“Menace contre l’État” : le Kenya s’attaque au scan de l’iris pratiqué par Worldcoin

Le projet lancé par Sam Altman, l’un des fondateurs d’OpenAI, veut promouvoir une nouvelle cryptomonnaie sécurisée par des données biométriques, à savoir le dessin de l’iris. Au Kenya, elle aurait scanné l’iris de 350 000 personnes en échange d’une somme d’argent en monnaie virtuelle.

Publié le 12 octobre 2023 à 16h32 Lecture 1 min.

Début août encore, le quotidien kényan The Standard publiait des photos des longues files d’attente qui se formaient à Nairobi. De nombreux habitants s’étaient rassemblés en différents endroits de la capitale pour faire scanner leur iris en échange d’une somme d’argent en cryptomonnaie. L’opération était l’œuvre de Worldcoin, fondé en 2019 par Sam Altman, cofondateur d’OpenAI. Son objectif est de lancer une nouvelle monnaie virtuelle associée à un système d’identification biométrique anonyme.

Mais ce projet semble peu apprécié des autorités locales. Après que le gouvernement a ordonné, le 2 août, la suspension provisoire des scans effectués par Worldcoin, des parlementaires kényans ont publié un rapport, fin septembre, réclamant l’arrêt définitif de ses activités, explique le journal britannique The Daily Telegraph. Ils invoquent une “menace contre l’État” et accusent Worldcoin d’“espionnage”.

Ces derniers émettent des doutes sur la manière dont ces données biométriques sont stockées et craignent de les voir échangées illégalement contre de l’argent. Le rapport parlementaire attire aussi l’attention sur le risque que représente l’émergence d’une monnaie décentralisée pour le système financier du pays.

“Nouvelle fièvre mondiale”

The Daily Telegraph précise que plusieurs millions de personnes à travers le monde ont déjà accepté de passer devant le scanner de Worldcoin.

“L’appareil, qui a la forme d’un ballon de football, scanne l’iris des individus pour confirmer leur identité et leur créer un compte.”

Au Kenya, les personnes ayant participé à l’opération ont reçu en récompense 25 jetons non fongibles de la nouvelle cryptomonnaie worldcoin, qu’ils pouvaient ensuite échanger en monnaie physique. La valeur de ces 25 jetons se situe aujourd’hui autour de 40 euros.

Worldcoin a été accusé de tirer profit des conditions de vie précaires de populations pauvres pour mettre en place son projet. “Confrontés qu’ils sont à un coût de la vie très élevé, à un chômage important et à des salaires qui ne bougent pas, les Kényans ont bondi sur cette occasion de gagner de l’argent sans rien faire, grâce au projet Worldcoin, qui a déclenché une nouvelle fièvre mondiale”, écrit The Standard.

Selon les informations du journal kényan Nation, qui cite les travaux du comité national chargé de la cybersécurité, plus de 350 000 Kényans auraient fait scanner leur iris.

23andMe says private user data is up for sale after being scraped

Records reportedly belong to millions of users who opted in to a relative-search feature.

Dan Goodin - 10/7/2023, 1:58 AM

Genetic profiling service 23andMe has commenced an investigation after private user data was scraped off its website

Friday’s confirmation comes five days after an unknown entity took to an online crime forum to advertise the sale of private information for millions of 23andMe users. The forum posts claimed that the stolen data included origin estimation, phenotype, health information, photos, and identification data. The posts claimed that 23andMe’s CEO was aware the company had been “hacked” two months earlier and never revealed the incident. In a statement emailed after this post went live, a 23andMe representative said that "nothing they have posted publicly indicates they actually have any 'health information.' These are all unsubstantiated claims at this point."

23andMe officials on Friday confirmed that private data for some of its users is, in fact, up for sale. The cause of the leak, the officials said, is data scraping, a technique that essentially reassembles large amounts of data by systematically extracting smaller amounts of information available to individual users of a service. Attackers gained unauthorized access to the individual 23andMe accounts, all of which had been configured by the user to opt in to a DNA relative feature that allows them to find potential relatives.

In a statement, the officials wrote:

We do not have any indication at this time that there has been a data security incident within our systems. Rather, the preliminary results of this investigation suggest that the login credentials used in these access attempts may have been gathered by a threat actor from data leaked during incidents involving other online platforms where users have recycled login credentials.

We believe that the threat actor may have then, in violation of our terms of service, accessed 23andme.com accounts without authorization and obtained information from those accounts. We are taking this issue seriously and will continue our investigation to confirm these preliminary results.

The DNA relative feature allows users who opt in to view basic profile information of others who also allow their profiles to be visible to DNA Relative participants, a spokesperson said. If the DNA of one opting-in user matches another, each gets to access the other’s ancestry information.

The crime forum post claimed the attackers obtained “13M pieces of data.” 23andMe officials have provided no details about the leaked information available online, the number of users it belongs to, or where it’s being made available. On Friday, The Record and Bleeping Computer reported that one leaked database contained information for 1 million users who were of Ashkenazi heritage, all of whom had opted in to the DNA relative service. The Record said a second database included 300,000 users who were of Chinese heritage who also had opted in.

The data included profile and account ID numbers, display names, gender, birth year, maternal and paternal haplogroups, ancestral heritage results, and data on whether or not each user has opted in to 23andme’s health data. Some of this data is included only when users choose to share it.

The Record also reported that the 23andMe website allows people who know the profile ID of a user to view that user’s profile photo, name, birth year, and location. The 23andMe representative said that "anyone with a 23andMe account who has opted into DNA Relatives can view basic profile information of any other account who has also explicitly opted into making their profile visible to other DNA Relative participants."

By now, it has become clear that storing genetic information online carries risks. In 2018, MyHeritage revealed that email addresses and hashed passwords for more than 92 million users had been stolen through a breach of its network that occurred seven months earlier.

That same year, law enforcement officials in California said they used a different genealogy site to track down a long-sought suspect in a string of grisly murders that occurred 40 years earlier. Investigators matched DNA left at a crime scene with the suspect’s DNA. The suspect had never submitted a sample to the service, which is known as GEDMatch. Instead, the match was made with a GEDMatch user related to the suspect.

While there are benefits to storing genetic information online so people can trace their heritage and track down relatives, there are clear privacy threats. Even if a user chooses a strong password and uses two-factor authentication as 23andMe has long urged, their data can still be swept up in scraping incidents like the one recently confirmed. The only sure way to protect it from online theft is to not store it there in the first place.

This post has been updated to include details 23andMe provided.

Supprimer les VPN, lever l’anonymat sur Internet… Pourquoi nos politiques proposent-ils des idées irréalistes ?

1 octobre 2023 à 08:21 par Stéphanie Bascou

Pourquoi des députés ont-ils proposé de supprimer les VPN ou de lever l’anonymat à l’occasion du projet de loi SREN ? Outre les méconnaissances technique et juridique déplorées par des spécialistes, ces deux idées seraient un savant mix de plusieurs éléments : l’absence d’auditions d’experts, une culture du compromis inexistante, la volonté de se faire un nom… le tout mettant en danger nos libertés fondamentales.

« C’était le concours Lépine de l’idée la plus clivante ». Ces dernières semaines, les propositions destinées à « mettre fin au Far West du numérique » se sont multipliées à l’occasion du projet de loi SREN (visant à sécuriser et à réguler l’espace numérique) en discussion à l’Assemblée nationale. Face à plusieurs cas tragiques de suicides d’adolescents victimes de cyberharcèlements, certains députés ont proposé, dans des amendements au projet de loi, des mesures chocs comme lever l’anonymat qui régnerait sur le Web ou supprimer les VPN… Ces mesures, irréalisables techniquement ou dangereuses du point de vue de nos droits fondamentaux, ont suscité la levée de boucliers de défenseurs des libertés fondamentales. Des informaticiens ont pris soin de déconstruire une à une ces propositions, déplorant des idées déconnectées des réalités, comme chez nos confrères de France 3.

« Quand on dit que ce qui est interdit dans le monde physique doit l’être dans le numérique. C’est trop simple, trop lapidaire et pas nuancé », a martelé en commission le député MoDem Philippe Latombe, mardi 19 septembre. Et si la majorité de ces idées a finalement été retirée des amendements du projet de loi, la question demeure : pourquoi les Parlementaires sont-ils allés vers le « trop simple » et techniquement irréalisable, voire peu souhaitable ?

Le monde de l’Internet libre contre le monde de l’Internet régulé

Premier constat : ce n’est pas la première fois que ce type de mesures — aux objectifs plus que louables, mais décorrélés de la façon dont fonctionne le Web — finissent sur la place publique. Oui, il faut tout faire pour mettre fin au cyberharcèlement, et oui, il faut protéger davantage les mineurs. Mais le problème est que « les députés (sont) toujours aussi nuls sur les lois numériques », regrette ce blogueur anonyme, le 19 septembre dernier.

Lors de la loi Avia (2020) ou la loi Hadopi (2009), des débats similaires ont eu lieu. « À chaque fois que vous avez une nouvelle loi sur Internet, il y a deux mondes qui s’affrontent : le monde d’un Internet libre et celui d’un Internet régulé », commente Eric Barbry, avocat associé du Cabinet Racine. « Entre les deux, il y a ceux qui essayent des voies pour réguler le tout dans des conditions satisfaisantes. Mais vous ne pouvez pas empêcher une frange de la classe politique de vouloir aller le plus loin possible et donc amener vers l’interdiction de l’anonymat » en ligne, ajoute l’avocat spécialisé en droit du numérique.

Le rapporteur du projet de loi et député Renaissance Paul Midy a ainsi défendu l’idée d’associer un compte d’un réseau social à une identité numérique, prônant « la fin de l’anonymat au profit du pseudonymat ». Le système fonctionnerait sur le même principe qu’une plaque d’immatriculation. Pourtant, l’anonymat n’existe pas sur le Web : les enquêteurs parviennent toujours à retrouver les auteurs de cyberharcèlement ou de menace de mort, même si cela prend souvent bien trop de temps.

Le député Renaissance Mounir Belhamiti a, de son côté, défendu l’idée de supprimer les VPN alors qu’ils sont très utilisés, par les policiers, les journalistes, les ingénieurs en cybersécurité ou les entreprises. Dans certains pays, les VPN sont un moyen de contourner la censure sur le Web. Face au tollé, ce parlementaire a finalement rétropédalé. D’autres mesures contenues dans le projet de loi, comme le bannissement des cyberharceleurs des réseaux sociaux, se heurtent aussi à la faisabilité technique, car cela reviendrait à obliger les plateformes à surveiller activement le fait que tel internaute ne se recrée pas de compte. Mais alors, pourquoi avoir émis de telles idées ?

« On se croit expert du numérique parce qu’on a un compte TikTok »

« La majorité des gens, nos politiciens sont dans ce cas-là, se croient plus ou moins experts de l’usage des outils numériques parce qu’ils s’en servent, ou parce qu’ils ont un compte TikTok », souligne Benjamin Bayart, militant pour les droits numériques et cofondateur de la Quadrature du Net. Mais « cela ne veut pas dire qu’ils ont compris comment ça marche, ni ses effets sur la société. Quand on change les outils avec lesquels les humains communiquent, on change la façon dont la société se fabrique », ajoute-t-il. « Sans parler du fait qu’en plus, techniquement, ils ne comprennent rien à la manière dont fonctionnent les ordinateurs. C’est ce qui fait qu’ils se disent “on va interdire les VPN” sans avoir la moindre idée de ce à quoi ça touche », poursuit-il.

« La plupart des experts de ces questions avec qui je me suis entretenu m’ont tous dit qu’ils n’avaient pas été auditionnés (par les députés, ndlr), ou qu’ils n’avaient jamais fait partie des débats. Donc je me demande en fait sur qui on s’est appuyé pour émettre ce genre de propositions », s’interroge Tariq Krim, ancien co-président du Conseil du numérique, entrepreneur et initiateur du mouvement Slow Web.

Les députés ne sont pas censés être spécialistes de tout. Mais lorsqu’ils doivent prendre des décisions, en particulier dans des domaines qu’ils ne maîtrisent pas, il est généralement attendu qu’ils s’appuient sur des experts du sujet en question. Mais même quand ces auditions ont lieu, le bât blesse. « Les parlementaires devraient s’adresser aux chercheurs qui travaillent sur ces sujets depuis des années. Ils devraient éviter tous ceux qui ont des choses à vendre, comme la première startup qui passe et qui dit “regardez j’ai la solution qui va super bien marcher dans le Web3, je crois qu’elle va permettre d’identifier tout le monde” », tacle Laurent Chemla, informaticien et cofondateur de Gandi. Même son de cloche pour l’avocat en droit du numérique Alexandre Archambault, qui décrit un législateur qui « n’auditionne que les proches ou les gens qui sont d’accord avec lui ».

« La France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout »

Les juristes semblent aussi avoir manqué à l’appel, puisque les députés sont repartis d’une page blanche, alors qu’ils étaient censés, avec ce projet de loi, transposer un règlement européen, le DSA (« Digital Services Act » ou règlement européen sur les services numériques). Ils auraient dû se cantonner à des dispositions à la marge, comme nommer les autorités nationales de contrôle. Imposer davantage d’obligations aux réseaux sociaux ou aux plateformes du Web, « cela relève (désormais, depuis le DSA) soit exclusivement de la Commission européenne, soit du pays d’établissement (le pays dans lequel une entreprise a son siège européen, souvent l’Irlande pour les géants du numérique) – donc la France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout », résume Maître Alexandre Archambault. Ces deux plateformes ont leur siège social en France.

Cela ne veut pas dire que le « DSA soit gravé dans le marbre. La Commission européenne dit simplement : si on veut améliorer la protection des mineurs ou mieux lutter contre les contenus haineux ou la désinformation, mettons-nous autour d’une table et voyons comment améliorer les choses – mais au niveau européen. Mais si chaque pays le fait en ordre dispersé, chacun dans son coin – comme le fait la France – c’est intenable », ajoute-t-il. C’est le sens « *d*es observations très sévères de la Commission européenne du 2 août dernier, qui visent directement le projet de loi SREN ». L’auteur de ces observations, Thierry Breton, le commissaire européen au Marché intérieur , dit en substance : « vous ne pouvez pas contraindre les entreprises du Web à davantage d’obligations que ce que le droit européen prévoit. Ce n’est ni fait ni à faire, ça participe à la fragmentation du droit de l’Union, on s’y opposera. Et là, vous avez nos parlementaires qui n’en tiennent pas compte et qui sont dans une fuite en avant », poursuit Maître Archambault, déplorant « une nouvelle loi de circonstances, dictée par l’émotion ».

« La seule façon qu’ils ont d’exister, c’est de faire le pitre »

Mais alors, pourquoi avoir prôné ces mesures de suppression des VPN ou d’anonymat ? Chez la majorité des experts que nous avons interrogée, la même explication est donnée. Les Parlementaires se livreraient à « un concours Lépine des mesures les plus clivantes » parce que ce serait, pour eux, une façon de se faire un nom, regrette Maître Archambault. « La seule manière qu’ils ont d’exister, c’est de faire le pitre. En France, le pouvoir législatif est extrêmement faible, on l’a vu avec la réforme des retraites. Et donc les députés font n’importe quoi pour exister », abonde Benjamin Bayart. « D’autant qu’à l’Assemblée nationale, on ne cherche pas à trouver des compromis, comme c’est le cas au Parlement européen, où pour qu’un texte passe, il faut qu’on trouve un consensus entre plusieurs groupes. Ce qui veut dire que toutes les solutions un peu trop aberrantes vont être écartées, ce qui n’est pas le cas en France », ajoute-t-il.

