“Les données personnelles sont le nouveau pétrole de l’internet”. Et pourquoi pas aussi le levier d’une nouvelle fiscalité en France ? Selon nos informations, la mission chargée de réfléchir à une “fiscalité du numérique” et baptisée “Colin et Collin” du nom de ses deux auteurs, s’oriente vers une imposition déterminée par la politique des entreprises en matière de données personnelles. Qui dépasse donc largement le seul secteur numérique.

Coup de tonnerre pour tous ceux qui se frottaient déjà les mains à l’idée de prélever les seuls “GAFA” (Google, Amazon, Facebook et Apple), championnes de l’optimisation fiscale : le projet des deux rapporteurs impliquerait en effet toutes les firmes qui disposent d’informations sur leurs utilisateurs. Au-delà des géants du web, EDF, GDF, La Poste mais aussi les banques, les assurance ou les groupes de distribution alimentaire… bref ! toute activité suivant de près les faits et gestes de sa clientèle.

Une idée originale dans le débat plus connu sous le sobriquet réducteur mais significatif de “Taxe Google” et sur lequel nombre se sont déjà cassés les dents. Et qui ouvre autant de perspectives que d’interrogations, en matière de compétitivité comme de protection des données.

Fiscalité des données

Le principe est simple : plus l’entreprise met à disposition les données qu’elle récolte, moins elle est taxée.

Le tout, sous contrôle de l’utilisateur. Qui pourrait ainsi accéder librement et par lui-même aux nombreuses informations laissées aux services auquel il souscrit. Cartes de fidélité, comptes bancaires, relevés de consommation électriques ou de gaz : les exemples ne manquent pas. Et alimentent déjà de nombreuses réflexions. “Smart Disclosure” aux États-Unis, “MiData” outre-Manche ou “Mes Infos” en France : tous ces mouvement visent à instaurer le partage des données personnelles. La FING, qui pilote le projet par chez nous, le résume en ces termes :

Si j’ai une information sur vous, vous l’avez aussi. Et vous en faites ce que vous voulez.

Le “customer empowerment” (donner davantage de pouvoir au consommateur) a donc déjà fait son petit bonhomme de chemin, sans jamais servir néanmoins de terreau fiscal. C’est là que la mission Colin et Collin intervient.

Car son intérêt n’est pas là – même si elle pourra toujours s’appuyer, dans l’avenir, sur cet argument séduisant d’un open data citoyen et personnalisé. Son objectif est d’abord de repérer de la valeur. Et de l’imposer. C’est le deuxième volet de la démarche : l’espoir que cette ouverture des données génère de l’innovation. Que des entreprises se saisissent de l’opportunité pour créer de nouveaux services. De la même manière qu’on installe une application tierce utilisant Facebook, l’utilisateur pourrait par exemple autoriser que des boîtes exploitent le volume de leur consommation de gaz ou la composition de leur caddy après passage en grande surface. L’objectif d’une telle imposition serait donc incitatif, à l’instar des taxes liées à l’environnement.

Un terrain à creuser, pour y trouver un véritable filon. Pour beaucoup, la manne serait gigantesque : “28 milliards de dollars (22 milliards d’euros) [selon] le cabinet Gartner pour 2012, et 36 milliards pour 2013″ souligne Julie Battilana, professeure associée à la Harvard Business School, dans un article paru il y a peu dans Le Monde et qui se penchait précisément sur la “mine d’or du Big Data”. Même son de cloche du côté du cabinet McKinsey, souvent cité en la matière, qui y voit “la prochaine frontière pour l’innovation, la compétition et la productivité”.

e-TVA

Un modèle qui aurait en plus l’avantage de s’étendre : si Facebook, Twitter, Google et consorts en font d’ores et déjà leurs fonds de commerce, l’ensemble des secteurs économiques exploitent aussi d’immenses bases de données, issues de leur clientèle.

Autant dire que si elle se concrétise, la piste privilégiée par la mission fiscalité numérique frappera un grand coup. A la manière de la TVA, dont se réclamait récemment l’un de ses rapporteurs, Nicolas Colin, dans les pages de Telerama :

Dans les années 1950, face à la complexification des échelles de production, on a créé la TVA, un impôt complètement nouveau. Aujourd’hui, c’est celui qui rapporte le plus d’argent à l’Etat. Il nous faut quelque chose d’aussi structurant.

Contacté par Owni, l’énarque refuse de communiquer avant toute publication du rapport. Mais le sujet ne lui est pas étranger. Bien au contraire.

Dans L’Âge de la multitude, co-écrit avec l’entrepreneur Henri Verdier, Nicolas Colin tentait déjà de trouver “la définition d’une fiscalité propre à l’économie de la multitude”. Autrement dit de cette masse d’individus connectés dont les créations et les interactions sont présentées comme générateurs de la précieuse “la valeur” :

[...] un État est fondé à imposer les revenus issus de l’activité en ligne de la multitude qui réside sur son territoire. Il s’agit d’une sorte d’impôt sur la multitude : un impôt sur la valeur créée par les résidents sur le territoire mais captée par une entreprise privée.

Pas gagné

CQFD. En ce qui concerne l’idée. En pratique, la suggestion d’une fiscalité des données risque d’être consciencieusement bousculée si elle se confirme lors du dépôt des conclusions de la mission, en décembre prochain.

Les détails de sa mise en œuvre, en particulier, risquent de compliquer la tâche. “L’esprit de la démarche est ambitieux et pertinent mais l’application me semble très complexe”, confiait un proche du dossier à Owni. Comment mesurer l’ouverture des entreprises ? La taxe va-t-elle être calculée en fonction de cette ouverture ou en fonction du nombre d’utilisateurs du service ? Les interrogations pratiques sont légion.

L’impact, au-delà des frontières du web, risque aussi de faire des vagues. Pas sûr que les entreprises françaises apprécient d’être enrôlées dans une réflexion lancée pour tacler en priorité les Yankees du Net. Surtout qu’il s’agit ici d’ouvrir le porte-monnaie. Et que le climat actuel est plus propice à une guerre de territoires et d’influence, chaque secteur cherchant à reporter sur le voisin la charge de son financement. C’est particulièrement vrai pour la culture ou les fournisseurs d’accès à Internet (FAI), mais ça l’est aussi pour la presse, qui cherche à ponctionner une partie du trésor de Google.

Reste aussi à savoir ce qu’en pense l’une des principales concernées par le sujet, à savoir la Cnil. Car qui dit “données personnelles” dit supervision de la gardienne de la vie privée. Gardienne qui, toujours selon nos informations, n’auraient pas encore eu la possibilité d’échanger avec la mission fiscalité numérique sur des pistes qui la concernent pourtant au premier plan. Et qui nécessiteraient, si elles sont appliquées, une sérieuse révision de ses moyens. Contactée par Owni, la Cnil n’a pas donné suite à nos sollicitations.

Il y a quelques jours, la Présidente de l’institution, Isabelle Falque-Pierrotin déclarait néanmoins dans une table ronde organisée par Google : “les données, c’est le carburant de l’économie numérique”. Signe que la Cnil prend en compte le potentiel compétitif des données. Et que la porte n’est donc pas complètement fermée aux propositions de la mission Colin et Collin.

Ce que je suggérerais – et ce que je vais suggérer à Google et à la presse – est de commencer la négociation, de commencer des discussions pour peut-être trois mois, et d’essayer de trouver un accord sur la base d’une négociaition.

Google se paie la presse

C'est la guerre ! Face au projet de loi de certains éditeurs de presse qui souhaitent faire payer Google dès qu'il ...

Fleur Pellerin exprime donc son intention de garder la main sur un dossier disputé du côté de la Culture par sa collègue Aurélie Filippetti, a priori responsable de la presse. Et confirme que les deux femmes, déjà peu en phase lors de la campagne présidentielle, ne s’accordent pas sur le sujet.

Fin de semaine dernière, la ministre de la Culture confirmait en effet son vif intérêt pour un projet de loi écrit par une association d’éditeurs de presse, qui milite pour faire payer Google à chaque signalement dans ses services (Google Actu, moteur de recherche) d’un article. Dispositif contesté et complexe qui passe par une extension du droit d’auteur au bénéfice des titres français.

Hasard du calendrier, la déclaration d’Aurélie Filippetti avait été suivie par la fuite dans l’AFP d’une note de Google adressée aux ministères concernées par ce dispositif. Le géant américain expliquait alors :

Google ne peut accepter que l’instauration d’un droit voisin pour le référencement de sites de presse français mette en cause son existence même et serait en conséquence contraint de ne plus référencer les sites français.

