Accueil / Régulation du numérique / Nouveau projet de loi antiterroriste : Wikimédia France prend position

Nouveau projet de loi antiterroriste : Wikimédia France prend position

Posted on

Surveillance accrue des utilisateurs d’Internet au détriment de leurs droits fondamentaux

Souvenez-vous : en mai 2013, Edward Snowden révélait à l’humanité toute entière l’existence de plusieurs programmes de surveillance de masse américains et britanniques. Au sein de certaines de ces fuites se trouvait une diapositive Top Secret NSA qui mentionnait spécifiquement Wikipédia comme cible de la surveillance généralisée. L’hébergeur de l’encyclopédie collaborative en ligne, la Wikimedia Foundation et d’autres organisations non-gouvernementales telles que Amnesty International et Human Rights Watch ont déposé une plainte contre la NSA, l’accusant d’avoir violé le premier et le quatrième amendement de la Constitution américaine, et d’avoir « dépassé l’autorité que le Congrès lui conférait ». Lila Tretikov, directrice de la Wikimedia Foundation à l’époque, a déclaré : « Wikipédia est fondé sur la liberté d’expression, d’enquête et d’information. En violant la vie privée de nos usagers, la NSA menace la liberté intellectuelle qui est centrale pour la capacité à créer et à comprendre des connaissances ».

À la suite d’un appel effectué dans une cour fédérale, la Wikimedia Foundation – et uniquement cette dernière – a obtenu gain de cause et a été reconnue comme ayant la qualité pour contester un programme de la NSA qui siphonne les communications directement à partir de la dorsale d’Internet.

Ainsi, le 12 juin 2015, la Wikimedia Foundation annonçait l’utilisation du protocole de communication HTTPS pour tout le trafic Wikimedia, dans l’optique de contrer la surveillance de masse exercée par la NSA, qui profitait en particulier des insuffisances du protocole de communication HTTP en matière de sécurité.

Dans cette mouvance de surveillance de masse d’Internet, le nouveau projet de loi français accentue, à son tour, les coups portés aux droits fondamentaux des utilisateurs en ligne. En effet, le projet de loi présenté par le ministre de l’Intérieur Gérald Darmanin, le 28 avril dernier, entérine d’une part, une série de mesures sécuritaires héritées de l’état d’urgence de 2015 et de la loi de 2017 sur la sécurité intérieure et la lutte contre le terrorisme, et, d’autre part, pérennise certains usages tels que les « boites noires », chargées de détecter les menaces terroristes à l’aide des données de connexion des utilisateurs, tout en étendant leur usage.

Mais concrètement c’est quoi les boîtes noires et la surveillance algorithmique ?

Les boîtes noires, ou algorithmes, désignent techniquement le même outil. En effet, le surnom de « boites noires » a vu le jour afin de refléter l’opacité technique qui entoure ces dispositifs de surveillance des réseaux. Concrètement, le système fonctionne grâce à une intelligence artificielle qui analyse une masse de données importante et repère des comportements qui sortent de l’ordinaire selon des critères définis par les autorités. Les profils repérés sont ensuite signalés aux services de renseignement pour une investigation plus poussée. Cette pratique est opérationnelle chez les fournisseurs d’accès à internet (FAI) depuis 2017 (source : NextINpact).

Ces algorithmes analysent aujourd’hui uniquement les métadonnées, c’est-à-dire toutes les informations périphériques donnant du contexte à un contenu. En effet, ils ne sont pas censés lire un message, mais peuvent savoir à quelle heure il a été envoyé, par qui, depuis quel lieu, etc.

Avec ce nouveau projet de loi, le gouvernement veut donc pérenniser cette surveillance par algorithme en élargissant le dispositif. Gérald Darmanin a en effet précisé lors d’un entretien à France Inter que les adresses universelle sur le réseau (URL) des sites internet « seraient désormais collectées et traitées par les algorithmes » des boîtes noires des services de renseignement (source : France Inter).

Pourquoi ces dispositions posent-elles problème ? 

Il est d’abord fondamental et – très – parlant de souligner que les critiques sur ce texte de loi dépassent tous clivages politiques, venant de tous bords et par une diversité d’acteurs. En effet, juridiques, institutionnelles ou éthiques, les critiques ne se font pas rares et il serait temps de ne plus faire comme si elles n’existaient pas.

En effet, les opposants à la technique de surveillance des utilisateurs en ligne dénoncent depuis plusieurs années une dérive « liberticide » de la politique de protection des données en France (source : FranceTV).  Cette dernière a d’ailleurs été rappelée à l’ordre en octobre 2020 par la Cour de justice de l’Union européenne (CJUE), qui lui a reproché d’obliger les FAI à conserver durant un an les données de connexion de leurs utilisateurs dans le cadre de la lutte contre le     terrorisme. La CJUE s’est aussi exprimée au sujet des boîtes noires en sanctionnant leur existence, soulignant qu’elles devraient être interdites par principe parce qu’elles sont une atteinte « bien trop grave et inacceptable » dans une démocratie et qu’elles devraient être limitées à des situations extrêmes, dans le cas d’une menace grave pour la sécurité nationale par exemple (source : Le Monde).