Résultat, le rapporteur de la loi, Paul Midy, était peu connu jusqu’alors. Mais avec sa sortie médiatique sur la levée d’anonymat, il est passé dans tous les médias. Et cela a eu une conséquence : l’idée d’avoir à s’identifier avec une pièce d’identité pour utiliser les réseaux sociaux, comme celle de supprimer les VPN, ont été largement partagées. Et elles pourraient finir par infuser dans la société, s’alarme Laurent Chemla.

Pour le militant des libertés numériques, « on essaie de pousser des idées qu’on sait irréalisables pour amener petit à petit dans l’esprit du public l’idée qu’il faut effectivement réguler la parole publique, réguler les réseaux sociaux, empêcher les gens d’avoir une liberté d’expression totale. À force de répéter, depuis plus de 27 ans, qu’Internet est une zone de non-droit, on arrive à faire passer dans l’esprit du public que oui, c’est vrai, il y a un problème avec Internet, que ce n’est pas normal que n’importe qui puisse dire n’importe quoi. Donc il y a cette volonté de faire évoluer l’opinion publique vers plus de contrôle de la parole des citoyens, et pour ça, on va proposer des choses qu’on sait irréalistes, qui petit à petit amènent à ce type de propositions », analyse-t-il.

Car avec la technologie, il y a désormais une possibilité de traçage qui n’existait pas jusqu’alors, reconnaît Pierre Beyssac, porte-parole du Parti Pirate et cofondateur de Gandi. « Lorsqu’on établit une connexion réseau ou mobile, il faut savoir où est l’utilisateur. Il est donc tentant pour la police, qui connaît ce fonctionnement technique, d’exploiter cette technologie pour lutter contre le crime et la délinquance ». Mais ce n’est pas parce que cette possibilité existe qu’il faut l’utiliser.

Car « si on y réfléchit, cela reviendrait à vouloir rendre impossible tout ce qui pourrait être illégal sur internet », abonde Laurent Chemla. Or, « dans la vie réelle, ça n’est pas impossible de commettre des délits, ou des crimes, c’est puni a posteriori, mais ça n’est pas rendu impossible a priori, sinon on aurait une caméra derrière la tête de tous les citoyens en permanence », souligne l’informaticien. « Sur Internet, on a l’impression que toutes ces mesures (contrôle d’identité des internautes, suppression des VPN) ont un objectif : rendre tous les crimes, tous les délits, toutes les dérives impossibles a priori, et ça, c’est délirant, on ne peut pas faire ça », estime-t-il.

« On se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde »

Et si beaucoup comprennent l’argumentaire des policiers qui disent : « “si on ne nous laisse pas surveiller la population et accéder à toutes les données numériques auxquelles on peut accéder en surveillant les gens, ça rend les enquêtes plus compliquées”, il faut rappeler que dans la vie réelle aussi, les enquêtes sont compliquées », insiste Laurent Chemla. « J’avais regardé les chiffres sur les vols de bagnoles, il y a 6 % de résolution et 94 % de vols qui restent impunis. Et pourtant, on ne cherche pas à empêcher complètement les vols de bagnole en mettant des caméras dans tous les garages. Mais évidemment, vu que c’est numérique, on se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde », souligne-t-il.

On serait passé de « tout le monde est innocent jusqu’à preuve du contraire » à « tout le monde est coupable jusqu’à preuve du contraire », regrette Benjamin Bayart, au sujet par exemple de l’accès des mineurs aux sites pornographiques. « Au “il ne faut pas que les mineurs accèdent à du porno”, la seule réponse qu’on a, c’est : “il va falloir que la totalité des adultes prouvent qu’ils sont adultes à chaque clic qu’ils font” », note-t-il.

« Par défaut, vous êtes suspect »

Comme nous vous l’expliquions en mars dernier, une autre proposition de loi (instaurant une majorité numérique et visant à lutter contre la haine en ligne), promulguée en juillet dernier, évoque, pour les sites pornographiques, la mise en place, pour s’assurer de la majorité d’un utilisateur, d’une solution technique – qui n’existe pas encore. Il s’agirait de passer par un tiers de confiance qui délivrerait un jeton et qui confirmerait la majorité de l’utilisateur au site en question, vraisemblablement à chaque connexion.

Problème : cela fait des mois que cette solution serait expérimentée, sans qu’aucun retour ne fuite. Seule nouvelle récente de cette « expérimentation » : Jean-Noël Barrot, le ministre délégué chargé du Numérique, a concédé à demi-mot que cela ne fonctionnait pas pour l’instant à 100 %. « Je ne dis pas que ça marche à plein tube », déclarait-il le 20 septembre dernier, chez nos confrères de Tech&Co. Pour beaucoup, la solution évoquée dans la loi et expérimentée connaîtra la même trajectoire que celle observée au Royaume-Uni et en Australie. Ces deux pays avaient aussi voulu mettre en place un contrôle d’âge similaire, avant d’y renoncer, faute d’avoir trouvé une solution qui fonctionne.

Or, avec un tel système, « il y a cette idée qui s’instille dans la tête des gens que c’est à vous de prouver que vous êtes innocent parce que par défaut, vous êtes suspect. Et il vous faut le prouver en permanence, pas le prouver une et une seule fois, mais le prouver tout le temps, tout le temps, tout le temps », répète Benjamin Bayart.

Alors comment faire pour éviter ce changement de paradigme et voir à nouveau ces propositions trop rapides et parfois dangereuses finir dans le débat public ? Comment préserver nos libertés, tout en luttant contre le cyberharcèlement et en protégeant mieux les mineurs ?

Pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que six ?

Côté Parlement, il faudrait redonner du pouvoir aux députés, avance Benjamin Bayart. Et que ces derniers fassent davantage de contrôle de l’action publique, comme d’autres pays le font, estime Maître Archambault. « Plutôt que de passer par des nouvelles lois, on fait des commissions d’enquête, en demandant par exemple pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que… six. Pourquoi il faut trois ans – soit une éternité – pour que les harceleurs de Mila ou de Hoschi soient condamnés, alors qu’elles ont la chance d’être entourées de bons conseils ? »

Que les politiques écoutent davantage les experts, que les médias couvrent plus les cas de condamnation de cyberharceleurs, et qu’il y ait bien plus de moyens alloués à la justice et à la prévention du cyberharcèlement font partie des pistes d’amélioration citées. Mettre en place de grandes campagnes nationales, comme on l’a fait avec l’alcool dans les années 80, où on est passé « de la répression à la prévention », est également mentionné.

Dans ce débat, il ne faut surtout pas perdre de vue nos droits fondamentaux

Il faudrait aussi pouvoir lever plus facilement l’anonymat en cas de harcèlement en ligne ou de propos injurieux ou diffamatoires, explique Maître Barbry. Il s’agit d’un point de procédure qui a son importance. « Pour la suppression des contenus, on a de plus en plus recours aux moyens proposés les plateformes en ligne, mais c’est très aléatoire et nettement insuffisant. Et avoir la possibilité d’identifier les personnes est devenu très compliqué. Or, le seul moyen de réparer un préjudice, c’est d’avoir quelqu’un en face de vous qui répond de ses actes », relève-t-il. La raison ? Un changement des règles qui impose désormais, quand on cherche à savoir qui est derrière un compte de cyberharceleur, de passer par une procédure accélérée au fond et non plus en référé. « La procédure est plus juste d’un point de vue procédural, mais bien plus longue et complexe pour les victimes », résume-t-il.

Pour Pierre Beyssac, il faut désormais accepter que « le monde d’aujourd’hui avec les réseaux n’est plus celui d’autrefois. Il faut essayer de trouver des solutions adaptées, en évitant de céder à la tentation d’utiliser la technologie pour réduire nos libertés », souligne l’informaticien à la tête d’Eriomem. « Notre vie de tous les jours étant de plus en plus appuyée sur ces réseaux, nos droits fondamentaux vont en dépendre de plus en plus », estime-t-il. « *I*l est donc essentiel de les défendre bec et ongle, et de *t*out faire pour ne pas se tirer une balle dans le pied, sur la société que l’on veut construire ».

Et maintenant, l’interdiction de certains VPN en France sur smartphone ?

Julien Lausson : L'amendement qui assume son inefficacité

Certains VPN pourraient être exclus de l’App Store et de Google Play en France. Un amendement souhaite conditionner leur visibilité sur les boutiques d’applications pour smartphone au bon respect de la loi.

Nouvel assaut contre les VPN à l’Assemblée nationale, alors que le projet de loi sur la sécurisation et la régulation de l’espace numérique (dite loi SREN) entre en débat en séance publique à partir du 4 octobre. En effet, des députés du groupe Horizon et apparentés (centre droit) soutiennent un nouvel amendement qui entend exclure certains VPN de l’App Store (iOS) et de Google Play (Android).

L’objectif affiché de l’amendement est d’empêcher les internautes d’accéder à des applications de VPN qui permettraient « l’accès à un réseau Internet non soumis à la législation et règlementation française ou européenne ». Mais, considérant que les fournisseurs de ces VPN pourraient ne pas jouer le jeu, les députés misent donc sur Google et Apple pour faire le tri.

En effet, la proposition de mise à jour législative entend confier aux deux sociétés américaines la mission de faire la police sur chaque store. Ainsi, Google Play et l’App Store doivent s’assurer de ne garder que les applications en conformité avec la législation. Sinon, la boutique fautive s’exposera à une amende pouvant atteindre 1 % de son chiffre d’affaires mondial.

Ce n’est pas la première fois que la question des VPN est abordée dans le cadre du projet de loi SREN. En commission, un autre amendement — retiré depuis — avait été déposé pour interdire l’utilisation d’un VPN pour interagir activement sur un réseau social. En clair, l’utiliser pour consulter le site communautaire, oui. S’en servir pour publier ou commenter, non.

L’amendement, qui figure parmi le bon millier déposé en séance publique, et qui suit les 952 examinés en commission, doit encore être débattu, à supposer qu’il ne soit pas déclaré irrecevable par les services de l’Assemblée nationale. Les VPN font par ailleurs l’objet de deux autres amendements, mais qui demandent la production de rapports (amendements 662 et 916).

Des faiblesses techniques déjà relevées

Signalé sur X par le journaliste Marc Rees, l’amendement fait face à des limites techniques notables. D’abord, il n’adresse en aucune façon la possibilité de se servir d’un VPN sur son ordinateur. Or, les solutions du marché fournissent tout le nécessaire pour se connecter à un réseau privé virtuel depuis un PC sous Windows, Mac ou Linux.

Autre enjeu : il est possible d’installer une application en zappant la boutique officielle. Cela demande un peu d’huile de coude, et tout le monde ne saura pas (ou n’osera pas) installer un APK sur son smartphone, mais cela reste une manipulation accessible. Sur un strict plan de sécurité informatique, ce n’est toutefois pas le plus conseillé, si l’on ignore ce que l’on fait.

On peut installer une application mobile sans passer par une boutique officielle

Toujours est-il que c’est cette méthode qui est utilisée pour récupérer des applis avant l’heure (Threads, ChatGPT, Mario Kart), par exemple pour ne pas être soumis à un quelconque blocage géographique… C’est aussi d’ailleurs comme cela que l’on peut installer une vieille version d’une application mobile, pour assurer une compatibilité ou retrouver une fonctionnalité.

Les limites techniques apparaissent d’ailleurs admises par les parlementaires eux-mêmes, qui se disent « conscients de l’impossibilité technique d’encadrer le recours à des VPN, notamment dans un but de contournement de la loi ». Il s’agirait moins de proposer un amendement applicable que de soulever le sujet « afin, à terme, de trouver une solution technique pertinente et efficace. »

Le profilage de nos données personnelles a de réelles conséquences sur nos vies

Pourquoi cette offre d’emploi n’est-elle jamais arrivée jusqu’à vous ? Pourquoi n’obtenez-vous pas ce crédit ? La faute à vos données personnelles. Au-delà du profilage publicitaire, elles sont désormais utilisées pour déterminer votre façon de travailler, votre profil psychologique ou si vous êtes trop dépensier. Il est temps de reprendre le contrôle, affirme cette journaliste dans “New Scientist”.

En 2021, un vendredi, je suis entrée dans un hôtel d’Exeter, en Angleterre, à 17 heures, 57 minutes et 35 secondes. Le lendemain matin, j’ai conduit pendant neuf minutes pour me rendre à l’hôpital voisin. J’y suis restée trois jours. Le trajet de retour, qui dure normalement une heure quinze, m’a pris une heure quarante. Pourquoi cette vitesse ralentie ? Parce que je transportais mon nouveau-né à l’arrière.

Il ne s’agit pas d’un extrait de mon journal intime. C’est ce que Google sait du jour de la naissance de ma fille, rien qu’avec mon historique de géolocalisation.

Et les données personnelles amassées par d’autres entreprises ce week-end-là leur permettent d’en savoir beaucoup plus encore. Netflix se souvient que j’ai regardé plusieurs comédies légères, dont Gilmore Girls et Comment se faire larguer en 10 leçons. Instagram a noté que j’avais liké un post sur l’accouchement déclenché et que je ne me suis pas reconnectée pendant une semaine.

Et alors ? Nous savons tous aujourd’hui que la moindre de nos activités en ligne est suivie et que les données collectées sont extrêmement détaillées et s’accumulent en continu. D’ailleurs, peut-être appréciez-vous que Netflix et Instagram connaissent si bien vos goûts et préférences.

“Il y a de quoi être horrifié”

Pourtant, les enquêtes et procès se multiplient et dressent un tableau où la collecte de nos données a une incidence nettement plus insidieuse que ce que la plupart d’entre nous imaginent. En me penchant sur le sujet, j’ai découvert que la collecte de mes données personnelles pouvait avoir des conséquences sur mes perspectives professionnelles, mes demandes de crédit et mon accès aux soins.

Autrement dit, cette pratique a potentiellement des répercussions sur ma vie dont je n’ai même pas idée. “C’est un immense problème, et chaque jour il y a de quoi être horrifié”, résume Reuben Binns de l’université d’Oxford.

On pourrait croire qu’avec la mise en place en 2018 du RGPD (Règlement général sur la protection des données) – la loi européenne qui permet aux internautes de mieux contrôler la collecte et l’utilisation de leurs données personnelles –, les questions de vie privée ont été essentiellement résolues. Après tout, il suffit de ne pas accepter les cookies pour ne pas être pisté, non ? Alors que je tiens ce raisonnement devant Pam Dixon, représentante du World Privacy Forum, elle part dans un grand éclat de rire incrédule. “Vous croyez vraiment ça ? me lance-t-elle.

95 % des sites en infraction

Des centaines d’amendes ont déjà été infligées pour manquement au RGPD, notamment contre Google, British Airways et Amazon. Mais pour les spécialistes, ce n’est que la partie émergée de l’iceberg. Selon une étude menée l’an dernier par David Basin, de l’école polytechnique de Zurich, près de 95 % des sites Internet pourraient être en situation d’infraction.

Alors que la loi devait aider les citoyens à mieux comprendre de quelles données ils autorisent la collecte, plusieurs études montrent que les politiques de confidentialité des marques sont devenues de plus en plus complexes, et non l’inverse. Et si vous vous croyez protégé par les bloqueurs de publicité et les VPN qui masquent votre adresse IP, détrompez-vous. Bon nombre de ces services vendent également vos données.