La guerre de tranchées qui s’en était suivie devrait d’ailleurs connaître un nouveau rebondissement dès la semaine prochaine : le big boss de Google est en effet annoncé à Paris le 29 octobre. Là encore, c’est Fleur Pellerin qui a lâché le morceau.

Éric Schmidt rencontrera François Hollande, pour échanger sur ce projet de loi, mais également plusieurs affaires en cours, notamment sur les données personnelles. Si Google n’a jamais communiqué sur le sujet, le rendez-vous n’en était pas moins prévu de longue date et s’intègre dans une tournée du patron de Google en Europe.

Lex Google pour les nuls

Si les éditeurs de presse français n'ont pas encore déclaré officiellement la guerre à Google, le manège y ressemble. ...

Interrogé par Owni, le géant américain déclare qu’“en tant que Président Exécutif de Google, Eric Schmidt rencontre régulièrement des dirigeants nationaux et des membres de gouvernements. Cela fait partie intégrante de son travail.” Manière polie de remettre les choses à leur place.

En attendant, le camp d’en face ne lâche rien. Les éditeurs de presse français, italiens et allemands se sont réunis il y a deux jours à Rome pour “soutenir les projets législatifs dans le domaine de la propriété intellectuelle” indique l’AFP. Dans le but “d’accroître la compétitivité de la presse numérique et d’assurer à tous les citoyens le libre accès à des informations de qualité”.

La France y était représentée par l’association de la presse d’information politique et générale (IPG). Cette même association qui a poussé auprès du gouvernement le projet de loi qui a mis le feu à la poudrière Internet.

Le 13 juillet dernier, la Cnil a publié au Journal officiel une délibération dispensant de déclaration les fichiers locaux des établissements scolaires du secondaire du public et du privé. Il s’agit de la 17^ème dispense délivrée par l’autorité administrative chargé de veiller à l’application de la loi Informatique et Libertés de 1978. Ces fichiers, aux jolis noms de SACOCHE, PRONOTE, OTM ou CERISE, contiennent un certain nombre de données personnelles sensibles :

nom, prénoms, sexe, date et lieu de naissance, adresse, adresse électronique de l’élève fournie par l’établissement, nombre de frères et sœurs scolarisés, et, à titre facultatif et uniquement si l’intéressé y consent : la nationalité (uniquement en vue de l’établissement par le ministère de traitements statistiques anonymes), l’adresse électronique personnelle de l’élève, le numéro de téléphone portable de l’élève. [...]

Scolarité de l’élève : établissement d’origine, classe, groupe, division fréquentés et options suivies pendant l’année scolaire en cours et l’année scolaire antérieure, année d’entrée dans l’établissement, diplômes obtenus, position (non-redoublant, redoublant, triplant), décision d’orientation et décision d’affectation, notes, acquis au sens du décret n° 2007-860 du 14 mai 2007 relatif au livret personnel de compétences, noms des enseignants, absences, sanctions disciplinaires, vœux d’orientation ;

“Une consultation rapide des autres dispenses fait apparaître le contraste entre le champ couvert par la 17^ème dispense par rapport aux autres, note un membre du Collectif national de résistance à Base élèves (CNRB), qui s’oppose au fichage des élèves : le fichier électoral des communes, les listes de fournisseurs d’une entreprise, liste des abonnés à une revue, liste des chambre d’hôtes, etc. Tout ceci me semble anodin quant aux contenus donc aux atteintes possibles à la vie privée et aux libertés. Certes, tout ceci ne doit servir qu’en interne aux établissements mais quand même.”

Toutes ces données iront ensuite alimenter des fichiers nationaux dont le très polémique BE1D (base élèves premier degré). Interrogée par Owni, la Cnil a répondu qu’elle n’y voyait pas de problème :

Jusqu’à l’adoption de cette dispense, les établissements scolaires devaient adresser une déclaration à la CNIL qui donnait lieu à l’envoi d’un récépissé après vérification du caractère complet du dossier. Cela générait un flux important pour la CNIL sur des traitements connus par elle et soulevant peu de problématiques juridiques.
Dès lors, la CNIL a souhaité adopter une dispense actualisée et pédagogique, qui responsabilise davantage le responsable de traitement en cas de contrôle, pousse les chefs d’établissements à vérifier avec plus d’acuité s’ils entrent ou non dans le cadre de ladite dispense, que ce soit en termes de données traitées, de destinataires ou de sécurité.

5 contrôles sur 11 300 établissements

Pourtant, la sécurité des fichiers scolaires a récemment été remise sur en cause. On avait pu voir trainer sur Internet des données nominatives sensibles tirées des dossiers AFFELNET d’affectation dans les collèges et les lycées, extraits de SCONET et BE1D :

Une fuite qui devrait inciter la Cnil à une vigilance renforcée. Interrogée à ce sujet, elle réaffirme la responsabilité des chefs d’établissement :

Être dispensé de déclaration n’exonère les établissements d’aucune de leurs obligations au titre de la loi informatique et libertés. En particulier, ils sont tenus de garantir la sécurité des données. Une série de contrôles a été effectuée en début d’année 2012 auprès de 5 collèges et lycées en ce sens.

Une responsabilisation qui amuse bien le membre du CNRBE :

C’est peu de dire que la loi “Informatique et Libertés” est peu connue des directions d’établissement (et même des rectorats). Jusqu’à cette dispense, je serais curieux de savoir combien de déclarations ont été faites par des établissements ou des rectorats, elles doivent être très rares. Dans ce contexte, la lecture rapide de la 17 va les confirmer dans l’idée qu’ils peuvent faire ce qu’ils veulent. Par exemple, communiquer des listes d’élèves selon leur adresse et leur établissement et leur classe au Conseil général pour organiser le transport scolaire. Ce n’est qu’implicitement que la 17 dit qu’elle ne s’applique pas à une telle fourniture : qui va le voir ?

Nous avons demandé à la Cnil le résultat du contrôle des 5 établissements, sur les quelque 11 300 que compte la France dans le secondaire, et sa réponse semble corroborer ces craintes :

Les contrôles menés en début d’année auprès de plusieurs collèges et lycées ont conduit la Commission à constater certaines insuffisances concernant :

- les formalités préalables que ces établissements doivent accomplir auprès de la CNIL ;
- l’information des élèves et de leur représentant légaux sur le traitement de leurs données et les droits dont ils disposent ;
- les mesures mises en œuvre par ces établissements pour assurer la sécurité des données traitées.

Il est vrai que les fichiers scolaires ne semblent pas la priorité de la Cnil. Ainsi, Base élève premier degré avait fonctionné plus d’un an sans attendre la délivrance du récépissé de la déclaration auprès de la Cnil, de 2004 à 2006, comme l’avait détaillé le Conseil d’État dans sa décision du 19 juillet 2010, suite à sa saisine par le CNRBE. Et le conseil des sages avait jugé excessive la durée de conservation de 35 ans des données dans Base Nationale des Identifiants Elèves (BNIE), un base nationale qui rassemble les immatriculations uniques de chaque élève depuis son entrée dans le système scolaire. Initialement, le ministère de l’Éducation nationale (MEN) souhaitait qu’elle soit de 40 ans, la Cnil avait tiqué, le MEN avait donc proposé 35 ans. Cette fois-ci, la Cnil n’avait plus tiqué.

Le 26 mai 2012, le gouvernement britannique devait mettre en application la transposition dans le droit anglais de la législation européenne sur la protection des données. Mais contre toute attente, le parlement a pourtant fait modifier le texte onze heures avant la date limite livrant une version qui devient beaucoup moins contraignante pour les éditeurs de sites web.

Alors que le texte précédent était basé sur de l’opt-in (le site devait obtenir le consentement préalable de l’internaute sur les cookies transitant par sa plateforme avant que les cookies ne puissent recueillir des informations) le texte remanié exige des sites qu’ils fassent des efforts en matière de clarté sur la nature des cookies transitant par leur plateforme. Il implique également que les internautes aient un “niveau de compréhension général” de ce qui est fait de leurs données personnelles lorsqu’ils arrivent sur une page.

Les systèmes existants auront donc simplement à “faire les changements qu’ils estiment être les plus pratiques” pour se mettre à niveau et être transparents sur leur politique en matière de confidentialité des données. Il pourra s’agir d’une icône sur laquelle cliquer, d’un e-mail envoyé, ou d’un service auquel l’internaute pourrait souscrire.

Dure loi des cookies

En Grande-Bretagne, les sites web affichant des bandeaux publicitaires encourent une amende de 500 000 livres. En France, ...