Par ailleurs, de nombreux acteurs du secteur affirment qu’ils n’ont pas eu d’éléments suffisants pour juger, en amont, de l’efficacité de ces boîtes noires, notamment au regard de l’atteinte aux libertés. Dans son rapport d’activité de 2020, la Commission Nationale de l’Informatique et des Liberté (CNIL) a recommandé qu’il serait préférable de commencer par expérimenter l’idée d’une pérennisation et d’une extension des boîtes noires. Cette recommandation intervient alors même que la CNIL a affirmé ne pas avoir été en mesure de juger de l’expérimentation de la simple mise en boîtes des boîtes noires sur les dernières années. Ainsi, avant d’imaginer pérenniser et étendre un tel outil si conséquent pour les utilisateurs d’Internet,  il est primordial de pouvoir avoir des informations précises et des retours sur ce qui est déjà en place.u

« La CNIL n'a pas disposé des éléments nécessaires pour lui permettre d'apprécier la nécessité de la pérennisation de la technique de l'algorithme, le bilan détaillé étant couvert par le secret de la défense nationale et n'étant accessible qu'à la Commission nationale de contrôle des techniques de renseignement et à la délégation parlementaire au renseignement. »

L’argument appuyé par le gouvernement pour étendre le dispositif des boîtes noires aux URL est relié – encore une fois – à la menace terroriste. En effet, pouvoir collecter les « adresses complètes de ressources sur internet utilisés » par des potentiels terroristes et pourra détecter si quelqu’un « regarde trois ou quatre fois une vidéo de décapitation de Daesch » affirmait Gérald Darmanin sur France Inter. Mais, il est très important de rappeler que les URL des pages visitées par un utilisateur lambda ne sont généralement pas visibles, ni par des opérateurs ni par des fournisseurs d’accès, car ce sont des données totalement chiffrées. Pour pouvoir analyser ces URL, il faudra donc les « déchiffrer ». Vous me suivez toujours ? Aujourd’hui, les algorithmes s’arrêtent au nom de domaine, sans aller voir ce qu’il y a après (quel article a été consulté, quelle recherche est en train d’être rédigée dans le moteur de recherche, etc.) Le gouvernement souhaite donc accéder à toutes ces données pouvant faire état de votre vie privée en ligne dans les moindres détails. Le rapport de la délégation parlementaire a d’ailleurs rappelé qu’une telle extension risquait d’aller à l’encontre de la Constitution (source : Sénat).

Plusieurs solutions existent afin de pouvoir collecter tout de même ces données, la plus probable étant celle de la « faille volontaire » ou « backdoor ». Cette technique consisterait à imposer par la loi aux fournisseurs de services de communication et de services cloud d’implémenter dans un logiciel une fonctionnalité inconnue de l’utilisateur, qui donne un accès parallèle et secret à ce dernier. Mais, l’ensemble de la communauté en matière de sécurité informatique a toujours affirmé que la mise en place de backdoor serait catastrophique pour la sécurité des données des utilisateurs sur Internet car elle sera rapidement découverte par des tiers et potentiellement utilisée à leur insu.

Le ministre de l’Intérieur a d’ailleurs fait état de ces difficultés à rassembler l’ensemble des acteurs du web sur cette question périlleuse « nous discutons avec les grands majors d’internet : on leur demande de nous laisser entrer via des failles de sécurité. Certains l’acceptent, d’autres pas », indiquant dans le même temps qu’une future loi permettant de contraindre les opérateurs étrangers à le faire était en cours de réflexion… (source : France Inter).

Comme le souligne NextINpact, ce projet de loi prétend aussi autoriser la conservation des données jusqu’à 5 ans et 6 ans pour les données chiffrées afin d’« améliorer les outils de surveillance mis en place par les autorités françaises ». Le 21 avril dernier, le Conseil d’État a estimé que le gouvernement était « tenu de réévaluer régulièrement la menace qui pèse sur le territoire et de subordonner l’exploitation des données par les services de renseignement à l’autorisation d’une autorité indépendante ». Ainsi, en tordant la décision de la CJUE mentionnée ci-dessus, le Conseil réussi à faire valider le principe des boîtes noires et de la conservation des données, allant, comme l’affirme Bastien Le Querrec, chercheur en droit public et membre de la commission contentieux à La Quadrature du Net, « à l’encontre du droit européen, et notamment du droit à la vie privée, du respect des données personnelles, et du droit à la liberté d’expression ».

« Mais avec ou sans intelligence artificielle, le principe reste le même : brasser le plus de données possibles. Ce qui est une atteinte très flagrante au droit à la vie privée et également au droit à la sûreté, parce qu'on ne sait pas du tout ce qui est fait ensuite et quelles peuvent être les conséquences. »

Avec une procédure parlementaire particulièrement rapide au Parlement dans les prochaines semaines, le débat public et démocratique est complètement bafoué alors même que nos libertés fondamentales sur internet sont heurtées. Wikimédia France, qui a toujours défendu la protection des données des utilisateurs en ligne, a décidé, au vu de la gravité de la situation, de prendre la parole sur ces sujets et de joindre ses forces à celles des associations de défense des droits et libertés numériques pour essayer d’éviter que nos plus grandes craintes se réalisent.

Recevez nos courriels

Abonnez-vous pour découvrir nos projets actuels et à venir.

Parlez à un être humain

Des questions sur notre association ou sur nos projets ? Contactez notre équipe.

Contact →

Nous suivre sur les réseaux sociaux
Crédits images
Gezelin GREE, CC BY-SA 4.0
Wikinade, CC BY-SA 4.0
Top