Nous commençons à peine à mesurer l’ampleur et la complexité du problème. Une poignée de grandes entreprises – Google, Meta, Amazon et Microsoft – pèsent lourd dans l’équation, reconnaît Isabel Wagner, chercheuse en cybersécurité à l’université de Bâle, en Suisse. Mais derrière eux se cache une myriade d’acteurs, des centaines, voire des millions d’entreprises, qui achètent, vendent, hébergent, pistent et analysent nos données personnelles.

Qu’est-ce que cela signifie pour une personne ordinaire comme moi ? Pour le savoir, je me suis rendue à Lausanne, à HestiaLabs, une start-up fondée par Paul-Olivier Dehaye, mathématicien et principal lanceur d’alerte dans le scandale de Cambridge Analytica. Ce cabinet de conseil politique avait illégalement utilisé des données d’utilisateurs Facebook pour faire pencher l’élection présidentielle de 2016 en faveur de Donald Trump. L’enquête de Paul-Olivier Dehaye sur Cambridge Analytica a révélé jusqu’où s’étendait le pouvoir d’influence des vendeurs et acheteurs de données. C’est pour changer cela qu’il a créé HestiaLabs.

Avant notre rendez-vous, je demande à plusieurs entreprises de me fournir les données personnelles qu’elles ont enregistrées sur moi – une démarche plus laborieuse qu’on ne serait en droit de le croire depuis le RGPD. Puis, je retrouve Charles Foucault-Dumas, responsable de projet à HestiaLabs, dans les bureaux de la société, un modeste espace de coworking en face de la gare de Lausanne. Installés face à son ordinateur, nous chargeons mes données sur son portail.

Mes données s’affichent devant moi sous la forme d’une carte indiquant tous les endroits où je suis allée, tous les “j’aime” que j’ai distribués et toutes les applications ayant contacté une régie publicitaire. Sur les lieux que je fréquente régulièrement, comme la crèche de ma fille, des centaines de points de données forment de grosses taches colorées. Mon adresse personnelle est marquée par un énorme point, impossible à manquer. C’est édifiant. Et un peu terrifiant.

Fan de rugby, de chats et du festival Burning Man ?

Le plus surprenant est de découvrir quelles applications contactent des services tiers en mon nom. La semaine dernière, le comportement le plus coupable – 29 entreprises contactées – est venu d’un navigateur Internet qui se vante précisément de respecter votre vie privée. Mais, finalement, qu’il s’agisse d’un simple outil de prise de notes ou d’une appli de courses en ligne, à peu près toutes les applications de mon téléphone sollicitent en permanence des entreprises pendant que je vis ma vie.

En règle générale, une entreprise qui vend un produit ou un service s’adresse à une agence de communication faisant le lien avec des plateformes de vente, d’achat et d’échanges d’espaces publicitaires, elles-mêmes connectées à des régies publicitaires chargées de placer les annonces sur un média. Chaque fois que vous allez sur un site Internet ou que vous survolez un message sur un réseau social, toute cette machinerie se met en route – et produit plus de 175 milliards d’euros par an.

Quelles données personnelles ces entreprises s’échangent-elles ? Pour le savoir, il faudrait que je pose la question à chacune d’entre elles. Et même dans le cas de celles que j’ai pu contacter avec l’aide d’HestiaLabs, la réponse n’est pas toujours évidente.

Prenons l’exemple d’Instagram. Le réseau social liste 333 “centres d’intérêt” associés à mon profil. Certains sont pour le moins surprenants : le rugby, le festival Burning Man, le marché immobilier et même “femme à chats”. Ami lecteur, sache que je n’ai jamais eu de chat.

D’autres sont plus justes, et sans surprise : un certain nombre d’entre eux sont liés à la parentalité, qu’il s’agisse de marques comme Huggies ou Peppa Pig, de discussions sur les lits de bébé ou le sevrage. J’en viens à me demander de quelle manière ces données n’ont pas seulement influencé mes achats mais aussi la vie de ma fille. Sa fascination pour les aventures d’une famille de petits cochons roses est-elle entièrement naturelle ou nous a-t-on “servi” ces vidéos en raison de certaines de mes données personnelles transmises par Instagram ? Tous ces messages sur le sevrage sont-ils apparus spontanément sur mes réseaux sociaux – influant sur la façon dont j’ai initié ma fille à la nourriture solide – ou ai-je été ciblée ? Impossible de reconstruire les liens de cause à effet. J’ignore complètement si mes “centres d’intérêt” m’ont désignée pour d’éventuels démarchages.

Les échanges de données personnelles forment un écheveau quasiment impossible à démêler. Il n’est pas rare que des données soient copiées, segmentées et ingurgitées par des algorithmes et des systèmes d’apprentissage automatique. Résultat, explique Pam Dixon, même avec une législation comme le RGPD, nous n’avons pas accès à la totalité de nos données personnelles. “Il y a un double niveau à ce problème. Il existe une première strate, constituée par les données que nous pouvons retrouver, poursuit-elle. Et une seconde que l’on ne voit pas, que nous n’avons légalement pas le droit de voir, personne.”

Au-delà du ciblage publicitaire

De récents rapports offrent toutefois quelques aperçus. En juin, une enquête du journal américain The Markup a révélé que ce type de données cachées permettait aux publicitaires de nous catégoriser en fonction de nos affinités politiques, de notre état de santé et de notre profil psychologique. Suis-je une “maman accro à son portable”, une “bonne vivante”, “une facilement découragée” ou une “woke” ? Je n’en sais rien. Ce que je sais, c’est que toutes ces étiquettes sont effectivement utilisées par les régies publicitaires en ligne.

Il est perturbant d’apprendre que je suis ainsi étiquetée sans savoir pourquoi ni comment. Une part de moi se demande si c’est vraiment grave. Car je comprends l’intérêt d’avoir des publicités qui tiennent compte de mes préférences, ou d’ouvrir mon application de navigation et de voir apparaître les musées et les restaurants où je suis déjà allée ou qui sont susceptibles de me plaire. Mais, croyez-moi, la désinvolture avec laquelle nous acceptons ce marché est l’un des moyens les plus sûrs de faire grincer des dents un spécialiste de la vie privée.

D’une part, commence Pam Dixon, les utilisations de ces données vont bien au-delà du ciblage publicitaire. Il suffit d’un détail aussi insignifiant que l’enseigne où vous faites vos courses (être client d’une chaîne discount est un indicateur de faible revenu) ou l’achat d’un produit de sport (signe que vous faites de l’exercice) pour modifier votre profil de candidat à l’entrée d’une université ou le montant de votre prime d’assurance médicale. “On ne parle pas que de publicité ici, insiste-t-elle. C’est la vie réelle.”

Aux États-Unis, de récentes lois ont levé le voile sur les pratiques de certaines entreprises. Adopté en 2018 dans le Vermont, le Data Broker Act a ainsi révélé que les courtiers en données enregistrés dans cet État – mais également présents dans d’autres – vendaient des données personnelles à de potentiels employeurs ou bailleurs, souvent via des intermédiaires. En juillet, le bureau américain de protection financière du consommateur a découvert que des données cachées servaient à “noter” les consommateurs, un peu de la même manière que les banques vous attribuent une note financière globale lorsque vous faites une demande de prêt. Reuben Binns explique :

“Il y a les choses que vous faites, les sites que vous visitez, les applications que vous utilisez, tous ces services peuvent alimenter des plateformes qui vérifient si vous êtes un bon candidat à la location et quelles conditions de crédit vous proposer.”

À HestiaLabs, je comprends que j’ai peut-être moi aussi été affectée par ces pratiques dans mon quotidien, pas seulement à travers le ciblage publicitaire mais également par la façon dont mes données sont traitées par les algorithmes. En effet, sur LinkedIn, un des présupposés liés à mon profil indique que je ne suis ni “une personnalité de leader” ni “un manager senior”. Alors que j’ai dirigé une équipe de 20 personnes à la BBC et qu’avant cela j’ai été rédactrice en chef de plusieurs sites web de la chaîne – autant d’informations que j’ai spécifiquement compilées sur mon profil LinkedIn. Cela a-t-il une incidence sur mon évolution professionnelle ? Lorsque je pose la question à un représentant de la plateforme, on m’assure que ces “présupposés” ne sont aucunement utilisés “pour sélectionner les offres d’emploi qui [me] sont proposées sur ce réseau”.

Une protection de la vie privée qui laisse à désirer

Pourtant, plusieurs actions en justice ont révélé que, sur Facebook, des données étaient utilisées afin de cacher aux femmes certaines offres d’emploi dans le secteur des technologies. En 2019, la maison mère du réseau, Meta, a supprimé cette possibilité pour les annonceurs. Sauf qu’il est très facile de trouver d’autres moyens d’exclure les femmes, soulignent les spécialistes, par exemple en ciblant les profils comportant des intérêts associés à des stéréotypes masculins. “Ces préjudices ne sont pas visibles sur le moment pour l’utilisateur. Ils sont souvent très abstraits et peuvent intervenir très tard dans le processus de filtrage”, explique Isabel Wagner.

Plus le volume de données collectées augmente, plus la liste des problèmes signalés dans les médias s’allonge. Des applications de suivi d’ovulation – ainsi que des SMS, des courriels et des recherches sur Internet – ont été utilisées pour lancer des poursuites contre des femmes s’étant fait avorter aux États-Unis depuis la suppression de l’[arrêt Roe vs Wade](https://www.courrierinternational.com/article/carte-le-nombre-d-avortements-augmente-aux-etats-unis-malgre-l-arret-de-la-cour-supreme#:~:text=La décision de la Cour,avortements pratiqués dans le pays.) l’an dernier.

Des prêtres ont vu leur homosexualité dévoilée après qu’ils ont utilisé l’application de rencontre Grindr. Un officier russe a été tué lors de son jogging matinal après avoir été suivi, présume-t-on, par l’intermédiaire des données publiques de son compte Strava. La protection des données vise à empêcher ce genre de problèmes. “Mais de toute évidence la mise en œuvre laisse fortement à désirer”, soupire Reuben Binns.

Le problème tient en partie au manque de transparence des entreprises. Nombre d’entre elles optent pour des systèmes “protégeant la vie privée” où les données d’une personne sont segmentées en plusieurs points de données qui sont disséminés dans différents serveurs ou localement chiffrés. Paradoxalement, cela complique surtout la tâche pour l’utilisateur qui souhaite accéder à ses propres données et comprendre comment elles sont utilisées.

Du point de vue de Paul-Olivier Dehaye, le fondateur d’HestiaLabs, il ne fait aucun doute que les entreprises peuvent et doivent nous rendre le pouvoir sur nos données. “Si vous allez sur un site maintenant, une multitude d’entités en seront informées dans la seconde et sauront qui vous êtes et sur quel site vous avez commandé une paire de baskets il y a deux semaines. Dès lors que l’objectif est de vous inonder de mauvaises pubs, les entreprises sont capables de résoudre tous les problèmes. Mais demandez-leur vos données, et elles ne savent plus rien faire. Mais il existe un moyen de mettre cette force du capitalisme à votre service plutôt qu’au leur.”

J’espère qu’il a raison. Alors que je marche dans les rues de Lausanne après avoir quitté les bureaux d’HestiaLabs, je vois un homme devant la vitrine d’un magasin de couteaux, son téléphone portable dépassant de sa poche, puis une femme tirée à quatre épingles, un sac Zara dans une main et son portable dans l’autre. Un peu plus loin, un homme parle avec animation dans son téléphone devant le commissariat de police.

Pour eux comme pour moi, tous ces instants sont aussi brefs qu’insignifiants. Mais pour les entreprises qui collectent nos données, ce sont autant d’occasions à saisir. Des opportunités monnayables. Et tous ces points de données ne disparaîtront peut-être jamais.

Reprendre le contrôle

Suivant les conseils de Paul-Olivier Dehaye et des autres spécialistes que j’ai interrogés, je décide en rentrant chez moi de faire le tri dans mon téléphone et de supprimer les applications dont je ne me sers pas. Je me débarrasse également de celles que j’utilise peu et qui contactent un peu trop d’entreprises ; je les utiliserai depuis mon ordinateur portable à la place. (J’utilise un service appelé “TC Slim” qui m’indique quelles entreprises sont en lien avec mes applications.) J’installe également un nouveau navigateur qui respecte réellement – semble-t-il – ma vie privée. Les applications et navigateurs open source et non commerciaux sont généralement de bonnes solutions, explique Isabel Wagner, car leurs développeurs ont moins d’intérêt à collecter vos données.

J’ai également commencé à éteindre mon téléphone lorsque je ne m’en sers pas. Car la plupart des téléphones continuent à transmettre vos données de géolocalisation même lorsque vous coupez la connexion wifi et les données mobiles ou activez le mode avion. Sur mon compte Google, j’ai décoché l’option de sauvegarde des lieux, même si pour le moment une sorte de nostalgie m’empêche de demander la suppression de tous mes historiques.

On peut également modifier notre façon de payer. Pam Dixon qui préconise d’avoir plusieurs cartes bancaires et de choisir “minutieusement” lesquelles utiliser sur Internet. Pour les achats susceptibles d’envoyer un signal “négatif”, dans un magasin discount par exemple, préférez les paiements en liquide. Elle recommande également d’éviter les sites et applications liés à la santé. “C’est un terrain miné en général”, résume-t-elle. Malgré toutes les mesures que vous prendrez, les entreprises trouveront toujours des moyens de contourner vos garde-fous. “C’est un jeu où on ne peut que perdre”, conclut Paul-Olivier Dehaye. Raison pour laquelle la solution ne relève pas des seuls individus. “Nous avons besoin d’un véritable changement sociétal”, confirme Reuben Binns.

Si suffisamment de gens parviennent individuellement à faire entendre leur voix, nous pourrons faire évoluer le système, espère Paul-Olivier Dehaye. La première étape consiste à faire une demande d’accès à vos données personnelles. “Faites comprendre aux entreprises que si elles font un pas de travers vous ne leur ferez plus confiance, résume-t-il. À l’ère des données, si vous perdez la confiance des gens, votre entreprise est condamnée.”

4 questions aux algorithmes (et à ceux qui les font, et à ce que nous en faisons)

Olivier Ertzscheid13 avril 2022

1. Les moteurs de recherche nous rendent-ils idiots ?

En 2008, le moteur de recherche Google vient de fêter ses 10 ans et Nicholas Carr publie dans The Atlantic, un texte qui va faire le tour des internets en quelques heures et pour quelques années : "Is Google Making Us Stupid ?" (traduction française disponible grâce à Penguin, Olivier et Don Rico sur le Framablog) Il y défend la thèse selon laquelle une "pensée profonde" nécessite une capacité de lecture et d'attention également "profondes", que Google et le fonctionnement du web rendraient impossibles à force de fragmentation et de liens nous invitant à cliquer en permanence.

Depuis presque 15 ans, la thèse de Nicholas Carr continue périodiquement à revenir sur le devant de la scène médiatique. Je passe sur les écrits affirmant que les "écrans" seraient la source de tous nos maux, mais pour le grand public, je renvoie notamment aux derniers ouvrages de Bruno Patino ("La civilisation du poisson rouge") qui ne font que recycler en permanence les idées de Nicholas Carr en les 'affinant' à l'aune de ce que les réseaux sociaux font ou feraient à nos capacités attentionnelles ainsi qu'au débat public.