Le texte insiste par ailleurs sur l’importance de l’information procurée à l’utilisateur. Il indique que ce dernier doit être pleinement informé du fait qu’une simple lecture des informations sur la politique de gestion des cookies par le site peut valoir consentement.

En d’autres termes, un site peut au minimum afficher une note d’information renvoyant vers une explication précise des buts de chaque cookie en activité. Cette note d’information censée être visible agit comme un faire valoir et suppose que l’internaute anglais accepte les conditions du site en matière de vie privée même s’il ne l’a pas lue.

Dans le meilleur des cas, le site demandera explicitement à l’internaute s’il accepte ou refuse les cookies. La loi n’est cependant pas claire sur cet accord potentiel de l’utilisateur. On peine à savoir si le consentement concernera les cookies dans leur intégralité ou si l’utilisateur pourra ou non refuser des cookies selon leurs fonctions.

Si la loi, avant modification, donnait la responsabilité de la gestion des cookies aux sites, la nouvelle version transfère la responsabilité aux internautes à qui il appartiendra désormais de paramétrer leurs navigateurs ou d’utiliser les logiciels nécessaires pour gérer au mieux ces cookies. Problème, les moyens techniques permettant de gérer les cookies en opt-in sont encore peu nombreux et souvent d’une efficacité relative.

En outre, en remplaçant le terme de consentement préalable par le terme de consentement implicite il crée une large faille. L’internaute pourrait “accepter” (lire les informations sur les cookies opérant sur le site qu’il visite) la charte du site en matière de vie privée alors même que certains cookies pourraient déjà avoir été envoyés sur son ordinateur.

Comme le souligne le commissaire à l’information du gouvernement anglais sur le sujet, certains sites envoient des cookis dès que l’internaute accède à la page d’accueil. Dans ce cas, le texte encourage les sites à

prendre des mesures pour réduire au maximum le délai temporel avant lequel l’utilisateur est informé de la nature des cookies présents et de leurs buts.

Par ce revirement soudain, le gouvernement anglais pond un texte probablement plus pragmatique dans sa mise en application mais beaucoup moins performant en matière de protection des données. Non seulement la loi pose comme base le consentement implicite de l’internaute , mais le gouvernement se dédouane par la même occasion de toute responsabilité en matière de moyens techniques de gestion des cookies. À l’utilisateur et aux éditeurs de sites de trouver les moyens de protéger leur données.

Enfin, en raison de l’impossibilité de faire une chasse aux dizaine de milliers de sites de facto considérés comme illégaux, la loi demeure quasi inapplicable…

You Don't Wanna Steal Wookies Cookies CC by-nc-sa Pedro Vezini

Ce 26 mai 2012, tous les sites web anglais ne respectant pas la nouvelle loi relative à la défense de la vie privée sur le web seront passibles de poursuites et d’amendes pouvant atteindre la modique somme de 500 000 livres. L’effet d’annonce est renversant, au moins autant que le constat : la loi est inapplicable.

Consentement

Cette nouvelle législation récemment rappelée par la Cnil, issue du Parlement européen, a pour but affiché une harmonisation des règles pour tous les pays de l’UE afin de garantir aux citoyens un meilleur niveau de protection de leurs données personnelles. Si la directive s’applique à tous les pays de l’UE, elle laisse toutefois une marge de manœuvre quant à sa transposition.

Facebook en redemande

Le 21 décembre dernier en Irlande, l'autorité de régulation des télécoms rendait un audit très critique sur Facebook et ...

Selon l’adaptation britannique de la loi, tous les sites web devraient à partir du 26 mai passer en “opt in”. Autrement dit, obtenir le consentement préalable de l’internaute sur les cookies transitant par leur plateforme avant que ces derniers ne puissent recueillir des informations. Le texte vise tous ceux qui servent d’une manière ou d’une autre, à recenser les données personnelles d’un internaute (exceptées les données de navigation).

Les cookies, ce sont ces petits fichiers textes qui aident à stocker et à organiser les informations des internautes. S’ils stockent des données en tous genres (mot de passe, langue choisie, etc.) censées faciliter la navigation, ils permettent également de constituer un profil de l’utilisateur en recensant les sites web qu’il visite, ses goûts, les publicités auxquelles il est le plus sensible, etc. C’est également ce qui permet à tout le secteur de la publicité comportementale en ligne de prospérer en proposant des annonces ciblées.

Le responsable légal du site sera donc obligé par n’importe quel moyen de demander à l’internaute qui arrive sur la page d’accueil s’il accepte ou non les cookies. Il devra également détailler leurs buts précis et la société qui en est à l’origine. Le gros problème, c’est qu’actuellement, aucun navigateur n’est techniquement en mesure de faire la distinction entre les différents types de cookies.

Autrement dit, il ne peut reconnaitre ceux qui servent à rassembler les données personnelles de l’utilisateur pour le compte d’une régie publicitaire de ceux qui servent à retenir vos mots de passe et la résolution de votre vidéo.

Date limite

Il serait bien sûr possible de mettre en place une banderole demandant l’autorisation à l’internaute pour chacun des cookies présent sur un site, mais l’opération risquerait de le perturber, de lui poser des questions qu’il ne comprend pas forcément, et d’aboutir finalement à un refus des cookies par l’utilisateur.

On comprend mieux dès lors, le peu d’engouement des éditeurs de sites à appliquer la loi.
En effet, en dehors de certains sites comme “youronlinechoices” ou de l’option “do not track” sur certains navigateurs qui limitent l’utilisation par un tiers de ses données personnelles, aucun outil technique ne semble actuellement au point pour respecter ces directives.

On ne peut pas reprocher au gouvernement anglais d’avoir précipité la mise en œuvre de la loi. Cette dernière, qui devait normalement s’appliquer en août 2011, avait été repoussée d’un an pour laisser le temps aux différents acteurs de se mettre en conformité.

Malgré ce délai, Christopher Graham, le patron de l’Information Commissioner Office (la Cnil Britannique) a annoncé il y a peu que la majorité des sites publics comme privés ne seront pas à même de respecter la date limite imposée.

Apparemment embarrassé, M. Graham a également précisé que son organisation ne s’engagerait pas dans une croisade contre les sites illégaux au matin du 27, mais prendrait des sanctions au cas par cas si aucun effort allant dans le sens de la loi n’avait été engagé par les responsables légaux. Une déclaration qui se veut rassurante. En même temps, la majorité des sites du gouvernement anglais eux-mêmes ne seront pas en règle à la date prévue…

En France, c’est dans l’ignorance la plus totale que la même loi (en fait deux directives et un règlement) dite “Paquet télécom” a été transposée et mise en application il y a presque un an.

Elle stipule (c’est la Cnil qui le précise) “qu’il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur en lui précisant qu’elle pourra retirer à tout moment son consentement“. Comme l’explique Sophie Nerbonne, directrice adjointe des affaires juridiques à la Cnil :

La loi s’applique à tous les sites notamment aux réseaux sociaux et aux boutons like et tweet des sites partenaires de Twitter et Facebook (pour diffuser un article une vidéo, etc). Par contre, l’obligation de recueil de consentement ne s’applique pas aux cookies liés aux préférences linguistiques, à la mise en mémoire d’un mot de passe, à la résolution d’une vidéo visionnée online, à un cookie flash ou encore à la mémoire relative à un panier d’achat. En effet, ces informations sont directement liées à une demande de l’utilisateur et ont pour finalité exclusive de faciliter la communication.

L’immense majorité des sites web français sont donc également dans l’illégalité la plus totale et risquent des sanctions financières pouvant aller jusqu’à 300 000 euros.

L’Europe délaisse la neutralité du Net

La commissaire européenne en charge des affaires numériques Neelie Kroes a livré ce matin sa vision d'un Internet ...

À la différence de la Grande-Bretagne, la transposition en droit français implique qu’au lieu d’avoir des cookies en “opt in”, les internautes doivent être informés par les éditeurs de sites “de manière claire et complète de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement”.

Concrètement, les responsables de plateformes françaises ont l’obligation de placer une bannière sur leur page d’accueil renvoyant à une note qui explique en détail à quoi servent précisément les cookies, d’où ils proviennent et comment faire pour les refuser.

