il existe ainsi beaucoup de mesures à prendre permettant d’arrêter de culpabiliser les utilisateurs, mais de mettre la responsabilité sur les plateformes, les constructeurs d’appareil…