La littérature scientifique sur ces sujets est bien plus circonspecte et nuancée que la focale médiatique ne pourrait le laisser croire. Le seul consensus scientifique éclairé se fait autour des risques d'une exposition précoce et excessive. Pour le reste … les écrans ne sont "que" des écrans, les outils ne sont "que" des outils, et il n'est pas plus dangereux au 21ème siècle de laisser un enfant toute la journée devant Tik-Tok qu'il ne l'était de le laisser un enfant toute la journée devant la télé au 20ème siècle. Dans ce siècle comme dans le précédent, à de rares exceptions près, chacun s'accorde d'ailleurs sur le fait qu'il ne faut pas laisser un enfant toute la journée devant TikTok ou devant la télé. Encore faut-il qu'il ait la possibilité de faire autre chose, encore faut-il que la société laisse aux parents le temps de faire autre chose avec lui, encore faut-il qu'ils aient les moyens financiers et les infrastructures culturelles et éducatives à portée de transport (public) pour pouvoir et savoir faire autre chose, encore faut-il qu'une éducation aux écrans puisse être bâtie en cohérence de l'école primaire au lycée. A chaque fois que l'on tient un discours culpabilisant ou même parfois criminogène sur "le numérique" ou "les écrans", on oublie de s'interroger sur la faillite d'une politique éducative, sociale et familiale où chaque réflexion autour du "temps de travail" peine à masquer le refus d'imaginer et d'accompagner un temps de non-travail, un temps de loisirs capable de resserrer les liens familiaux plutôt que de les éclater ou de les mettre en nourrice technologique.

Cela ne veut pas dire qu'il n'existe aucun effet des technologies sur nos capacités mémorielles, attentionnelles, ni bien sûr que rien ne se jouerait au niveau neuronal et même biochimique, mais simplement que nos environnements médiatiques, culturels, informationnels, sont multiples, perméables et inter-reliés, et que pour encore probablement au moins quelques années, le web, la télé, la radio et la presse sont amenés à co-construire et à co-définir, nos capacités attentionnelles et nos appétences informationnelles. Bref.

L'intelligence de Nicholas Carr, sur la fin de son texte, est de relativiser un peu son angoisse et son scepticisme en rappelant la critique Platonicienne de "l'écriture" qui, déjà, signait la fin de la mémoire et annonçait mille maux :

"Et il en va de même pour les discours [logographies]. On pourrait croire qu'ils parlent pour exprimer quelque réflexion ; mais, si on les interroge, parce qu'on souhaite comprendre ce qu'ils disent, c'est une seule chose qu'ils se contentent de signifier, toujours la même. Autre chose : quand, une fois pour toutes, il a été écrit, chaque discours va rouler de droite et de gauche et passe indifféremment auprès de ceux qui s'y connaissent, comme auprès de ceux dont ce n'est point l'affaire ; de plus, il ne sait pas quels sont ceux à qui il doit ou non s'adresser. (…)

[L'écriture] ne produira que l’oubli dans l’esprit de ceux qui apprennent, en leur faisant négliger la mémoire. En effet, ils laisseront à ces caractères étrangers le soin de leur rappeler ce qu’ils auront confié à l’écriture, et n’en garderont eux-mêmes aucun souvenir. Tu [Thot] n’as donc point trouvé un moyen pour la mémoire, mais pour la simple réminiscence, et tu n’offres à tes disciples que le nom de la science sans la réalité ; car, lorsqu’ils auront lu beaucoup de choses sans maîtres, ils se croiront de nombreuses connaissances, tout ignorants qu’ils seront pour la plupart, et la fausse opinion qu’ils auront de leur science les rendra insupportables dans le commerce de la vie."

(Socrate dans Phèdre)

Idem pour l'invention de l'imprimerie et pour chaque grande révolution des technologies intellectuelles. Là où le texte de Carr est intéressant en termes de prospective c'est qu'il est, en 2008, l'un des premiers à acter que ce que l'on nommera ensuite le "solutionnisme technologique" est au coeur d'une logique attentionnelle entièrement dépendante d'un modèle d'affaire parfaitement cartésien, réfléchi, pensé, documenté et instrumenté (je souligne) :

"Pourtant, leur hypothèse simpliste voulant que nous nous “porterions mieux” si nos cerveaux étaient assistés ou même remplacés par une intelligence artificielle, est inquiétante. Cela suggère que d’après eux l’intelligence résulte d’un processus mécanique, d’une suite d’étapes discrètes qui peuvent être isolés, mesurés et optimisés. Dans le monde de Google, le monde dans lequel nous entrons lorsque nous allons en ligne, il y a peu de place pour le flou de la réflexion. L’ambiguïté n’est pas un préliminaire à la réflexion mais un bogue à corriger. Le cerveau humain n’est qu’un ordinateur dépassé qui a besoin d’un processeur plus rapide et d’un plus gros disque dur.

L’idée que nos esprits doivent fonctionner comme des machines traitant des données à haute vitesse n’est pas seulement inscrite dans les rouages d’Internet, c’est également le business-model qui domine le réseau. Plus vous surfez rapidement sur le Web, plus vous cliquez sur des liens et visitez de pages, plus Google et les autres compagnies ont d’occasions de recueillir des informations sur vous et de vous nourrir avec de la publicité. La plupart des propriétaires de sites commerciaux ont un enjeu financier à collecter les miettes de données que nous laissons derrière nous lorsque nous voletons de lien en lien : plus y a de miettes, mieux c’est. Une lecture tranquille ou une réflexion lente et concentrée sont bien les dernières choses que ces compagnies désirent. C’est dans leur intérêt commercial de nous distraire."

Les technologies intellectuelles sont autant de "pharmakon", elles sont à la fois remède et poison. Google ne nous rend pas stupides. Ni idiots. Ni incapables d'attention ou de lecture soutenue. Mais il est de l'intérêt de Google, cela participe de son modèle économique, que nous préférions cliquer sur des liens commerciaux plutôt qu'organiques, sur des liens qui ont quelque chose à nous vendre plutôt que quelque chose à nous apprendre. Les deux "OO" du moteur : le "O" d'une ouverture toujours possible, et le "O" d'une occlusion toujours présente. Et l'importance de ces affordances que l'éducation construit et qu'elle peut apprendre à déconstruire …

Le rêve de Vannevar Bush, en 1945, d'un dispositif capable de singer le fonctionnement associatif de l'esprit humain pour en stimuler les capacités mémorielles et en bâtir qui lui soient externes, ce rêve là dans lequel c'est "le chemin qui comptait plus que le lien" s'est en quelque sorte renversé et incarné presqu'uniquement dans la capacité de calcul des liens créés pour en contrôler la supervision globale et l'accès massif, formant alors des autorités n'ayant plus que le seul goût de la popularité. La curiosité du chemin laissant la place à la cupidité des liens. Et le capitalisme linguistique fit le reste. Google ne nous a pas rendu stupides mais … cupides.

En quelques années, l"interrogation de Carr a été remplacée par plusieurs autres. Il ne s'agit plus uniquement de répondre à la question "Google nous rend-il idiots ?" mais de s'interroger sur "les algorithmes sont-ils idiots ?" ou même "les algorithmes sont-ils justes ?" et enfin et peut-être surtout, "les algorithmes (idiots ou non) nous brutalisent-ils ?" Je commence par cette dernière question car elle est la plus facile à trancher aujourd'hui.

2. Les algorithmes nous brutalisent-ils ?

Oui. Trois fois oui. En tout cas l'utilisation des algorithmes par la puissance publique, au profit et au service d'une dématérialisation qui vaut démantèlement des services publics, est une brutalité et une violence. Une "maltraitance institutionnelle" comme le rappelle l'édito de Serge Halimi dans le Monde diplomatique du mois de Mars, et comme le documente surtout le rapport sur la "dématérialisation des services publics"de Claire Hédon, la défenseure des droits.

L'amie Louise Merzeau expliquait il y a déjà 10 ans que le numérique était un milieu beaucoup plus qu'un outil. Et les milieux sociaux les plus modestes, n'ont d'autre choix que de le vivre comme une double peine, comme un nouvel empêchement, une stigmatisation de plus, une discrimination de trop.

Rien ne s'automatise mieux que l'accroissement des inégalités. Et il n'est d'inégalités plus flagrantes que dans le système éducatif et le système de soins qui n'ont jamais été autant mis sous coupe algorithmique réglée à grands coups de métriques qui valent autant de coups de triques.

"Stiegler et Alla montrent que ce que nous avons vu disparaître en 2 ans, c’est une politique de santé publique démocratique, compensatrice et attentive aux gens. Nous avons vu apparaître un nouvel acteur du système de santé, et qui risque demain d’être convoqué partout. Le démantèlement des systèmes de soin reposent sur un “individu connecté directement aux systèmes d’informations des autorités sanitaires, dont elles attendent une compliance et un autocontrôle permanent dans le respect des mesures et dans la production des données”. C’est le même individu qui est désormais convoqué dans Parcoursup ou dans les services publics, comme Pole Emploi ou la CAF. C’est un individu qui produit lui-même les données que vont utiliser ces systèmes à son encontre. “Ici, la santé n’est jamais appréhendée comme un fait social, dépendant de ce que la santé publique nomme les “déterminants structurels” en santé. Elle devient un ensemble de données ou de data, coproduites par les autorités sanitaires et les individus érigés en patients acteurs, qui intériorisent sans résistance toutes les normes qu’elles leur prescrivent”. Dans cette chaîne de production de données, les soignants sont réduits à l’état de simples prestataires, privés de l’expérience clinique de la maladie, tout comme les agents des systèmes sociaux ou les professeurs sont privés de leur capacité de conseil pour devenir de simples contrôleurs. Quant aux réalités sociales qui fondent les inégalités structurelles, elles sont niées, comme sont niées les différences sociales des élèves devant l’orientation ou devant la compréhension des modalités de sélection. Les populations les plus vulnérables sont stigmatisées. Éloignés des services et des systèmes numériques, les plus vulnérables sont désignés comme responsables de la crise hospitalière, comme les chômeurs et les gens au RSA sont responsables de leur situation ou les moins bons élèves accusés de bloquer Parcoursup !" (Hubert Guillaud lisant "Santé publique : année zéro" de Barbara Stiegler et François Alla)

Bien. Donc Google (et les moteurs de recherche) nous rendent davantage cupides que stupides, ou pour le dire différemment, s'il nous arrive par leur entremise, d'être pris en flagrant délit de stupidité, c'est principalement la faute de leur cupidité. Et les algorithmes nous brutalisent. Parce qu'ils sont trop "intelligents" alors que notre "liberté" (de navigation, de choix) passe par le retour à un internet bête, à une infrastructure qui ne s'auto-promeut pas en système intelligent. Un internet bête c'est un réseau capable de mettre en relation des gens, sans nécessairement inférer quelque chose de cette mise en relation sur un autre plan que la mise en relation elle-même (c'est à dire ne pas tenter d'inférer que si j'accepte telle mise en relation c'est pour telle raison qui fait que par ailleurs je vais accepter de partager telle autre recommandation elle-même subordonnée à tel enjeu commercial ou attentionnel, etc.).

Google nous rend cupides. Et les algorithmes nous brutalisent car ils sont trop "intelligents" en ambitionnant de créer des liens dont ils sont responsables (ce qui est l'étymologie de l'intelligence) alors qu'ils ne devraient que contrôler des situations dont nous sommes responsables.

Prenons un exemple simple et fameux : celui de la désambiguisation. Par exemple lorsque je tape le mot "jaguar" dans un moteur de recherche, il ne sait pas s'il doit me proposer des informations en lien avec l'animal ou avec la marque de voiture. Et pourtant il ne se trompe que rarement car il s'appuie sur notre historique de recherche, de navigation, nos "données personnelles", nos intérêts déclarés sur les réseaux sociaux où nous sommes présents et qu'il indexe, etc. Et nous trouvons d'ailleurs très pratique que Google "sache" si nous cherchons des informations sur l'animal ou sur la voiture sans que nous ayons à le lui préciser. C'est cela, le web et un moteur de recherche "intelligent". Mais cette intelligence n'est pas tant celle qui crée des liens que celle qui crée des chaînes de déterminismes de plus en plus inextricables. Car si Google sait qu'en tapant "jaguar" c'est aux voitures que je m'intéresse et non aux animaux, et s'il le sait autrement que statistiquement, alors il est déjà trop tard.

Je veux maintenant poser une troisième question.

3. Les algorithmes sont-ils complètement cons ?

Je viens de vous expliquer que les algorithmes et internet étaient "trop intelligents" et voici que je vous propose maintenant d'envisager le fait qu'ils soient aussi totalement cons. Les deux ne sont en effet pas exclusifs. On connaît tous des gens très intelligents qui sont socialement, relationnellement ou matériellement totalement cons. Voici mon propos.

On savait déjà que l'ordinateur, que les ordinateurs étaient complètement cons. Et ce n'est pas moi mais Gérard Berry, professeur au collège de France, qui le dit et l'explique depuis longtemps :

"Fondamentalement, l’ordinateur et l’homme sont les deux opposés les plus intégraux qui existent. L’homme est lent, peu rigoureux et très intuitif. L’ordinateur est super rapide, très rigoureux et complètement con."

On avait donc de forts soupçons concernant "les algorithmes". Mais comme l'on sait également que "il n'y a pas d'algorithmes, seulement la décision de quelqu'un d'autre", nous voilà ramenés à la possibilité non nulle d'envisager l'autre comme un con, ou de postuler et c'est mon hypothèse de travail suivant le texte fondateur de Lessig, "Code Is Law", que les déterminismes sociaux, culturels, religieux, économiques, politiques de celles et ceux (mais surtout ceux) qui développent "les algorithmes" permettent d'éclairer la manière dont leurs décisions algorithmiques sont opaques et parfois dangereuses.

Pour le dire trivialement, les algorithmes sont donc toujours au moins aussi cons que celles et ceux qui les développent et les déploient (ou de celles et ceux qui leur ordonnent de le faire), dans un rapport qui tient bien davantage de la causalité que de la corrélation.

J'ajoute que l'autre question déterminante des données (Big Data), des jeux de données et des modèles de langage désormais "trop gros" vient encore rendre plus tangible l'hypothèse d'algorithmes produisant des effets sidérants tant ils finissent par être totalement cons ou dangereux.

Et miser sur l'intelligence artificielle pour corriger les biais algorithmiques est à peu près aussi pertinent que de miser sur la capacité d'empathie d'Eric Zemmour pour atténuer les dérives xénophobes de la société.

"l’IA n’est ni intelligente ni artificielle. Elle n’est qu’une industrie du calcul intensive et extractive qui sert les intérêts dominants. Une technologie de pouvoir qui « à la fois reflète et produit les relations sociales et la compréhension du monde. »" Kate Crawford in "Atlas de l'IA" (lu par l'indispensable Hubert Guillaud).

Résumons un peu. Google nous rend cupides. Les algorithmes nous brutalisent (en tout cas les plus faibles ou les plus exposés ou les plus jeunes d'entre nous). On rêverait qu'ils se contentent d'être essentiellement bêtes mais ils sont le plus souvent ontologiquement cons.

J'en viens maintenant à l'actualité qui a suscité l'envie de rédiger cet article (il est temps …) ainsi qu'à ma dernière question.

4. Facebook nous prend-il pour des cons ?

Prenons donc la plateforme technologique aujourd'hui centrale dans l'ensemble de nos usages connectés (au travers de tout son écosystème de services : Facebook, WhatsApp, Instagram, Messenger notamment). Plateforme à qui l'on adresse, souvent d'ailleurs de bon droit, le reproche que Nicholas Carr adressait jadis à Google, celui de nous rendre idiots. Plateforme qui n'est pas non plus étrangères à l'émergence de formes inédites de brutalité, aussi bien dans la dimension interpersonnelle (harcèlement, stalking …) qu'à l'échelle politique (élections) et géo-stratégique (dans l'invasion de l'Ukraine mais aussi dans le génocide des Rohingyas). Et plateforme qui assume comme projet de devenir une "infrastructure sociale" planétaire.