La Cnil, dont le rôle est de faire respecter la loi, doit donc chasser tous les sites qui dans un coin n’ont pas affiché un bordereau ou un moyen d’informer les internautes, ce qui est matériellement impossible. En témoigne Sophie Nerbonne :

Nous savons pertinemment que la majorité des sites sont dans l’illégalité et il faudra évidemment des mois pour trouver les solutions et pour les faire rentrer dans la conformité. C’est compliqué car certains d’entre eux ont aujourd’hui tellement de cookies qu’ils ne savent même plus à quoi ils servent. Sur le plan des moyens, la Cnil peut s’auto-saisir et nous avons déjà procédé à des contrôles et à des mises en demeure même si nous nous montrons compréhensifs. En réalité, nous comptons surtout sur la persuasion et la prise de conscience des internautes et des professionnels quant aux enjeux cruciaux du respect de la vie privée sur le web. Nous comptons également sur le développement prochain des moyens techniques permettant de mettre les sites en conformité

En dehors des plaintes de particuliers concernant certains sites, la Cnil est donc obligée de s’attaquer aux plus gros acteurs sans être aucunement en mesure de faire respecter la loi à court ni même à moyen terme pour les millions de site actuellement hors la loi.

Équilibre

Les enjeux économiques de l’application de la loi sont, eux aussi, motif de friction. Si les internautes décidaient massivement de refuser les cookies pour protéger leurs données personnelles, c’est l’ensemble des acteurs de la publicité comportementale et, par extension, les éditeurs de sites web, qui seraient privés d’une partie non négligeable de leurs revenus comme l’explique Fabienne Granowski du Syndicat national de la communication directe à Owni:

Nous voulons trouver l’équilibre entre l’aspect économique et la protection des données personnelles. Nous n’avons vraiment pas intérêt à brader la vie privée parce que nous serions perdants vis à vis de la confiance des internautes. Si l’“opt in” cookie passait en France il nous serait strictement impossible de travailler car nous n’aurions plus de données personnelles.

Dans un communiqué de Presse du 5 Mai 2012, le SNCD annonçait une perte potentielle de 60% des emplois du marketing direct et une augmentation de plus de 16% de demandeurs d’emplois en cas d’application de la loi . Ces chiffres, issus de leur propre étude, sont de nature à justifier les protestations du secteur. Mais Sophie Nerbonne relativise :

Nous comprenons les inquiétudes mais nous avons eu les mêmes protestations des sociétés liées à la communication directe en 2004 lors de la loi sur la confiance en l’économie numérique. A l’époque, les acteurs avaient peur d’un effondrement du système et de pertes d’argent colossales ce qui n’a pas eu lieu. Ethiquement, il n’est pas possible de continuer à faire prospérer un système économique sur de la récolte de données personnelles alors que l’internaute n’est pas au courant de ce que l’on en fait précisément. Il est nécessaire de développer des techniques efficaces permettant aux internautes d’être conscients de ce qu’on fait de ses informations sans que cela pèse pour autant sur l’économie de la publicité ciblée.

Par ailleurs, le développement de logiciels et d’interfaces permettant de gérer les cookies et de trouver des solutions peut représenter une manne financière non négligeable

Dans les séries américaines, on lit leurs droits avant toute chose aux personnes interpellées par la police. Sur le web, les internautes auraient également besoin qu’on leur “lise leurs droits”, car au fil de notre navigation, nous sommes sans cesse en train d’accepter des conditions contractuelles d’utilisation des services que nous utilisons, qui influent grandement sur notre condition juridique.

Les CGU (Conditions Générales d’Utilisation) ou ToS en anglais (Terms of Service), ce sont ces pages interminables, écrites en petits caractères et dans un jargon juridique difficilement accessible au commun des mortels, que nous acceptons généralement sans les lire en cochant une case. Elles ont pourtant une incidence importante sur nos droits en ligne, notamment sur la protection de nos données personnelles, ainsi que sur la propriété de nos contenus.

Pour nous aider à y voir clair dans cette jungle des CGU, OWNI publie cette semaine une infographie (voir aussi au bas de l’article) analysant les conditions d’utilisation de quatre géants du Web : Google, Facebook, Twitter et Apple. Une image vaut mieux qu’un long discours et c’est particulièrement vrai en matière de CGU, dont l’une des caractéristiques réside dans leur opacité pour les internautes.

CGU : à prendre ou à laisser ?

Les CGU tirent leur force du fait qu’elles ne sont pas négociables par les utilisateurs des services en ligne et qu’une fois acceptées, l’utilisateur se trouve lié à ces règles par sa propre volonté. Mais ce nouveau visage de la “servitude volontaire“ n’est peut-être pas une fatalité. Les internautes semblent en effet de plus en plus prendre conscience de l’importance de ces conditions contractuelles, ainsi que du fait qu’ils peuvent agir collectivement pour obtenir des modifications.

En ce moment même a lieu sur Pinterest, réseau social montant aux États-Unis, une “manifestation virtuelle” qui pourrait déboucher sur des modifications importantes des conditions d’utilisation du site. Plus de 45 000 personnes ont épinglé en signe de protestation sur leur profil une image, avec ces mots : “Dear Pinterest, Please Change your Terms or I’m Leaving“.

Dans la tourmente depuis plusieurs semaines, après avoir subi des accusations à répétition de violation du droit d’auteur, Pinterest a été obligé de prendre très au sérieux le mécontentement populaire de ses usagers. La plateforme a modifié ses CGU de manière à adopter une attitude moins appropriative, notamment en renonçant à la possibilité de revendre les contenus de ses usagers à des tiers.

De telles actions collectives ont déjà été couronnées de succès dans le passé. En 2009, lorsque Facebook avait modifié ses CGU afin de s’accorder “tous les droits, pour toujours“ sur les contenus personnels de ses usagers, une bronca s’était déclenchée qui avait fait reculer le géant des médias sociaux, alors en plein essor. L’épisode s’était terminé par la publication d’une charte des droits et responsabilités, aboutissant à un rapport plus équilibré entre la plateforme et ses utilisateurs, même si Facebook a depuis défrayé la chronique à plusieurs reprises par ses changements de CGU.

Le même phénomène s’était produit lors de la Nymwar en 2011. Après avoir bataillé férocement pour imposer aux utilisateurs de Google + de révéler leur véritable identité, la firme de Mountain View a fini par céder devant la pression pour accepter les pseudonymes.

Nul n’est censé ignorer la loi (même les CGU…)

Néanmoins, ces mobilisations des internautes ne sont pas toujours suffisantes pour obtenir de meilleurs équilibres dans les CGU des services et l’infographie d’OWNI montre bien la condition plus que précaire de nos droits, face à des géants comme Twitter, Facebook, Apple ou Google.

La question se pose alors de savoir dans quelle mesure les États, par le biais de leurs lois, sont capables de protéger les citoyens contre les dérives les plus inquiétantes des médias sociaux, notamment en termes d’exploitation des données personnelles.  Même si les dérives des médias sociaux se succèdent à un rythme inquiétant, l’actualité récente a montré que les États ne sont pas complètement démunis pour faire pression sur les grandes firmes du web.

Outre-Atlantique, la puissante Federal Trade Commission est ainsi parvenue en novembre 2011 à imposer, par le biais d’un accord amiable avec Facebook, une mise sous surveillance pendant 20 ans du réseau social, qui devra se plier régulièrement à des audits indépendants concernant l’utilisation des données personnelles. Plus important encore du point de vue des CGU, Facebook s’est engagé à obtenir le consentement explicite des utilisateurs lors du changement de ses conditions d’utilisation, et notamment de ses réglages de confidentialité.

En effet, comme le montre bien l’infographie, les CGU ne sont pas seulement complexes  ; elles sont aussi mouvantes et connaissent des changements réguliers, que les utilisateurs sont réputés accepter implicitement, après s’être inscrits une fois sur un service. Ce type de clauses peuvent s’avérer particulièrement dangereuses et “déloyales”. C’est par ce biais que Twitter par exemple a pu se présenter pendant trois ans comme une plateforme respectueuse des droits de ses utilisateurs, avant de changer brutalement ses CGU en 2009 pour obtenir rétroactivement des droits très étendus sur les contenus de ses utilisateurs. Cette clause est restée longtemps “dormante”,  jusqu’à ce que Twitter revende le mois dernier deux ans d’archives à des sociétés anglaises de data mining. L’évolution des CGU ressemble parfois à une partie d’échecs, où les attaques se construisent plusieurs coups en avance…

Du côté des données personnelles, une nouvelle directive est actuellement en préparation pour remplacer l’actuel texte en vigueur qui remonte à 1995. Si elle est à l’origine d’un régime reconnu comme l’un des plus protecteurs au monde, cette directive commence à atteindre ses limites, confrontée à de nouveaux défis comme le cloud computing ou à des pratiques de croisement de données sans précédent, comme celle que Google vient de s’octroyer la possibilité de mettre en oeuvre en unifiant les conditions d’utilisation de ses différents services.