Pendant plus de 6 mois, depuis le mois d'Octobre 2021, "l'algorithme" de Facebook n'a pas "déclassé" (downranking) et diminué les vues et l'audience de publications contenant des fausses informations identifiées, y compris lorsque leurs auteurs étaient récidivistes, mais il a tout au contraire augmenté leur nombre de vues d'au moins 30%. Les ingénieurs qui ont repéré cela parlent d'une "défaillance massive du classement" qui aurait exposé "jusqu'à la moitié de toutes les vues du fil d'actualité à des "risques d'intégrité" potentiels au cours des six derniers mois". L'article de The Verge qui s'est procuré le rapport d'incident interne est accablant et alarmant.

"Les ingénieurs ont remarqué le problème pour la première fois en octobre dernier, lorsqu'une vague soudaine de fausses informations a commencé à affluer dans le fil d'actualité (…). Au lieu de supprimer les messages des auteurs de désinformation récidivistes qui avaient été examinés par le réseau de vérificateurs de faits externes de l'entreprise, le fil d'actualité distribuait plutôt les messages, augmentant les vues de 30 % au niveau mondial. Incapables de trouver la cause profonde de ce problème, les ingénieurs ont vu la hausse s'atténuer quelques semaines plus tard, puis se reproduire à plusieurs reprises jusqu'à ce que le problème de classement soit résolu le 11 mars."

L'élection présidentielle en France a eu lieu ce dimanche avec les scores que l'on connaît. Depuis plus d'un mois une guerre se déroule en Ukraine. Partout dans le monde des échéances politiques, climatiques et géo-stratégiques majeures s'annoncent. Et pendant les 6 derniers mois un "bug" de la plateforme aux presque 3 milliards d'utilisateurs a surexposé d'au moins 30% des contenus de désinformation pourtant identifiés comme tels au lieu de parvenir à les déclasser. C'est tout à fait vertigineux.

Une "défaillance massive du classement". Une défaillance pendant plus de 6 mois observée, constatée, documentée (à l'interne uniquement) mais une défaillance … incorrigible. Il semble que nous en soyons très exactement au point que décrivait Frederick Pohl lorsqu'il expliquait que "une bonne histoire de science-fiction doit pouvoir prédire l’embouteillage et non l’automobile." Mais il ne s'agit plus de science-fiction.

"Défaillance massive du classement". Il faut imaginer ce que cette "défaillance massive du classement" pourrait donner si elle advenait dans un moteur de recherche, dans un système de tri des patients à l'hôpital, dans un système d'admission post-baccalauréat régulant l'entrée dans les études supérieures de l'ensemble d'une classe d'âge. La question est vertigineuse convenez-en. Comme sont vertigineuses ces autres questions à ce jour sans réponses :

• qui (ou qu'est-ce qui) est à l'origine de cette "défaillance massive du classement" ?
• pourquoi cette "défaillance massive du classement" a-t-elle été observée sans être rendue publique pendant 6 mois ?
• comment (et par qui et par quels moyens) cette "défaillance massive du classement" a-t-elle été finalement corrigée (et comment être sûrs qu'elle l'a bien été) ?

Pour rappel Bostrom et Yudowsky (deux théoriciens de l'intelligence artificielle), expliquaient en 2011 dans leur article "The Ethics of Artificial Intelligence" :

"Les algorithmes de plus en plus complexes de prise de décision sont à la fois souhaitables et inévitables, tant qu'ils restent transparents à l'inspection, prévisibles pour ceux qu'ils gouvernent, et robustes contre toute manipulation." ("increasingly complex decision-making algorithms are both inevitable and desirable – so long as they remain transparent to inspection, predictable to those they govern, and robust against manipulation")

Concernant Facebook mais également d'autres champs sociaux à forte couverture algorithmique, j'ai l'impression que depuis que ces constats sont faits, on s'éloigne chaque fois davantage de ces trois objectifs de transparence, de prévisibilité, et de robustesse.

La question n'est pas celle, longtemps fantasmée et documentée dans divers récits de S-F d'une "intelligence artificielle" qui accèderait à la conscience ou prendrait le contrôle de nos destinées ; mais la question, plus triviale et plus banalement tragique aussi, d'un système technique totalement saturé de données et suffisamment massif dans l'ensemble de son architecture technique, de ses flux et de ses volumétries (nombres d'utilisateurs, de contenus, d'interactions) pour ne plus pouvoir répondre à aucune autre sollicitation ou supervision rationnelle que celle d'une stochastique de l'emballement intrinsèque.

Un système devenu totalement con. Banalement con. Tragiquement con. Un con système consistant.

A moins bien sûr, l'hypothèse n'est pas à exclure totalement, que Facebook ne nous prenne pour des cons. Elle n'est d'ailleurs ni à exclure, ni incompatible avec la précédente.

Too Big To Fail (Economically). Too Fat To Succeed (Ethically).

Quand la Chine nous réveillera ?

"Hahaha", "lol", "xptdr" me direz-vous. Car oui la Chine c'est "the great firewall", c'est aussi le crédit social, bref ce n'est pas vraiment un parangon d'émancipation algorithmique. Peu de chances donc que la lumière vienne de là. Et pourtant … et pourtant la nouvelle qui suit n'en est que plus … étonnante. D'abord quelques rappels.

A commencer par la dimension éminemment prévisible de nos comportements sociaux, qui rend d'autant plus forts et plus efficaces les déterminismes algorithmiques qui viennent l'instrumentaliser. Il y a déjà longtemps de cela, je vous avais proposé le néologisme de "dysalgorithmie" pour désigner un "trouble de résistance algorithmique où le sujet fait preuve d'un comportement ou d'opinions non-calculables".

Pour éviter que les moteurs de recherche ne nous rendent idiots, pour éviter que les algorithmes ne nous brutalisent, pour comprendre pourquoi les algorithmes sont complètement cons et pour éviter queFacebook (ou d'autres) ne continuent de nous prendre pour des cons, il n'est qu'un seul moyen : la transparence algorithmique (pour laquelle je plaide depuis … très longtemps) :

"Grâce à leurs CGU (et leurs algorithmes), Facebook, Twitter, Google ou Apple ont édicté un nouvel ordre documentaire du monde qu’ils sont seuls à maîtriser dans la plus complète opacité. Il est vain de réclamer la dissolution de Google ou d’un autre acteur majeur comme il est vain d’espérer un jour voir ces acteurs «ouvrir» complètement leurs algorithmes. Mais il devient essentiel d’inscrire enfin clairement, dans l’agenda politique, la question du rendu public de fonctionnements algorithmiques directement assimilables à des formes classiques d’éditorialisation. Or après que les algorithmes se sont rendus maîtres de l’essentiel du «rendu public» de nos productions documentaires, les plateformes sont en train de reléguer dans d’obscures alcôves l’autre processus de rendu public démocratique : celui de la délibération sur ce qui a légitimité – ou non – à s’inscrire dans l’espace public. Il ne sera pas éternellement possible de s’abriter derrière le fait que ces plateformes ne sont précisément ni des espaces réellement publics ni des espaces entièrement privés. A l’ordre documentaire qu’elles ont institué, elles ajoutent lentement mais sûrement un «ordre moral réglementaire» sur lequel il nous sera très difficile de revenir si nous n’en débattons pas dès maintenant."

La transparence donc, mais aussi (et peut-être surtout aujourd'hui) la redevabilité :

"Ce devoir [de rendre des comptes] inclut deux composantes : le respect de règles, notamment juridiques ou éthiques, d’une part ; la nécessité de rendre intelligible la logique sous-jacente au traitement, d’autre part. Il se décline de différentes manières selon les publics visés. Pour le citoyen sans compétence technique particulière, il peut s’agir de comprendre les critères déterminants qui ont conduit à un résultat qui le concerne (classement d’information, recommandation, envoi de publicité ciblée, etc.) ou la justification d’une décision particulière (affectation dans une université, refus de prêt, etc.). Un expert pourra être intéressé par des mesures plus globales, comme des explications sous forme d’arbres de décision ou d’autres représentations graphiques mettant en lumière les données prises en compte par l’algorithme et leur influence sur les résultats. Un organisme de certification peut se voir confier une mission de vérification qu’un algorithme satisfait certains critères de qualité (non-discrimination, correction, etc.), sans pour autant que celui-ci ne soit rendu public."

En France, cette "transparence" concerne seulement et hélas encore bien imparfaitement les algorithmes publics et a été intégrée dans la [loi pour une République numérique (loi Lemaire) de 2016 adoptée en 2017](https://www.zdnet.fr/actualites/algorithmes-les-administrations-forcees-a-plus-de-transparence-39906151.htm#:~:text=Ce principe de transparence des,doit comporter une « mention explicite »).

"Ce principe de transparence des algorithmes publics (…) selon laquelle « toute décision individuelle prise sur le fondement d'un traitement algorithmique » doit comporter une « mention explicite » pour en informer le public. La loi dit alors que les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre doivent également être communiquées par l'administration à l'intéressé s'il en fait la demande. Plus précisément, l'administration doit être en mesure de communiquer quatre informations : dans un premier temps, « le degré et le mode de contribution du traitement algorithmique à la prise de décision » ; ensuite les « données traitées et leurs sources » ainsi que « les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l'intéressé », et enfin « les opérations effectuées par le traitement »."

De plus cette loi déjà très imparfaite (même si elle marque nonobstant une avancée majeure) comporte un certain nombre de limitations et des freins intrinsèques ("seules les décisions à 100 % automatisées seront en mesure d'être contestées et considérées le cas échéant comme nulles, si l'administration est en incapacité de documenter l'algorithme utilisé" via ZDnet) mais également … structurels :

"les obligations de transparence issues de la loi Numérique demeurent largement ignorées des acteurs publics, et témoigne au passage d'une insuffisance parfois notoire des moyens humains et financiers pour mener à bien cette charge supplémentaire pour les administrations. D'autant plus que les interlocuteurs interrogés dans le cadre du rapport ont « mis en avant des définitions très variées de ce qui constituait un algorithme » qui mériteraient d'être harmonisées." (toujours via ZDnet)

La problème de la transparence comme de la redevabilité, même en se limitant aux algorithmes publics, c'est qu'un "algorithme" est un fait calculatoire et décisionnel qui ne peut être isolé de faits sociaux qui en déterminent les causes et les effets. Un algorithme est développé par des gens, qui obéissent à d'autres gens, et qui sont tous pris dans des déterminismes et des contraintes économiques, professionnelles, politiques, sociales, etc. Penser que l'ouverture et et la redevabilité des algorithmes suffira à régler l'ensemble des problèmes qu'ils posent n'a pas davantage de sens que penser que l'étiquetage des denrées alimentaires résoudra les problèmes de malbouffe, d'obésité et de surproduction agricole.

Mais il faut bien commencer par quelque chose. Et comme nous sommes encore très très loin (même pour les algorithmes publics) de la transparence et de la redevabilité, alors continuons de militer et d'agir pour que ces notions soient mises en place et surtout pour qu'elles le soient avec les moyens nécessaires.

Et maintenant la Chine. Oui. La Chine. La Chine dispose d'une sorte de grand ministère de l'administration du cyberespace, le CAC (Cyberspace Administration of China), qui jouit à la fois de pouvoirs de régulation et de censure. Le 27 Août 2021, ce CAC a publié sous forme d'appel à commentaires (sic) une série de trente "Dispositions relatives à l'administration des recommandations d'algorithmes pour les services d'information sur Internet."

Ces dispositions s'adressent à l'ensemble des acteurs, publics comme privés, mais surtout privés (on est en Chine, donc les acteurs publics sont … déjà suffisamment "régulés" …). Comme cela fut souligné à l'époque par un certain nombre d'analystes :

"Ces lignes directrices s'inscrivent dans le cadre d'une répression plus large à l'encontre des grandes entreprises technologiques chinoises et devraient toucher particulièrement des sociétés telles qu'Alibaba Group, Didi Global et ByteDance, propriétaire de TikTok, qui utilisent de tels algorithmes pour prédire les préférences des utilisateurs et faire des recommandations, et qui faisaient déjà l'objet d'un examen minutieux de la part des autorités de l'État chinois sur diverses questions."

Définitivement publiées et entrées en vigueur depuis le mois de Janvier 2022 et disponible en ligne sur le site de la CAC :

"Ces règles devraient permettre de préserver la sécurité nationale et les intérêts publics sociaux, de protéger les droits et intérêts légitimes des citoyens et de promouvoir le développement sain des services d'information sur Internet.

Le règlement exige des fournisseurs de services de recommandation d'algorithmes qu'ils respectent les droits des utilisateurs, y compris le droit de connaître l'algorithme, qui exige des fournisseurs qu'ils rendent publics les principes de base, les objectifs et les mécanismes de fonctionnement des algorithmes. Le règlement recommande également que les utilisateurs aient le droit de choisir des options qui ne sont pas spécifiques à leurs caractéristiques personnelles et de désactiver le service de recommandation de l'algorithme."

On pourra également trouver une traduction anglaise appropriée de ces 35 règles prenant effet au 1er Mars 2022. Dont voici quelques extraits (traduits de l'anglais via DeepL) :

Article 4 : La fourniture de services de recommandation algorithmique doit se conformer aux lois et règlements, observer la morale et l'éthique sociales, respecter l'éthique commerciale et l'éthique professionnelle, et respecter les principes d'équité et de justice, d'ouverture et de transparence, de science et de raison, de sincérité et de fiabilité.

Article 5 : Les organisations sectorielles concernées sont encouragées à renforcer l'autodiscipline sectorielle, à établir et à compléter les normes sectorielles, les normes sectorielles et les structures de gestion de l'autodiscipline, à superviser et à guider les fournisseurs de services de recommandation algorithmique dans la formulation et le perfectionnement des normes de service, la fourniture de services conformément à la loi et l'acceptation de la supervision sociale.

Article 6 (mon préféré 😉 : Les fournisseurs de services de recommandation algorithmique doivent respecter les orientations de valeur générales, optimiser les mécanismes de services de recommandation algorithmique, diffuser vigoureusement une énergie positive et faire progresser l'utilisation des algorithmes vers le haut et dans le sens du bien (sic).

Article 8 : Les fournisseurs de services de recommandation algorithmique doivent régulièrement examiner, vérifier, évaluer et contrôler les mécanismes algorithmiques, les modèles, les données et les résultats des applications, etc., et ne peuvent pas mettre en place des modèles algorithmiques qui violent les lois et règlements ou l'éthique et la morale, par exemple en conduisant les utilisateurs à la dépendance ou à la consommation excessive.

Article 10 : Les fournisseurs de services de recommandation algorithmique doivent renforcer la gestion des modèles d'utilisateur et des balises d'utilisateur et perfectionner les normes d'enregistrement des intérêts dans les modèles d'utilisateur et les normes de gestion des balises d'utilisateur. Ils ne peuvent pas saisir d'informations illégales ou nuisibles en tant que mots-clés dans les intérêts des utilisateurs ou les transformer en balises d'utilisateur afin de les utiliser comme base pour recommander des contenus d'information.

Article 12 : Les fournisseurs de services de recommandation algorithmique sont encouragés à utiliser de manière exhaustive des tactiques telles que la dé-pondération du contenu, les interventions sur la diffusion ("scattering interventions"), etc., et à optimiser la transparence et la compréhensibilité de la recherche, du classement, de la sélection, des notifications push, de l'affichage et d'autres normes de ce type, afin d'éviter de créer une influence néfaste sur les utilisateurs, et de prévenir ou de réduire les controverses ou les litiges.