D’autres CGU sont-elles possibles ?

Pour agir en amont afin de garantir la protection des données personnelles, on évoque de plus en plus comme solution le “Privacy by Design“, c’est-à-dire la prise en compte de la vie privée dès la conception, qui pourrait être consacré par la future directive européenne.

Mais ce “Privacy by Design” peut aussi résulter des CGU d’un service, qui agissent alors comme une sorte de “code génétique” modelant son fonctionnement dans le sens du respect des droits des utilisateurs. C’est le cas par exemple du réseau social alternatif Diaspora, dont le “Bill of Rights“ est axé sur le respect d’un certain nombre de principes d’honnêteté, de transparence, de prédictibilité, de maîtrise, plaçant le respect des droits individuels au cœur de la plateforme.

Cet exemple montre comme le souligne l’infographie que d’autres CGU sont possibles, que ce soit en termes d’intelligibilité ou d’équilibre des droits.

Certaines plateformes par exemple utilisent les licences libres pour garantir que les contenus produits par les utilisateurs, s’ils peuvent être réutilisés, ne pourront pas faire l’objet d’une appropriation exclusive. C’est le cas par exemple du réseau de microblogging alternatif identi.ca, placé sous licence Creative Commons BY ou bien entendu, de l’encyclopédie collaborative Wikipédia, où la licence CC-BY-SA tient lieu de CGU pour la partie propriété des contenus. Personne n’étant en définitive propriétaire du contenu global de Wikipédia, cette forme de non-propriété protège les contributeurs contre les risques de revente qui ont pu survenir pour d’autres plateformes contributives, même si tout risque de dérive n’est pas absolument écarté comme l’a montré récemment le partenariat entre Orange et Wikipédia.

Le réseau Tumblr s’est récemment distingué de son côté par l’effort qu’il a consacré pour traduire en termes intelligibles ses CGU, en s’écartant du jargon juridique habituel et allant même jusqu’à recourir à l’humour. Les clauses relatives à la propriété des contenus par exemple sont ainsi clairement compréhensibles et remarquablement équilibrées :

When you upload your creations to Tumblr, you grant us a license to make that content available in the ways you’d expect from using our services (for example, via your blog, RSS, the Tumblr Dashboard, etc.). We never want to do anything with your content that surprises you.

Something else worth noting: Countless Tumblr blogs have gone on to spawn books, films, albums, brands, and more. We’re thrilled to offer our support as a platform for our creators, and we’d never claim to be entitled to royalties or reimbursement for the success of what you’ve created. It’s your work, and we’re proud to be a part (however small) of what you accomplish.

(Quand vous mettez vos créations sur Tumblr, vous nous accordez une licence permettant de rendre votre contenu disponible conformément à ce que vous pourriez attendre en utilisant nos services (par exemple, via votre blog, le flux RSS ou sur le Tumblr Dashboard, etc.). Nous ne voulons jamais faire avec votre contenu quoique ce soit qui pourrait vous surprendre.
Autre élément notable : de nombreux Tumblr ont donné suite à des livres, des films, des albums, des marques, et plus encore. Nous sommes ravis d’apporter notre soutien en tant que plate-forme pour nos créateurs et nous ne réclameront jamais de droit à des royalties ou à un remboursement pour le succès remporté par ce que vous avez créé. C’est votre travail, et nous sommes fiers d’avoir contribué (aussi modestement soit-il) à ce que vous avez accompli.)

On est ici très loin, comme le montre l’infographie, des méandres tortueuses des 47 pages de CGU des services d’Apple ou du double langage employé dans les CGU de Twitter. Ce type de démarche indique même peut-être une voie intéressante pour régénérer l’approche des CGU. De la même manière que les licences Creative Commons ont modifié l’approche du droit d’auteur en traduisant les contrats en termes compréhensibles par les humains (“human readable”), on pourrait imaginer un effort similaire pour transcrire les CGU en des principes plus courts et plus clairs.

Outre un travail sur le langage, cette démarche pourrait également comporter une dimension graphique, recourant comme les Creative Commons  à des logos pour exprimer de manière lisible en un coup d’oeil les conditions d’utilisation.

La fondation Mozilla avait ainsi proposé des “Privacy Icones” qui auraient permis de faire apparaître clairement aux yeux des internautes la politique de confidentialité des sites Internet. Cette approche graphique, qui reviendrait à créer des “Creative Commons de la présence numérique“, pourrait en effet s’avérer beaucoup plus efficace que les chartes ou déclaration des droits que l’on trouve sur certains sites.

La question de l’hybride juste, enjeu des CGU

Au final, l’infographie d’OWNI montre que nous sommes encore très loin de l’émergence “d’hybrides justes“, selon la formule employée par le juriste Lawrence Lessig. Par le terme “hybride”, Lessig désigne le fait que les médias sociaux se sont développés à cheval entre une économie marchande classique et une économie de la contribution, qui fait que leurs contenus leur sont généralement fournis volontairement et gratuitement par leurs utilisateurs (“User Generated Content“). L’enjeu des CGU est de parvenir à créer un rapport juste et équilibré entre les droits que la plateforme doit se faire céder pour fonctionner et développer un modèle économique, et les droits que les individus doivent garder pour préserver leurs intérêts fondamentaux.

La quête de “l’hybride juste” est sans doute l’un des défis majeurs pour l’évolution du web, auquel il n’existe actuellement aucune solution entièrement satisfaisante. Toutes les pistes sont bonnes à explorer pour arriver à ce résultat et pourquoi ne pas aller faire un tour pour finir sur des sites sites qui ont mis en place des sorte d’anti-CGU, burlesques chez Oyoyo ou poétiques chez Babelio ?

Et sur 4chan, il n’y a pas de CGU, mais des Rules (“règles”), comme au Fight Club !

La semaine dernière, tombait cette nouvelle consternante que le chant des oiseaux pouvait être approprié par le  biais du droit d’auteur… Hasard ou coïncidence, nous apprenions également que Twitter avait vendu pour plus de 250 millions de dollars nos “gazouillis”. Les messages échangés sur le réseau social  ont en effet été cédés  à deux compagnies anglaises, Gnip et Datasift, qui pourront exploiter les tweets archivés depuis deux ans.

En vertu de cet accord, ces sociétés pourront accéder  non seulement aux textes des tweets, mais également aux autres données liées aux micromessages, afin de produire des analyses poussées. Ce datamining devrait permettre à des marques de déceler à partir des données sociales des tendances quant aux comportements et préférences de leurs clients.

Bien que l’accord ne porte que sur les tweets publiés, à l’exclusion des messages privés et des tweets supprimés, de nombreuses protestations ont fusé, notamment aux États-Unis, au nom des dangers en matière d’atteinte à la vie privée que ce type d’arrangements comporte. L’infographie ci-dessous montre bien le grand nombre d’informations personnelles qu’un simple tweet peut contenir :

Map of a Twitter Status Object. Par Raffi Krikorian.

D’autres critiques ont pointé le fait que les utilisateurs de Twitter pouvaient se prévaloir d’un droit de propriété intellectuelle sur leurs timelines, qui aurait été bafoué par cet acte de vente. Cette question est cependant complexe à trancher, car il est loin d’être certain que nos tweets soient suffisamment originaux pour constituer des “œuvres de l’esprit“, protégeables par le droit d’auteur.

La vente de ses archives s’inscrit pour Twitter dans la quête d’un modèle économique viable, qui s’est toujours avérée problématique. Néanmoins pour qu’il y ait vente, encore faut-il que Twitter puisse se prévaloir d’un titre de propriété sur les contenus produits par ses utilisateurs. De ce point de vue, il est intéressant de se plonger dans le passé, car l’évolution des conditions générales d’utilisation du site (CGU) montre que cette vente a été préparée depuis plusieurs années, par de subtils glissements de clauses contractuelles.

Petite archéologie des CGU de Twitter

Les conditions d’utilisation de Twitter ont changé plusieurs fois dans le temps et l’on trouve sur cette page du site un historique des différentes versions, qu’il est intéressant de comparer.

A l’origine en effet, depuis sa création en 2006 jusqu’en 2009, Twitter s’affichait comme un des réseaux les plus “loyaux” vis-à-vis de ses utilisateurs et se distinguait de ce point de vue nettement d’un Facebook, qui s’est toujours montré  agressif dans l’appropriation des contenus de ses usagers.