Article 13 : Lorsque les prestataires de services de recommandation algorithmique fournissent des services d'information sur Internet, ils doivent obtenir un permis de service d'information sur Internet conformément à la loi et normaliser leur déploiement de services de collecte, d'édition et de diffusion d'informations sur Internet, de services de partage et de services de plateforme de diffusion. Ils ne peuvent pas générer ou synthétiser de fausses informations, et ne peuvent pas diffuser des informations non publiées par des unités de travail dans le cadre déterminé par l'État. (ah bah oui on est en Chine hein, donc une "fake news" en Chine c'est une information dont la source n'est pas le parti communiste chinois 😉

Mais la partie la plus intéressante c'est probablement le "Chapitre 3" qui concerne la "protection des droits des utilisateurs".

Article 16 : Les fournisseurs de services de recommandation algorithmique doivent informer les utilisateurs de manière claire sur la situation des services de recommandation algorithmique qu'ils fournissent, et publier de manière appropriée les principes de base, les objectifs et les motifs, les principaux mécanismes opérationnels, etc. des services de recommandation algorithmique.

On est ici sur une sorte de RGPD étendu au-delà des données elles-mêmes.

Article 17 : Les fournisseurs de services de recommandation algorithmique doivent offrir aux utilisateurs le choix de ne pas cibler leurs caractéristiques individuelles, ou offrir aux utilisateurs une option pratique pour désactiver les services de recommandation algorithmique. Lorsque les utilisateurs choisissent de désactiver les services de recommandation algorithmique, le fournisseur de services de recommandation algorithmique doit immédiatement cesser de fournir les services correspondants. Les fournisseurs de services de recommandation algorithmique offrent aux utilisateurs des fonctions leur permettant de choisir ou de supprimer les balises d'utilisateur utilisées pour les services de recommandation algorithmique visant leurs caractéristiques personnelles. Lorsque les fournisseurs de services de recommandation algorithmique utilisent des algorithmes d'une manière qui crée une influence majeure sur les droits et les intérêts des utilisateurs, ils doivent fournir une explication et assumer la responsabilité correspondante conformément à la loi.

J'arrête ici la reprise de cet inventaire et vous renvoie à la traduction anglaise exhaustive originale effectuée par le groupe DigiChina de l'université de Stanford.

Alors certes, cette loi est "sans précédent". Mais l'idée d'une régulation forte, "à la Chinoise", portant sur le contrôle des acteurs privés d'un internet pourtant déjà plus que nulle part ailleurs sous contrôle ou sous surveillance de l'état et du parti communiste chinois, et qui cible spécifiquement les questions dites des algorithmes "de recommandation", doit nous amener à réfléchir.

Réfléchir autour de ces questions "d'algorithmes de recommandation" qui pour nous, occidentaux, constituent factuellement une opportunité marchande non seulement acceptée mais également présentée comme non-régulable ou non-négociable (sauf cas particuliers d'incitation à la haine), et qui, pour le gouvernement chinois, sont identifiés comme un risque majeur sur deux plans : celui d'une ingérence toujours possible d'acteurs privés dans l'accès et le contrôle de l'information, et celui d'une "rééducation" de la population qu'il s'agit de maintenir à distance d'une certaine forme de technologie présentée comme "addictive" et dangereuse par le régime en place.

Le paradoxe en résumé est le suivant : c'est l'état le plus autoritaire et le moins démocratique qui propose une feuille de route "intéressante" et en tout cas fortement contraignante pour parvenir à réglementer, à rendre publics et à désactiver les algorithmes de recommandation que les états les plus démocratiques et les plus libéraux sont incapables (ou refusent) de mettre en oeuvre. La Chine le fait dans une logique de contrôle total sur l'accès à l'information et sur l'environnement cognitif de son peuple ; les états démocratiques et libéraux occidentaux refusent ou sont incapables de le faire au prétexte de ne pas s'immiscer dans la gestion de l'accès (dérégulé) à l'information et de ne pas se voir accusés d'ingérence ou d'influence dans l'environnement cognitif de leurs populations.

Ce paradoxe, à vrai dire n'est en pas un. Les états autoritaires ou totalitaires ont toujours été de bien meilleurs "régulateurs" que les états libéraux. "Et alors ?" me direz-vous. Et alors l'enseignement de tout cela, c'est qu'en Chine comme en France, aux Etats-Unis comme en Russie, bien plus qu'une décision, bien plus qu'une itération, un algorithme (de recommandation ou d'autre chose) est au moins autant un fait social qu'un artefact technique calculatoire. Et qu'il ne peut être compris, régulé, rendu "transparent à l'inspection, prévisible pour ceux qu'ils gouvernent, et robuste contre toute manipulation" qu'au regard du régime politique dans lequel et pour lequel il est déployé et dans lequel il peut aussi être dévoyé.

Quand j'écris qu'un algorithme est un fait social, j'entends l'expression au sens ou Durkheim la définit :

"toute manière de faire, fixée ou non, susceptible d'exercer sur l'individu une contrainte extérieure; ou bien encore, qui est générale dans l'étendue d'une société donnée tout en ayant une existence propre, indépendante de ses diverses manifestations au niveau individuel." (Les règles de la méthode sociologique)

Et je pourrais même ajouter que les plateformes qui à la fois "portent" mais aussi "se résument" aux algorithmes qui les traversent sont, chacune, un fait social total au sens où Marcel Mauss le définit :

"c’est-à-dire qu’ils mettent en branle dans certains cas la totalité de la société et de ses institutions (potlatch, clans affrontés, tribus se visitant, etc.) et dans d’autres cas seulement un très grand nombre d’institutions, en particulier lorsque ces échanges et ces contrats concernent plutôt des individus."

Kate Crawford écrivait de l'IA qu'elle était fondamentalement "une industrie du calcul intensive et extractive qui sert les intérêts dominants." Les algorithmes ne sont pas autre chose. Si la Chine décide de réguler fortement et drastiquement les algorithmes (privés) de recommandation c'est parce qu'elle y voit une concurrence dans ses intérêts dominants qui sont ceux d'être en capacité de discipliner les corps dans l'espace social (numérique ou non). A l'inverse, si les états occidentaux avancent si peu et si mal dans la régulation de ces mêmes algorithmes de recommandation c'est parce que laisser les plateformes qui les portent et les déploient intervenir en concurrence des états est, du point de vue de ces mêmes états, un projet politique parfaitement cohérent et qui sert les desseins du libéralisme, c'est à dire d'une diminution de la part de l'état dans la puissance publique et le fait de faire de l'individu isolé, le seul standard et le seul idéal.

Facebook et l’algorithme du temps perdu

Olivier Ertzscheid26 juillet 2022

Facebook (désormais Meta) va – encore – changer d'algorithme. Ou plus exactement Facebook va (encore) changer la présentation et l'affectation que ce que nous y voyons. De ce qu'il nous laisse voir et entrevoir.

Il y a de cela quelques courtes années (2018), il opérait un changement présenté comme radical en annonçant vouloir davantage mettre en avant les contenus issus des publications de nos amis ainsi que de la dimension "locale" (ce qui se passe près de là où nous sommes géo-localisés). En France nous étions alors en plein mouvement des Gilets Jaunes et j'avais surnommé ce changement "l'algorithme des pauvres gens". Il fait aujourd'hui exactement … l'inverse.

Le 21 Juillet 2022 exactement, "Mark Méta Facebook Zuckerberg" annonce officiellement le déploiement d'une nouvelle version dans laquelle les publication de nos amis seront rassemblées dans un onglet qui ne sera plus celui de la consultation principale, laquelle sera toute entière trustée par les recommandations algorithmiques de contenus (notamment vidéos) n'ayant plus rien à voir avec nos cercles de socialisation hors le fait qu'ils y soient également exposés. C'est la "TikTokisation" de Facebook.

De l'algorithme des pauvres gens à celui … de la perte de temps.

Dans les mots choisis par Zuckerberg cela donne ceci :

"L'une des fonctionnalités les plus demandées pour Facebook est de faire en sorte que les gens ne manquent pas les publications de leurs amis. C'est pourquoi nous lançons aujourd'hui un onglet Flux dans lequel vous pouvez voir les publications de vos amis, groupes, pages et autres séparément, par ordre chronologique. L'application s'ouvrira toujours sur un flux personnalisé dans l'onglet Accueil, où notre moteur de découverte vous recommandera le contenu qui, selon nous, vous intéressera le plus. Mais l'onglet Flux vous permettra de personnaliser et de contrôler davantage votre expérience."

A la recherche de l'algorithme du temps perdu. Proust était à la recherche d'une vérité sentimentale, personnelles, mémorielle, qui n'était activable que dans les souvenirs d'un temps "perdu" ; Zuckerberg est à la recherche d'une vérité de l'assignation scopique et cognitive qui n'est activable que dans la prolifération instrumentale de contenus fabriqués pour nous faire oublier qu'il est un temps en dehors de celui du défilement infini.

Les raisons de ce changement sont assez simples. Il s'agit de toujours davantage valoriser des contenus "recommandés" par une "intelligence artificielle" (en fait un algorithme statistique entraîné et nourri par des méthodes d'apprentissage "profond"), contenus suffisamment thématisés pour avoir l'air personnalisés et suffisamment généralistes pour s'affilier au maximum de profils possibles. La normalisation alors produite opère une maximisation des rendements publicitaires : tout le monde voit peu ou prou la même chose tout en étant convaincu de ne voir que des recommandations personnalisées.

L'algorithmie selon Facebook (mais aussi selon Instagram, TikTok, Snapchat, et l'ensemble des réseaux et médias sociaux de masse), c'est la conjugaison parfaite de l'effet Barnum (biais cognitif induisant toute personne à accepter une vague description de la personnalité comme s'appliquant spécifiquement à elle-même) et de la kakonomie ("l'étrange mais très largement partagée préférence pour des échanges médiocres tant que personne ne trouve à s'en plaindre").

Effet Barnum et kakonomie auxquels il faut ajouter ce que l'on pourrait appeler, en s'inspirant de la théorie de Mark Granovetter, la force des recommandations faibles.

La force des recommandations faibles.

Facebook et les autres réseaux sociaux nous bassinent en affirmant que leurs "recommandations" sont toujours plus fines, plus précises, et plus personnalisées. La réalité est qu'elles sont toujours plus massives, toujours plus consensuelles, et toujours plus stéréotypiques. Pour Mark Granovetter, dans son article, "la force des liens faibles", paru en 1973 :

"(…) un réseau se compose de liens forts et de liens faibles. La force des liens est caractérisée par la combinaison du temps passé ensemble, de l'intensité émotionnelle, de l'intimité et de la réciprocité du lien entre l'agent A et l'agent B. Les liens forts sont ceux que l'on a avec des amis proches (il s'agit de relations soutenues et fréquentes). Les liens faibles sont faits de simples connaissances. Les liens faibles sont dits "forts" dans la mesure où, s'ils sont diversifiés, ils permettent de pénétrer d'autres réseaux sociaux que ceux constitués par les liens forts."

La force des recommandations faibles permet, de la même manière, de diversifier nos pratiques de consultation et d'échange en ligne en jouant principalement sur les deux paramètres fondamentaux que sont le "temps passé" et "l'intensité émotionnelle". Mais cette diversification est instrumentale et biaisée car elle n'a pas vocation à nous permettre d'agir dans d'autres cercles sociaux par des jeux d'opportunité, mais au contraire de massifier et de densifier un seul cercle social d'audience qui regroupe l'ensemble de nos consultations périphériques pour en faire une norme garantissant le modèle économique des grandes plateformes numériques.

Ils ont (encore) changé l'algorithme !

Pourquoi tous ces changements ? Un algorithme dans un réseau social c'est un peu comme un produit ou un rayon dans un supermarché. De temps en temps il faut le changer de place pour que les gens perdent leurs habitudes, traînent davantage et perdent du temps à la recherche de leurs produits et rayons habituels, et tombent si possible sur des produits et rayons … plus chers. Mais également pour que dans cette errance artificielle ils soient tentés d'acheter davantage. Tout le temps de l'errance est capitalisable pour de nouvelles fenêtres de sollicitations marchandes.

Or la question de l'urgence du changement est particulièrement d'actualité pour la firme qui risque pour la première fois de son histoire de perdre des parts de marché publicitaire, et qui, au cours des trois derniers mois de l'année dernière, avait annoncé qu'elle avait perdu des utilisateurs quotidiens pour la première fois en 18 ans d'histoire.

Dans une perspective historique plus large, il semble que la dimension conversationnelle tant vantée qui fut celle du web, puis des blogs, puis des marchés eux-mêmes (souvenez-vous du Cluetrain Manifesto), et enfin réseaux sociaux, soit arrivée à épuisement. Dans le meilleur des cas, elle a été remplacée par différents types de monologues autour desquels l'essentiel du dialogue se résume à des clics valant autant de claques tantôt approbatoires tantôt d'opprobre. Dans le pire des cas il s'agit de séquences formatées dont la potentialité virale est le seul attribut et dont se repaissent les promoteurs des "intelligences artificielles" dans leurs courses folles au nombre de vues et d'interactions pensées comme autant d'assignations.

Naturellement les conversations ne disparaissent jamais vraiment. Elles sont reléguées dans d'autres espaces numériques (quelques sites dédiés comme 4Chan et l'ensemble des application comme Messenger, WhatsApp, et tout ce que l'on nomme le Dark Social). Mais s'il fut un temps dans lequel l'enjeu des plateformes était de susciter des formes conversationnelles inédites et parfois complexes (des liens hypertextes aux trackbacks en passant pas les forums), l'enjeu n'est plus aujourd'hui que de susciter de stériles appétences pour le contenu suivant.

La part paradoxale de ces changements d'algorithmes ou d'interfaces (ou des deux à la fois) est qu'ils nous renvoient toujours à nos propres pondérations, à nos propres immobilismes, à nos propres routines, à nos propres habitus. Ce n'est pas l'algorithme qui change, c'est l'algorithme qui veut que nous changions. L'autre face sombre de ces changements réside, c'est désormais acquis, davantage dans ce qu'ils tendent à masquer à obscurcir et à ne plus faire voir, qu'à la loi de puissance qui veut qu'une part toujours plus congrue de contenus récolte une part toujours plus massive de visibilité et d'interactions.

Activation des appareils à distance, les dangers de l’article 3 du projet de loi justice

Le projet de réforme de la justice d’Éric Dupond-Moretti sera examiné ce mardi par la Chambre haute. Pourtant, l’article 3 fait débat, nous explique Vincent Nioré, vice-bâtonnier du barreau de Paris.
Publié le Mardi 13 juin 2023 Eugénie Barbezat

Le projet de réforme de la justice d’Éric Dupond-Moretti sera examiné ce mardi par la Chambre haute. Pourtant, l’article 3 fait débat, nous explique Vincent Nioré, vice-bâtonnier du barreau de Paris.

Avec l’argument de «limiter les risques pris par les enquêteurs» et de «s’adapter aux évolutions de la délinquance», l’article 3 du projet de loi d’Éric Dupond-Moretti prévoit d’autoriser le déclenchement à distance des micros et caméras des téléphones, ordinateurs et autres appareils connectés, à l’insu des personnes visées.

Déjà utilisée par les services de renseignements, cette technique, dont le fonctionnement est couvert par le secret-défense, serait autorisée dans les affaires de terrorisme, de délinquance et de criminalité organisées. Une dérive dangereuse, alerte Me Vincent Nioré, vice-­bâtonnier du barreau de Paris et cosignataire d’un rapport du Conseil de l’ordre, qui voit dans cette disposition une atteinte grave au respect de la vie privée, au secret professionnel et aux droits de la défense.

Quel danger pointez-vous avec l’article 3 de la loi justice ?

La chancellerie souhaite introduire dans notre droit de nouvelles techniques au service des enquêteurs, en l’occurrence l’activation à distance des appareils électroniques, et plus précisément des smartphones. Or, aujourd’hui, investiguer dans un téléphone portable équivaut à une perquisition et doit obéir à des règles très particulières. Pour les crimes et délits de droit commun, punis d’au moins cinq ans d’emprisonnement, il est prévu un système d’activation à distance, en vue de la localisation en temps réel du téléphone, à l’insu du possesseur ou du propriétaire.

En l’état, rien n’est précisé sur les conditions dans lesquelles les magistrats instructeurs ou les procureurs pourraient demander l’utilisation de cet outil au juge des libertés et de la détention (JLD). En matière de géolocalisation, la chambre criminelle de la Cour de cassation exige déjà la condition de l’existence d’un risque imminent de dépérissement des preuves ou d’atteinte grave aux personnes ou aux biens. On sait seulement que, dans le nouveau texte, la prohibition de l’activation à distance n’est formulée expressément que pour les députés, les sénateurs, les avocats et les magistrats.

Mais cela n’est pas le cas pour les journalistes, détenteurs du secret des sources. Par ailleurs, ne sont pas explicitement exemptés de collecte de données les lieux d’exercice protégés habituellement par les articles 56-1, 56-2, 56-3 et 56-5 du Code de procédure pénale que sont les cabinets d’avocats et les locaux de presse et de communication audiovisuelle, les études de notaire, d’huissier, les cabinets de médecin, les locaux de magistrat et d’arbitre… C’est une carence dangereuse.

Quelles conséquences pourrait avoir ce défaut de protection ?

Cette carence induit qu’il peut y avoir une violation du secret du délibéré du magistrat, du secret médical, du secret professionnel de l’avocat et, bien sûr, du secret des sources. Et ce risque de violation du secret est encore accru quand l’affaire concerne la criminalité organisée : une disposition de la loi prévoit ce même système d’activation à distance des appareils électroniques afin de permettre la captation de données, de sons et d’images dans les affaires plus lourdes. Il suffirait d’activer à distance, par exemple, le téléphone du client d’un avocat dans le cabinet de ce dernier pour que toute la conversation soit écoutée,­ y compris les propos de l’avocat, voire de confrères à proximité. C’est attentatoire au libre exercice des droits de la défense et au secret professionnel.

Il est pourtant déjà possible de placer des suspects sur écoute ou même d’installer des micros chez eux…

Aujourd’hui, l’article 706-96 du Code de procédure pénale prévoit la possibilité, en matière de criminalité organisée, de sonoriser un lieu privé pour y recueillir des paroles confidentielles, dans le cadre d’affaires très lourdes comme la traite d’êtres humains, différents crimes en bande organisée, la délinquance financière, le terrorisme, etc.

Les services de police peuvent ainsi placer des micros et des caméras dans un appartement, dans le cadre de l’enquête, avec l’autorisation du JLD, pour une période strictement limitée. C’est dans ce contexte que vient s’intégrer l’activation à distance des appareils électroniques. Ce procédé est, à mon sens, une mesure intrusive terrible. Mais, comme il est rendu possible par la technique, le législateur veut s’en emparer. Soit. Mais il faudrait alors des garanties très fortes pour protéger les libertés publiques quant aux conditions exigées pour cette activation et quant à la protection des lieux protégés et des personnes investies d’un secret.

Qu’est-ce qui pourrait être mis en place ?

Ce que nous voulons, c’est une prohibition de principe de la collecte pour ces personnes et ces lieux. Le secret des sources, le secret professionnel de l’avocat, le secret médical et celui du délibéré sont des valeurs fondamentales du respect de la démocratie judiciaire. Il faut que la chancellerie revoie sa copie, que je trouve déviante et attentatoire notamment à la vie professionnelle de l’avocat, du journaliste et à la vie privée d’une manière générale.

On ne retrouve pas, dans le projet de loi du gouvernement, les conditions exigées par la chambre criminelle en matière de géolocalisation, à savoir la description circonstanciée des faits et des raisons précises justifiant cette mesure par le magistrat qui réclame cette mise en place. Aujourd’hui, pour ordonner une perquisition dans un lieu protégé, un magistrat doit démontrer l’existence d’indices antérieurs de la participation du suspect à la réalisation d’une infraction.

Dans la nouvelle loi, aucune condition n’est exigée, il suffirait que ces mesures soient simplement réputées «utiles à l’enquête» pour que l’activation des téléphones puisse être mise en œuvre. Avec des risques de nullité, si les données collectées au moyen de cette activation à distance l’ont été dans un des lieux protégés que j’évoquais plus haut. Au final, cet article 3 est bien une disposition aussi scélérate que délétère.

Quels types d’abus redoutez-vous si ce texte était adopté ?

En pratique, nous, avocats pénalistes, savons déjà que, dans le cadre d’écoutes « classiques », il arrive que la conversation d’un avocat avec son client soit captée, retranscrite et versée dans une procédure à charge. L’avocat doit alors déposer une requête en nullité devant la chambre d’instruction. J’ai bien peur que la nouvelle loi ne sanctuarise cette dérive. Nous nous battrons de toutes nos forces pour qu’il n’en soit jamais ainsi.

Affaire du 8 décembre : le chiffrement des communications assimilé à un comportement terroriste

Cet article a été rédigé sur la base d’informations relatives à l’affaire dite du “8 décembre”1 dans laquelle 7 personnes ont été mises en examen pour « association de malfaiteurs terroristes » en décembre 2020. Leur procès est prévu pour octobre 2023. Ce sera le premier procès antiterroriste visant « l’ultragauche » depuis le fiasco de l’affaire Tarnac2.

L’accusation de terrorisme est rejetée avec force par les inculpé·es. Ces dernier·es dénoncent un procès politique, une instruction à charge et une absence de preuves. Ils et elles pointent en particulier des propos decontextualisés et l’utilisation à charge de faits anodins (pratiques sportives, numériques, lectures et musiques écoutées…)3. De son côté la police reconnaît qu’à la fin de l’instruction – et dix mois de surveillance intensive – aucun « projet précis » n’a été identifié4.

L’État vient d’être condamné pour le maintien à l’isolement du principal inculpé pendant 16 mois et dont il n’a été libéré qu’après une grève de la faim de 37 jours. Une seconde plainte, en attente de jugement, a été déposée contre les fouilles à nu illégales et répétées qu’une inculpée a subies en détention provisoire5.

De nombreuses personnalités, médias et collectifs leur ont apporté leur soutien6.

C’est dans ce contexte que nous avons été alerté du fait que, parmi les faits reprochés (pour un aperçu global de l’affaire, voir les références en notes de bas de page7), les pratiques numériques des inculpé·es, au premier rang desquelles l’utilisation de messageries chiffrées grand public, sont instrumentalisées comme autant de « preuves » d’une soi-disant « clandestinité » qui ne peut s’expliquer que par l’existence d’un projet terroriste.

Nous avons choisi de le dénoncer.

« Tous les membres contactés adoptaient un comportement clandestin, avec une sécurité accrue des moyens de communications (applications cryptées, système d’exploitation Tails, protocole TOR permettant de naviguer de manière anonyme sur internet et wifi public). »

DGSI

« L’ensemble des membres de ce groupe se montraient particulièrement méfiants, ne communiquaient entre eux que par des applications cryptées, en particulier Signal, et procédaient au cryptage de leurs supports informatiques […]. »

Juge d’instruction

Ces deux phrases sont emblématiques de l’attaque menée contre les combats historiques de La Quadrature du Net dans l’affaire du 8 décembre que sont le droit au chiffrement8 des communications9, la lutte contre l’exploitation des données personnelles par les GAFAM10, le droit à l’intimité et la vie privée ainsi que la diffusion et l’appropriation des connaissances en informatique11.

Mêlant fantasmes, mauvaise foi et incompétence technique, les éléments qui nous ont été communiqués révèlent qu’un récit policier est construit autour des (bonnes) pratiques numériques des inculpé·es à des fins de mise en scène d’un « groupuscule clandestin » et « conspiratif ».

Voici quelques-unes des habitudes numériques qui sont, dans cette affaire, instrumentalisées comme autant de « preuves » de l’existence d’un projet criminel12:

– l’utilisation d’applications comme Signal, WhatsApp, Wire, Silence ou ProtonMail pour chiffrer ses communications ;

– le recours à des outils permettant de protéger sa vie privée sur Internet comme un VPN, Tor ou Tails ;

– le fait de se protéger contre l’exploitation de nos données personnelles par les GAFAM via des services comme /e/OS, LineageOS, F-Droid ;

– le chiffrement de supports numériques ;

– l’organisation et la participation à des sessions de formation à l’hygiène numérique ;

– la simple détention de documentation technique.

Alors que le numérique a démultiplié les capacités de surveillance étatiques13, nous dénonçons le fait que les technologies qui permettent à chacun·e de rétablir un équilibre politique plus que jamais fragilisé soient associées à un comportement criminel à des fins de scénarisation policière.

Le chiffrement des communications assimilé à un signe de clandestinité

Loin d’être un aspect secondaire de l’affaire, le lien supposé entre pratiques numériques et terrorisme apparaît dans la note de renseignements à l’origine de toute cette affaire.

Dans ce document, par lequel la DGSI demande l’ouverture d’une enquête préliminaire, on peut lire : « Tous les membres contactés adoptaient un comportement clandestin, avec une sécurité accrue des moyens de communications (applications cryptées, système d’exploitation Tails, protocole TOR permettant de naviguer de manière anonyme sur internet et wifi public). »

Cette phrase apparaîtra des dizaines de fois dans le dossier. Écrite par la DGSI, elle sera reprise sans aucun recul par les magistrat·es, au premier titre desquels le juge d’instruction mais aussi les magistrat·es de la chambre de l’instruction et les juges des libertés et de la détention.

Durant la phase d’enquête, l’amalgame entre chiffrement et clandestinité est mobilisé pour justifier le déploiement de moyens de surveillance hautement intrusifs comme la sonorisation de lieux privés. La DGSI les juge nécessaires pour surveiller des « individus méfiants à l’égard du téléphone » qui « utilisent des applications cryptées pour communiquer ».

Après leurs arrestations, les mis·es en examen sont systématiquement questionné·es sur leur utilisation des outils de chiffrement et sommé·es de se justifier : « Utilisez-vous des messageries cryptées (WhatsApp, Signal, Telegram, ProtonMail) ? », « Pour vos données personnelles, utilisez-vous un système de chiffrement ? », « Pourquoi utilisez-vous ce genre d’applications de cryptage et d’anonymisation sur internet ? ». Le lien supposé entre chiffrement et criminalité est clair: « *Avez-vous fait des choses illicites par le passé qui nécessitaient d’utiliser ces chiffrements et protections ?* », « *Cherchez-vous à dissimuler vos activités ou avoir une meilleure sécurité ?* ». Au total, on dénombre plus de 150 questions liées aux pratiques numériques.

Et preuve de l’existence d’« actions conspiratives »

À la fin de l’instruction, l’association entre chiffrement et clandestinité est reprise dans les deux principaux documents la clôturant : le réquisitoire du Parquet national antiterroriste (PNAT) et l’ordonnance de renvoi écrite par le juge d’instruction.

Le PNAT consacrera un chapitre entier aux « moyens sécurisés de communication et de navigation » au sein d’une partie intitulée… « Les actions conspiratives ». Sur plus de quatre pages le PNAT fait le bilan des « preuves » de l’utilisation par les inculpé·es de messageries chiffrées et autres mesures de protection de la vie privée. L’application Signal est particulièrement visée.

Citons simplement cette phrase : « *Les protagonistes du dossier se caractérisaient tous par leur culte du secret et l’obsession d’une discrétion tant dans leurs échanges, que dans leurs navigations sur internet. L’application cryptée signal était utilisée par l’ensemble des mis en examen, dont certains communiquaient exclusivement [surligné dans le texte] par ce biais.* ».

Le juge d’instruction suivra sans sourciller en se livrant à un inventaire exhaustif des outils de chiffrement qu’ont « reconnu » – il utilisera abondamment le champ lexical de l’aveu – utiliser chaque mis·e en examen : « Il reconnaissait devant les enquêteurs utiliser l’application Signal », « X ne contestait pas utiliser l’application cryptée Signal », « Il reconnaissait aussi utiliser les applications Tails et Tor », « Il utilisait le réseau Tor […] permettant d’accéder à des sites illicites ».

Criminalisation des connaissances en informatique

Au-delà du chiffrement des communications, ce sont aussi les connaissances en informatique qui sont incriminées dans cette affaire : elles sont systématiquement assimilées à un facteur de « dangerosité ».

La note de la DGSI, évoquée ci-dessus, précise ainsi que parmi les « profils » des membres du groupe disposant des « compétences nécessaires à la conduite d’actions violentes » se trouve une personne qui posséderait de « solides compétences en informatique et en communications cryptées ». Cette personne et ses proches seront, après son arrestation, longuement interrogé·es à ce sujet.

Alors que ses connaissances s’avéreront finalement éloignées de ce qu’avançait la DGSI – elle n’est ni informaticienne ni versé·e dans l’art de la cryptographie – le juge d’instruction n’hésitera pas à inscrire que cette personne a « *installé le système d’exploitation Linux sur ses ordinateurs avec un système de chiffrement* ». Soit un simple clic sur « oui » quand cette question lui a été posée lors de l’installation.

La simple détention de documentation informatique est elle aussi retenue comme un élément à charge. Parmi les documents saisis suite aux arrestations, et longuement commentés, se trouvent des notes manuscrites relatives à l’installation d’un système d’exploitation grand public pour mobile dégooglisé (/e/OS) et mentionnant diverses applications de protection de la vie privée (GrapheneOS, LineageOS, Signal, Silence, Jitsi, OnionShare, F-Droid, Tor, RiseupVPN, Orbot, uBlock Origin…).

Dans le procès-verbal où ces documents sont analysés, un·e agent·e de la DGSI écrit que « ces éléments confirment [une] volonté de vivre dans la clandestinité. ». Le PNAT suivra avec la formule suivante : « Ces écrits constituaient un véritable guide permettant d’utiliser son téléphone de manière anonyme, confirmant la volonté de X de s’inscrire dans la clandestinité, de dissimuler ses activités […]. ».

Ailleurs, la DGSI écrira que « […] *la présence de documents liés au cryptage des données informatiques ou mobiles [dans un scellé]* » matérialisent « *une volonté de communiquer par des moyens clandestins.* ».

Et de leur transmission

L’incrimination des compétences informatiques se double d’une attaque sur la transmission de ces dernières. Une partie entière du réquisitoire du PNAT, intitulée « La formation aux moyens de communication et de navigation sécurisée », s’attache à criminaliser les formations à l’hygiène numérique, aussi appelées « Chiffrofêtes » ou « Cryptoparties ».

Ces pratiques collectives et répandues – que La Quadrature a souvent organisées ou relayées – contribuent à la diffusion des connaissances sur les enjeux de vie privée, de sécurisation des données personnelles, des logiciels libres et servent à la réappropriation de savoirs informatiques par toutes et tous.