La première version des CGU du site affichait fièrement la devise “Ce qui est vôtre est vôtre” :

Copyright (Ce qui est Vôtre est Vôtre)

1. Nous ne revendiquons aucun droit de propriété intellectuelle sur le contenu que vous fournissez au service Twitter. Votre profil, ainsi que le contenu que vous avez envoyés reste les vôtres. Vous pouvez supprimer votre profil à tout moment en supprimant votre compte. Cette action supprimera également n’importe quel texte et image que vous avez enregistré dans le système.

2. Nous encourageons les utilisateurs à faire partager leurs créations dans le domaine public ou d’envisager la licence progressive.

Ces engagements de Twitter étaient très forts et se rapprochaient assez sensiblement de ceux du Bill of Rights du réseau social alternatif Diaspora par exemple, qui a mis le respect des droits de ses utilisateurs au centre de son fonctionnement :

7. Control: We will work toward enabling users to own and control their data and won’t facilitate sharing their data unless they agree first.

Par ailleurs, le fait d’inciter les usagers à placer les contenus créés dans le domaine public ou sous une licence libre rapprochait Twitter de médias sociaux comme Wikipedia ou Flickr, qui favorisent la constitution de biens communs informationnels.

Cependant, il existait une faille de taille dans la “loyauté” de ces conditions d’utilisation, dans la mesure où Twitter ne s’engageait nullement à leur maintien pour l’avenir :

Nous nous réservons le droit de modifier les présentes Conditions d’Utilisation à tout moment. Si les modifications constituent un changement important des conditions d’utilisation, nous vous notifierons par courrier électronique ou non, suivant les paramètres que vous avez choisis pour votre compte. Ce qui constitue un “changement important” sera déterminé à notre seule discrétion, en toute bonne foi suivant notre bon sens et notre jugement.

Finalement en 2009, alors que la pression du modèle économique devenait de plus en plus pressante, Twitter décida de faire jouer cette clause afin de produire une deuxième version de ses CGU, tout en paraissant rester fidèle à son engagement “Ce qui est à vous est à vous“.

Vos droits

L’utilisateur conserve ses droits sur tout Contenu qu’il soumet, publie ou affiche sur ou par l’intermédiaire des Services. En soumettant, publiant ou affichant un Contenu sur ou par le biais des Services, l’utilisateur accorde à Twitter une licence mondiale non exclusive, libre de redevance avec le droit de sous-licencier, utiliser, copier, reproduire, traiter, adapter, modifier, publier, transmettre, afficher et distribuer le Contenu à tous les médias ou à toutes les méthodes de distribution (connues à présent ou développées ultérieurement).

Cette licence nous autorise à rendre vos tweets publics pour tous et autorise les autres utilisateurs à faire de même. Mais, ce qui est à vous est à vous - le contenu des tweets est le vôtre.

L’utilisateur convient que cette licence accorde le droit à Twitter de mettre le Contenu à la disposition d’autres sociétés, organisations ou individus qui travaillent en partenariat avec Twitter pour la syndication, la diffusion, la distribution ou la publication d’un tel Contenu sur d’autres supports et services, soumis à nos termes et conditions d’utilisation du Contenu.

La lecture des passages en gras laisse une désagréable sensation de contradiction, car si “ce qui est à nous est nous“, les contenus sont également à Twitter, ainsi qu’aux sociétés partenaires avec lesquelles il fait affaire. C’est exactement ce qui vient de se produire avec Datasift et Gnip, à qui Twitter a revendu les tweets sur la base de cette “licence mondiale sous-licenciable” que lui accordent ses usagers. Ce régime assez troublant de “propriétés parallèles” sur les contenus se retrouve en réalité sur la plupart des réseaux et médias sociaux aujourd’hui.

Conflits de co-propriété sur les contenus de Twitter

A vrai dire, si l’on se plonge un peu dans le passé, Twitter a déjà fait l’objet de tensions quant à la propriété de son contenu, qui résultent en grande partie de ce régime de propriétés superposées.

Une première polémique avait en effet éclaté en 2010 aux États-Unis lorsque Twitter avait conclu un accord avec la Bibliothèque du Congrès pour le dépôt et la conservation de ses archives. Au nom de la protection de la vie privée, beaucoup de protestations s’étaient élevées, invoquant un manquement de la part de Twitter aux obligations le liant à ses usagers.

Bien que Twitter dispose d’une licence sur ses contenus, certains estimaient que les usagers pouvaient vouloir faire disparaître certains tweets et que cette décision devait entraîner une suppression de l’archive de la Bibliothèque du Congrès. Du fait de ces complications, il aura fallu plus d’un an et demi à la Bibliothèque du Congrès pour ouvrir effectivement ce service aux chercheurs, dans des conditions très contrôlées.

Étrangement, dans le même temps, Twitter avait annoncé un partenariat avec Google pour permettre au moteur de recherche d’indexer ses archives et de proposer en ligne un service appelé Google Replay, qui s’avérait finalement assez proche du service proposé aujourd’hui par Datasift ou Gnip. Cette fonctionnalité avait même été  intégrée un temps aux onglets de Google,  à l’instar de  Google Images ou Googles Actualités. Mais avec l’arrivée de Google +, le réseau social du géant californien,  des tensions entre les deux firmes ont conduit fin 2011 à la rupture de ce partenariat, ce qui a laissé à Twitter le champ libre pour une revente de ses archives à d’autres sociétés.

Par ailleurs, d’autres tensions sont apparues à propos de la propriété des contenus de Twitter et notamment des images échangées via des applications tierces, comme Twitpic ou Yfrog. Une affaire avait par exemple éclaté lorsque l’AFP avait repris et exploité sans autorisation une photo prise par un reporter lors du tremblement de terre à Haïti en 2010 et échangée sur l’instant sur Twitter, via l’application Twitpic.

L’agence, qui soutenait que les contenus rendus publics sur le réseau devenaient “libres de droits”, avait finalement été sévèrement condamnée par un tribunal de New York, qui avait reconnu au contraire que les usagers de Twitpic restaient propriétaires des contenus partagés. Un peu plus tard, lors des émeutes de l’été 2011 en Angleterre, la BBC revendiqua elle-aussi le droit d’utiliser librement les photographies publiées sur Twitter, sur la base du fait que leur circulation sur le réseau les faisait appartenir au “domaine public”. Devant la tornade de protestations déclenchée par ses propos, la chaîne anglaise avait été forcée de s’excuser et de modifier sa position.

Les conflits de copropriété des contenus peuvent également survenir entre utilisateurs de Twitter. En 2011 par exemple, les Inrocks se faisaient l’écho d’utilisateurs spécialisés dans l’humour sur Twitter se plaignant que certains de leurs bons mots soient repris par les médias traditionnels, par exemple comme titres d’articles,  ou par des comiques dans leurs spectacles.

L’article avait d’ailleurs soulevé un débat intéressant quant à la possibilité de plagier ou de “contrefaire” un tweet, ce qui ne peut être admis que si l’on arrive à démontrer qu’un message de 140 caractères est suffisamment original pour être protégé par le droit d’auteur. Ce terrain est d’ailleurs assez glissant, car poussé jusqu’à l’absurde, il permettrait de considérer un simple ReTweet comme une contrefaçon !

Mais les problèmes posés par le régime de “double propriété des contenus” avaient surtout été révélés en 2011 par la polémique soulevée par Twitpic, lorsque cette plateforme conclut un accord avec l’agence de presse WENN, afin de lui accorder un droit exclusif d’exploitation des photos publiées par ses usagers. Cet arrangement avait montré que la licence accordée par les utilisateurs d’un réseau pouvait bien à tout moment servir à ce dernier à revendre les contenus à des tiers. C’est finalement ce qui vient de se passer avec Twitter avec la revente de ses données à Datasift et Gnip.

Twitter pouvait-il revendre ses contenus à des tiers ?

Peut-on réellement contester à Twitter le droit de revendre ainsi ses contenus ?

L’auteur du blog AnglePI pense pouvoir démontrer que cet acte de vente n’est pas valable, en s’attaquant à la validité de la licence imposée par Twitter à ses utilisateurs. En effet, il considère qu’un certain nombre de tweets peuvent être reconnus comme des “œuvres de l’esprit” originales, susceptibles d’être protégées par le droit d’auteur. Si c’est le cas, un formalisme particulier est imposé par le droit français en matière de cession des droits, que ne respecterait pas les conditions d’utilisation de Twitter. Il existe notamment une règle dans le Code de Propriété Intellectuelle français qui veut que “la cession globale des œuvres futures est nulle“. Twitter ne pourrait donc imposer à ses utilisateurs de lui céder un droit sur leurs tweets, postérieurs à l’inscription.