Qu’est-il donc reproché à ce sujet dans cette affaire ? Un atelier de présentation de l’outil Tails, système d’exploitation grand public prisé des journalistes et des défenseurs·ses des libertés publiques. Pour le PNAT c’est lors de cette formation que « *X les a dotés de logiciels sécurisés et les a initiés à l’utilisation de moyens de communication et de navigation internet cryptés, afin de leur garantir l’anonymat et l’impunité* ». Le lien fait entre droit à la vie privée et impunité, corollaire du fantasme policier d’une transparence totale des citoyen·nes, a le mérite d’être clair.

Le PNAT ajoutera: « X ne se contentait pas d’utiliser ces applications [de protection de la vie privée], il apprenait à ses proches à le faire ». Phrase qui sera reprise, mot pour mot, par le juge d’instruction.

Pire, ce dernier ira jusqu’à retenir cette formation comme un des « *faits matériels* » caractérisant « *la participation à un groupement formé* […] *en vue de la préparation d’actes de terrorisme* », tant pour la personne l’ayant organisé – « en les formant aux moyens de communication et de navigation internet sécurisés » – que pour celles et ceux l’ayant suivi – « en suivant des formations de communication et de navigation internet sécurisés ».

De son côté, la DGSI demandera systématiquement aux proches des mis·es en examen si ces dernier·es leur avaient recommandé l’utilisation d’outils de chiffrement : « Vous ont-ils suggéré de communiquer ensemble par messageries cryptées ? », « C’est lui qui vous a demandé de procéder à l’installation de SIGNAL ? ».

Une réponse inspirera particulièrement le PNAT qui écrira : « *Il avait convaincu sa mère d’utiliser des modes de communication non interceptables comme l’application Signal.* »

« Êtes-vous anti-GAFA? »

Même la relation à la technologie et en particulier aux GAFAM – contre lesquels nous sommes mobilisés depuis de nombreuses années – est considérée comme un signe de radicalisation. Parmi les questions posées aux mis·es en examen, on peut lire : « Etes-vous anti GAFA ? », « Que pensez-vous des GAFA ? » ou encore « Eprouvez-vous une certaine réserve vis-à-vis des technologies de communication ? ».

Ces questions sont à rapprocher d’une note de la DGSI intitulée « La mouvance ultra gauche » selon laquelle ses « membres » feraient preuve « d’une grand culture du secret […] et une certaine réserve vis-à-vis de la technologie ».

C’est à ce titre que le système d’exploitation pour mobile dégooglisé et grand public /e/OS retient particulièrement l’attention de la DGSI. Un SMS intercepté le mentionnant sera longuement commenté. Le PNAT indiquera à son sujet qu’un·e inculpé·e s’est renseigné·e à propos d’un « nouveau système d’exploitation nommé /e/ […] garantissant à ses utilisateurs une intimité et une confidentialité totale ».

En plus d’être malhonnête – ne pas avoir de services Google n’implique en rien une soi-disante « confidentialité totale » – ce type d’information surprend dans une enquête antiterroriste.

Une instrumentalisation signe d’incompétence technique ?

Comment est-il possible qu’un tel discours ait pu trouver sa place dans un dossier antiterroriste ? Et ce sans qu’aucun des magistrat·es impliqué·es, en premier lieu le juge d’instruction et les juges des libertés et de la détention, ne rappelle que ces pratiques sont parfaitement légales et nécessaires à l’exercice de nos droits fondamentaux ? Les différentes approximations et erreurs dans les analyses techniques laissent penser que le manque de compétences en informatique a sûrement facilité l’adhésion générale à ce récit.

À commencer par celles de la DGSI elle-même, dont les rapports des deux centres d’analyses techniques se contredisent sur… le modèle du téléphone personnel du principal inculpé.

Quant aux notions relatives au fonctionnement de Tor et Tails, bien qu’au centre des accusations de « clandestinité », elles semblent bien vagues.

Un·e agent·e de la DGSI écrira par exemple, semblant confondre les deux : « *Thor* [sic] *permet de se connecter à Internet et d’utiliser des outils réputés de chiffrement de communications et des données. Toutes les données sont stockées dans la mémoire RAM de l’ordinateur et sont donc supprimées à l’extinction de la machine* ». Ne serait-ce pas plutôt à Tails que cette personne fait allusion?

Quant au juge d’instruction, il citera des procès verbaux de scellés relatifs à des clés Tails, qui ne fonctionnent pas sur mobile, comme autant de preuves de connaissances relatives à des « techniques complexes pour reconfigurer son téléphone afin de le rendre anonyme ». Il ajoutera par ailleurs, tout comme le PNAT, que Tor permet de « naviguer anonymement sur internet grâce au wifi public » – comme s’il pensait qu’un wifi public était nécessaire à son utilisation.

La DGSI, quant à elle, demandera en garde à vue les « identifiants et mots de passe pour Tor » – qui n’existent pas – et écrira que l’application « Orbot », ou « Orboot » pour le PNAT, serait « un serveur ‘proxy’ TOR qui permet d’anonymiser la connexion à ce réseau ». Ce qui n’a pas de sens. Si Orbot permet bien de rediriger le trafic d’un téléphone via Tor, il ne masque en rien l’utilisation faite de Tor14.

Les renseignements intérieurs confondent aussi Tails avec le logiciel installé sur ce système pour chiffrer les disques durs – appelé LUKS – lorsqu’elle demande: « Utilisez vous le système de cryptage “Tails” ou “Luks” pour vos supports numériques ? ». S’il est vrai que Tails utilise LUKS pour chiffrer les disques durs, Tails est un système d’exploitation – tout comme Ubuntu ou Windows – et non un « système de cryptage ». Mentionnons au passage les nombreuses questions portant sur « les logiciels cryptés (Tor, Tails) ». Si Tor et Tails ont bien recours à des méthodes chiffrement, parler de « logiciel crypté » dans ce contexte n’a pas de sens.

Notons aussi l’utilisation systématique du terme « cryptage », au lieu de « chiffrement ». Si cet abus de langage – tel que qualifié par la DGSI sur son site – est commun, il trahit l’amateurisme ayant conduit à criminaliser les principes fondamentaux de la protection des données personnelles dans cette affaire.

Que dire enfin des remarques récurrentes du juge d’instruction et du PNAT quant au fait que les inculpé·es chiffrent leurs supports numériques et utilisent la messagerie Signal ?

Savent-ils que la quasi-totalité des ordinateurs et téléphones vendus aujourd’hui sont chiffrés par défaut15? Les leurs aussi donc – sans quoi cela constituerait d’ailleurs une violation du règlement européen sur la protection des données personnelles16.

Quant à Signal, accuseraient-ils de clandestinité la Commission Européenne qui a, en 2020, recommandé son utilisation à son personnel17**?** Et rangeraient-ils du côté des terroristes le rapporteur des nations Unies qui rappelait en 2015 l’importance du chiffrement pour les droits fondamentaux18 ? Voire l’ANSSI et la CNIL qui, en plus de recommander le chiffrement des supports numériques osent même… mettre en ligne de la documentation technique pour le faire19 ?

En somme, nous ne pouvons que les inviter à se rendre, plutôt que de les criminaliser, aux fameuses « Chiffrofêtes » où les bases des bonnes pratiques numériques leur seront expliquées.

Ou nécessité d’un récit policier ?

Si un tel niveau d’incompétence technique peut permettre de comprendre comment a pu se développer un fantasme autour des pratiques numériques des personnes inculpé·es, cela ne peut expliquer pourquoi elles forment le socle du récit de « clandestinité » de la DGSI.

Or, dès le début de l’enquête, la DGSI détient une quantité d’informations considérables sur les futur·es mis·es en examen. À l’ère numérique, elle réquisitionne les données détenues par les administrations (Caf, Pôle Emploi, Ursaff, Assurance-Maladie…), consulte les fichiers administratifs (permis de conduire, immatriculation, SCA, AGRIPPA), les fichiers de police (notamment le TAJ) et analyse les relevés téléphoniques (fadettes). Des réquisitions sont envoyées à de nombreuses entreprises (Blablacar, Air France, Paypal, Western Union…) et le détail des comptes bancaires est minutieusement analysé20.

À ceci s’ajoutent les informations recueillies via les mesures de surveillances ayant été autorisées – comptant parmi les plus intrusives que le droit permette tel la sonorisation de lieux privés, les écoutes téléphoniques, la géolocalisation en temps réel via des balises gps ou le suivi des téléphones, les IMSI catcher – et bien sûr les nombreuses filatures dont font l’objet les « cibles ».

Mais, alors que la moindre interception téléphonique évoquant l’utilisation de Signal, WhatsApp, Silence ou Protonmail fait l’objet d’un procès-verbal – assorti d’un commentaire venant signifier la « volonté de dissimulation » ou les « précautions » témoignant d’un « comportement méfiant » – comment expliquer que la DGSI ne trouve rien de plus sérieux permettant de valider sa thèse parmi la mine d’informations qu’elle détient ?

La DGSI se heurterait-elle aux limites de son amalgame entre pratiques numériques et clandestinité ? Car, de fait, les inculpé·es ont une vie sociale, sont déclarées auprès des administrations sociales, ont des comptes bancaires, une famille, des ami·es, prennent l’avion en leur nom, certain·es travaillent, ont des relations amoureuses…

En somme, les inculpé·es ont une vie « normale » et utilisent Signal. Tout comme les plus de deux milliards d’utilisateurs et utilisatrices de messageries chiffrées dans le monde21. Et les membres de la Commission européenne…

Chiffrement et alibi policier

La mise en avant du chiffrement offre un dernier avantage de choix au récit policier. Elle sert d’alibi pour expliquer l’absence de preuves quant à l’existence d’un soi-disant projet terroriste. Le récit policier devient alors : ces preuves existent, mais elles ne peuvent pas être déchiffrées.

Ainsi le juge d’instruction écrira que si les écoutes téléphoniques n’ont fourni que « quelques renseignements utiles », ceci s’explique par « l’usage minimaliste de ces lignes » au profit d’« applications cryptées, en particulier Signal ». Ce faisant, il ignore au passage que les analyses des lignes téléphoniques des personnes inculpées indiquent une utilisation intensive de SMS et d’appels classiques pour la quasi-totalité d’entre elles.

Ce discours est aussi appliqué à l’analyse des scellés numériques dont l’exploitation n’amène pas les preuves tant espérées. Suite aux perquisitions, la DGSI a pourtant accès à tout ou partie de six des sept téléphones personnels des inculp·ées, à cinq comptes Signal, à la majorité des supports numériques saisis ainsi qu’aux comptes mails et réseaux sociaux de quatre des mis·es en examen. Soit en tout et pour tout des centaines de gigaoctets de données personnelles, de conversations, de documents. Des vies entières mises à nu, des intimités violées pour être offertes aux agent·es des services de renseignements.

Mais rien n’y fait. Les magistrat·es s’attacheront à expliquer que le fait que trois inculpé·es refusent de fournir leurs codes de déchiffrement – dont deux ont malgré tout vu leurs téléphones personnels exploités grâce à des techniques avancées – entrave « le déroulement des investigations » et empêche « de caractériser certains faits ». Le PNAT ira jusqu’à regretter que le refus de communiquer les codes de déchiffrement empêche l’exploitation… d’un téléphone cassé et d’un téléphone non chiffré. Après avoir tant dénoncé le complotisme et la « paranoïa » des inculpé·es, ce type de raisonnement laisse perplexe22.

Antiterrorisme, chiffrement et justice préventive

Il n’est pas possible de comprendre l’importance donnée à l’association de pratiques numériques à une soi-disant clandestinité sans prendre en compte le basculement de la lutte antiterroriste « d’une logique répressive à des fins préventives »23 dont le délit « d’association de malfaiteurs terroristes en vue de » (AMT) est emblématique24. Les professeur·es Julie Alix et Oliver Cahn25 évoquent une « métamorphose du système répressif » d’un droit dont l’objectif est devenu de « faire face, non plus à une criminalité, mais à une menace ».

Ce glissement vers une justice préventive « renforce l’importance des éléments recueillis par les services de renseignements »26 qui se retrouvent peu à peu libres de définir qui représente une menace « selon leurs propres critères de la dangerosité »27.

Remplacer la preuve par le soupçon, c’est donc substituer le récit policier aux faits. Et ouvrir la voie à la criminalisation d’un nombre toujours plus grands de comportements « ineptes, innocents en eux-mêmes »28 pour reprendre les mots de François Sureau. Ce que critiquait déjà, en 1999, la Fédération internationale des droits humains qui écrivait que « n’importe quel type de “preuve”, même insignifiante, se voit accorder une certaine importance »29.

Et c’est exactement ce qu’il se passe ici. Des habitudes numériques répandues et anodines sont utilisées à charge dans le seul but de créer une atmosphère complotiste supposée trahir des intentions criminelles, aussi mystérieuses soient-elles. Atmosphère dont tout laisse à penser qu’elle est, justement, d’autant plus nécessaire au récit policier que les contours des intentions sont inconnus.

À ce titre, il est particulièrement frappant de constater que, si la clandestinité est ici caractérisée par le fait que les inculpé·es feraient une utilisation « avancée » des outils technologiques, elle était, dans l’affaire Tarnac, caractérisée par le fait… de ne posséder aucun téléphone portable30. Pile je gagne, face tu perds31.

Toutes et tous terroristes

À l’heure de conclure cet article, l’humeur est bien noire. Comment ne pas être indigné·e par la manière dont sont instrumentalisées les pratiques numériques des inculpé·es dans cette affaire ?

Face au fantasme d’un État exigeant de toute personne une transparence totale au risque de se voir désignée comme « suspecte », nous réaffirmons le droit à la vie privée, à l’intimité et à la protection de nos données personnelles. Le chiffrement est, et restera, un élément essentiel pour nos libertés publiques à l’ère numérique.

Soyons clair: cette affaire est un test pour le ministère de l’intérieur. Quoi de plus pratique que de pouvoir justifier la surveillance et la répression de militant·es parce qu’ils et elles utilisent WhatsApp ou Signal?

Auditionné par le Sénat suite à la répression de Sainte-Soline, Gérald Darmanin implorait ainsi le législateur de changer la loi afin qu’il soit possible de hacker les portables des manifestant·es qui utilisent « Signal, WhatsApp, Telegram » en des termes sans équivoque: « Donnez-nous pour la violence des extrêmes les mêmes moyens que le terrorisme ».

Pour se justifier, il avançait qu’il existe « une paranoia avancée très forte dans les milieux d’ultragauche […] qui utilisent des messageries cryptées » ce qui s’expliquerait par une « culture du clandestin ». Un véritable copier-coller de l’argumentaire policier développé dans l’affaire du 8 décembre. Affaire qu’il citera par ailleurs – au mépris de toute présomption d’innocence – comme l’exemple d’un « attentat déjoué » de « l’ultragauche »32 pour appuyer son discours visant à criminaliser les militant·es écologistes.

Voici comment la criminalisation des pratiques numériques s’inscrit dans la stratégie gouvernementale de répression de toute contestation sociale. Défendre le droit au chiffrement, c’est donc s’opposer aux dérives autoritaires d’un pouvoir cherchant à étendre, sans fin, les prérogatives de la lutte « antiterroriste » *via* la désignation d’un nombre toujours plus grand d’ennemis intérieurs33.

Après la répression des personnes musulmanes, des « écoterroristes », des « terroristes intellectuels », voici venu la figure des terroristes armé·es de messageries chiffrées. Devant une telle situation, la seule question qui reste semble être : « Et toi, quel·le terroriste es-tu ? ».