Des critiques similaires avaient été faites, sur la base du droit français, au site de partage de photos Darqroom, par la juriste Joëlle Verbrugge sur son blog Droit et Photographie, que l’on peut transposer aux conditions de Twitter. En effet, le droit d’auteur français impose pour que les cessions de droits soient valides que “le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée“. Or les clauses très larges que l’on retrouve dans la plupart des CGU des réseaux sociaux sont sans doute trop imprécises pour satisfaire à ces exigences.

Le problème, c’est que pour que ce raisonnement soit valide, encore faut-il que les tweets puissent bien être considérés comme des œuvres de l’esprit. Or comme j’ai déjà eu l’occasion de le montrer par ailleurs, il est probable que seule une petite partie des messages échangés sur Twitter satisfassent aux conditions posées par les juges pour reconnaître la présence d’une œuvre originale. Très proche de l’oralité et de la conversation usuelle, Twitter permet principalement d’échanger des considérations factuelles et des informations brutes, qui ne peuvent être protégées.

Certes le droit français (à la différence du droit américain) permet de protéger en eux-même des titres d’œuvres, ce qui prouve que des formes courtes peuvent être admises à la protection du droit d’auteur. Mais l’originalité est également conçue d’une manière assez exigeante par les juges français. Récemment par exemple, un tribunal a estimé qu’un cours magistral ne constituait pas une création suffisamment originale pour être protégée par le droit d’auteur. D’autres décisions ont confirmé que toutes les photos n’étaient pas des créations originales, à défaut de porter “l’empreinte de la personnalité de leur auteur“.

Dès lors, on ne pourrait apporter de réponse qu’au terme d’une analyse des tweets l’un après l’autre, ce qui serait épouvantablement complexe en cas de procès. La licence de Twitter serait sans doute valable pour certains tweets et pas pour d’autres. Ce “pointillisme” rendrait un procès engagé contre Twitter nécessairement hasardeux.

Ajoutons par ailleurs que dans le cas de l’affaire qui avait opposé l’AFP à un photographe utilisateur Twitpic, le tribunal américain en charge du dossier avait été amené à se prononcer sur la validité de la licence exigée par Twitpic et ne l’avait pas remise en cause. On vient cependant d’apprendre qu’un juge allemand a condamné la licence de Facebook, proche de celle de Twitter, comme incompatible avec les règles du droit d’auteur. Quelle serait la réponse d’un juge français confronté à une telle question ? Il est hasardeux de répondre, mais cela donnerait lieu à un procès passionnant !

Tout ceci amène à conclure que du point de vue de la propriété intellectuelle, on reste dans un certain flou quant à la validité de ces ventes de contenus opérés par les réseaux de contenus. Ces incertitudes reflètent la difficulté qui existe pour le droit d’auteur “classique” à saisir des contenus aussi volatils, fugitifs et circulants que les tweets.

Juridiquement, la vente de ses archives par Twitter pose d’ailleurs des questions beaucoup plus tangibles de protection des données personnelles. Car même si les contenus postés par les utilisateurs sont “publics” par défaut sur le réseau, il existe des conditions supplémentaires posées par la loi, en ce qui concerne le traitement des données à caractère personnel, dont le datamining effectué par les partenaires de Twitter constitue un exemple. Et de ce point de vue, Twitter soulève d’autres questions, notamment en ce qui concerne l’usage des applications mobiles.

L’arbre Twitter qui cache la forêt des médias sociaux…

Nous avons vu que c’était ce régime de “propriété parallèle” sur les contenus échangés sur les réseaux sociaux qui créait ces situations complexes et pathogènes. Mais la situation peut être plus compliquée encore et la propriété de nos contenus prend parfois une forme  ”kaléidoscopique”, surtout pour les plus connectés d’entre nous.

Il y a quelques temps, je m’étais amusé à poster sur Twitter le message “Quel est le statut juridique de cette phrase”, pour le suivre sur les différents réseaux qui étaient connectés à mon compte.

Parti de Twitter, le message rebondissait sur Facebook, puis passait sur LinkedIn, sur Friendfeed, Identi.ca, pour finir sur mon portail Netvibes (et peut-être ailleurs encore sans que je ne m’en aperçoive…). Le résultat de cette petite odyssée, c’est que cette phrase s’est retrouvée soumise à au moins six contrats distincts, tous subtilement différents, en fonction des licences concédées aux plateformes !

Au final, il en résulte un inextricable sac de nœuds contractuels… à l’image de cette propriété diffractée qui est notre lot sur le web des médias sociaux. En connaissant mieux les licences et les conditions d’utilisation, l’usager serait sans doute mieux à même de faire son propre choix, car toute cette chaîne d’exploitation des contenus repose en définitive sur le consentement de l’utilisateur.

Les profileurs seraient capables d’analyser des données chiffrées en grand nombre, de comprendre la psychologie d’un joueur selon sa manière de jouer et d’avoir des compétences en développement.

De stand en stand, éditeurs et développeurs partageaient leur propre vision du profilage. En les écoutant, il apparaît que ce métier n’existait pas encore. Personne n’assume “seule” ces trois compétences au sein d’une même entreprise, à la connaissance de Stephane Natkin. Il s’agit encore d’un travail d’équipe.

Des jeux truffés de mouchards

Même sans être fructueuse, la recherche de profileurs permet de découvrir que les concepteurs de jeux sur mobile et réseaux sociaux accumulent des données sur leurs joueurs. Ils sont au courant de leurs moindres faits et gestes, comme témoigne Thomas Nicolet du studio Bulkypix :

Imaginez que vous soyez bloqué(e) au niveau sept. Vous en avez marre et vous quittez le jeu. Ils savent désormais que vous n’avez pas réussi à finir la partie, quelles ont été vos dernières actions avant de sortir du programme.

Pour cela, ils utilisent des sortes de balises, aussi appelées tokens, à l’intérieur même de leurs produits. Celles-ci fonctionnent comme des interrupteurs. Dès que le joueur interagit avec, en cliquant dessus ou en y posant un doigt lors d’une partie, la balise s’active. L’information est renvoyée aux concepteurs. En fonction de leur place attribuée lors de la programmation, les balises peuvent retracer une partie entière.

Selon Thomas Nicolet, les données sont récoltées dans l’intérêt du joueur :

Si d’autres personnes sont dans le même cas que vous, les développeurs peuvent décider de modifier le niveau sept en conséquence. En l’occurrence, faciliter la progression.

Ces données sont surtout un nouvel atout pour les éditeurs. Par exemple, si un jeu dispose d’une plateforme d’achats peu fréquentée par les joueurs, le concepteur peut la déplacer afin d’en améliorer la visibilité. Il lui faudra ensuite mettre à jour son produit ou sortir une nouvelle version.

Gilles Bellefontaine, fondateur et PDG d’une maison d’édition française spécialisée dans les jeux sur smartphone, Chugulu, a eu recours à cette pratique. Dernièrement, ses équipes ont développé Blind test, un jeu disponible sur mobile et Internet consistant à trouver l’interprète d’une chanson. En analysant les informations renvoyées par les balises, il a découvert une information surprenante. Les joueurs s’attardent davantage sur le mode “solitaire” du jeu alors que le développement privilégiait l’expérience multi-joueurs.

Les chiffres nous ont appris que 60 % des personnes jouaient en solo, alors qu’on en prévoyait pas plus de 40 %. On a tiré une vérité de ces statistiques, qui va être appliquée dans la prochaine version du jeu. On va pousser l’expérience multi-joueurs en intégrant une expérience sociale.

Emmanuel Guardiola rédige une thèse à Paris 8, en partenariat avec le CNAM, sur le profil psychologique des joueurs. Dans le cadre de ses recherches, il a été témoin de l’utilisation de ces outils.

Autrefois, les jeux c’était plus simple. On le produisait, on le mettait dans un bac, on l’achetait, ou pas. Maintenant, le développement se fait aussi une fois le jeu lancé. Ainsi, dès que le joueur fait un type d’action, on traque son comportement. Vous décidez de vous rendre chez un autre joueur sur un jeu Facebook ? Votre action est traquée !

Nouveau pain béni des éditeurs

Des pratiques totalement assumées par les développeurs, à l’image de Gilles Bellefontaine avouant devant OWNI faire “du pur tracking”. Force est de constater qu’il n’est pas le seul en France. De plus en plus de studios français franchissent le pas.

Le studio Humano Games a récemment sorti un jeu intitulé Happy Life, une sorte de Sims social. Le jeu, développé à 25 %, est déjà accessible sur Facebook. Pour l’instant, le seul retour sur expérience s’opère via les forums ou l’espace de commentaires. Stéphane Buthaud, à l’origine du projet, n’exclut pas d’y planter des balises :

On pourra connaître le temps d’une partie, puis de la deuxième, de la troisième. Comprendre afin d’y aller progressivement.

Aujourd’hui, pour satisfaire cette nouvelle demande, de jeunes sociétés ont décidé d’en faire leurs fonds de commerce. Chugulu a eu recours à une start-up américaine, Flurry, qui met “des outils analytiques” à disposition des développeurs. Charge à ces derniers de les placer aux endroits stratégiques : à la fin d’un niveau, à l’entrée d’une boutique en ligne, ou sur certains boutons interactifs. Il s’agit de ne pas placer des balises inutilement, afin d’éviter d’avoir une masse d’informations trop importante à analyser. Une centaine de balises peuvent ainsi être installées à l’intérieur d’un seul produit. Lesquelles envoient des milliers d’informations aux sociétés prestataires.

La France dispose des siennes, à l’image de Capptain, service de l’entreprise Ubikod. Contactée à plusieurs reprises par OWNI, elle n’a souhaité ni “montrer” ni “communiquer” sur ses activités. Laissant planer le flou autour des outils / méthodes qu’elle utilise et des clients qu’elle satisfait.

Décliner son identité

Sur Facebook et autres réseaux sociaux, en plus de pouvoir “tracker” votre comportement en jeu, les éditeurs ont accès aux données personnelles. En acceptant les conditions d’utilisation lors de l’installation d’un jeu, l’internaute s’engage à fournir au concepteur “son nom, sa photo de profil, ses réseaux, son identifiant, sa liste d’amis” et toutes autres “informations rendues publiques”. Un développeur de Chugulu lâche :

On peut avoir tout ce qu’on veut tant qu’on demande l’autorisation à Facebook.

Le champ des ouvertures devient immense. En vue d’affiner leurs analyses, les développeurs pourraient alors combiner l’identité virtuelle d’un internaute et son expérience de jeu. Au bout, ils seraient en mesure de dresser le profil psychologique du joueur, en échos à la définition chère à Stéphane Natkin : “comprendre la psychologie d’un joueur”.

Cela fait maintenant plusieurs années qu’on nous assène de discours moralisateurs avec ces concepts, à coup de billets de blogs, de conférences, d’ouvrages, de cours…

On nous dit de faire attention aux traces qu’on laisse.
On nous met en garde.
On nous prévient des conséquences à long terme des photos ou tweets que l’on publie aujourd’hui.
On ne doit pas dévoiler sa vie privée.
On nous parle de « personal branding », de e-réputation.
Paraître bien, être « bankable ». Penser à soigner son image, son CV, son pedigree.
Voir mon billet à ce sujet : « Beau sur facebook, intelligent sur twitter »
Être lisse, sans accrocs. Passer pour le gendre parfait, le candidat idéal, toujours, tout le temps.
Ça ne vous fatigue pas ? Moi, si.
Et si vous nous fichiez la paix avec toutes vos mises en garde et vos sermons ?

Personal branding ou obsession narcissique ?

Certes, travailler sur sa marque personnelle (personal branding) est important lorsqu’on recherche un emploi, des opportunités professionnelles ou personnelles.

Mais quand cette attention de soi devient chronique, cela ne génère t-il pas une forme de narcissisme ?

Narcisse était tombé amoureux de son image en contemplant son reflet dans l’eau, aujourd’hui les adeptes du personal branding se contemplent en se googlisant et en suivant au jour le jour leur score Klout (NdE : site permettant d’évaluer son “influence cumulée” à partir de son activité et de son suivi sur les réseaux sociaux).

Il y a à ce sujet un raccourci étrange que beaucoup de « moralisateurs du respect de la vie privée » utilisent : protéger sa vie privée permettrai d’améliorer sa marque, son image.

Ah bon ?

Finalement, ce raccourci se base sur le principe que notre vie privée est gênante, honteuse, dévalorisante.
Sous prétexte d’être attractif sur le web, il faudrait donc se taire, ne rien dire de soi ou de sa vie.

Effectivement, si l’on a un goût prononcé pour les contrefaçons et que l’on a été condamné pour faux et usages de faux, il est préférable de ne pas trop évoquer ce centre d’intérêt sur facebook si l’on est candidat à un poste au service « Carte nationale d’identité » de la Préfecture.

Facebook : un théâtre ou chacun choisit de jouer son rôle

Mais le mythe du candidat que le recruteur n’embauche pas parce qu’il a vu des « photos de beuverie » (j’adore cette expression) sur facebook me fait sourire.
Oui, cela a du arriver. Mais franchement, est-ce là l’essentiel ?

C’est un peu prendre les recruteurs pour des imbéciles que de faire croire qu’une photo de soirée avec une pinte de bière à la main pourrait faire perdre toutes ses chances à un candidat sérieux, qui possède un CV adéquat au profil recherché.

Un recruteur sélectionne sur un CV, par sur une photo de soirée, non ?
Par ailleurs, sur un CV, on décrit un peu de notre vie privée dans la classique partie « centre d’intérêts », pourquoi faire la même chose sur le web serait gênant ?

Quant-à la vie privée, oui, il faut la défendre, la protéger contre les coups de boutoir de facebook et cie, qui l’ébrèchent à chaque mise à jour.

Mais utiliser le terme de « vie privée » sur le médias sociaux est-il toujours pertinent ?

Lorsqu’un autre dévoile une part de ma vie sans mon accord, c’est une atteinte à ma vie privée. Et les outils et les lois doivent nous protéger de cela.

Mais lorsque je publie une photo de moi, que j’écris ce que je suis en train de faire ou ce que je pense, s’agit-il encore de vie privée ?

Non, puisque je fais la démarche de rendre ma vie publique.

Facebook n’est pas un trou de serrure qui nous permet de voir chez les autres à leur insu, c’est une scène de théâtre sur laquelle chacun vient jouer le rôle qu’il a choisi.

Voir mon billet « Facebook flatte le narcissisme et crée l’illusion d’être un people »

Sur les médias sociaux, on ne dévoile pas sa vie privée, on la met en scène.

Finalement, le concept de vie privée tel que nous le connaissons n’est-il pas amené à disparaître, ou en tout cas à être transformé ?

Par ailleurs, quand on parle de médias sociaux, on parle souvent de « partage ».
Quand on partage quelque-chose sur les médias sociaux, on donne un peu de soi aux autres, et on perd aussi quelque-chose (c’est le principe du partage, non ?)

Car on prend toujours un risque en exposant son point de vue ou en parlant de soi.

On se doute qu’on laisse des traces un peu partout.

Le droit à l’insouciance numérique

C’est le revers des médias sociaux ; mais je ne connais aucun outil, processus, système qui ne possède pas d’inconvénients.

Si l’on continue de partager en connaissance de ces risques, cela signifie peut-être que les bénéfices de notre usage sont plus grands que ses risques.

Je n’ai malheureusement pas de chiffres récents à ce sujet, mais j’ai souvent l’impression que beaucoup de moins de 30 ans se foutent souvent de toutes ces questions de vie privée.

Ce qui a le don d’irriter les quadras et quinquas, qui se sentent du coup investis par la mission de prévenir et de mettre en garde tous ces jeunes inconscients qui ne pensent même pas au conséquences de leurs actes.

« Mais vous vous rendez compte que les photos que vous publiez aujourd’hui, les traces que vous laissez, elle seront encore sur le web dans 20 ans… ».
« Oui…et alors ? »

Qu’une photo de beuverie ou qu’un échange entre 2 personnes sur le thème « qu’est ce qu’on fait ce soir ? » soit encore en ligne 20 après, au final, qu’est ce que ça change ?

Dans 20 ans, ces photos et ces échanges seront enfouis au plus profond de la décharge du web.

Ça vous arrive souvent, vous, de fouiller dans une décharge ?
Les médias sociaux ne connaissent pas l’archivage : par défaut, tout reste en ligne.

Mais rester en ligne signifie t-il rester visible ?

Pas forcément, surtout quand le volume des publications est tellement important qu’un contenu publié est rapidement oublié, noyé et balayé par le tsunami de l’information et son flux incessant de publications.

Et même si Google arrive à fouiller cette décharge, ces informations n’auront plus d’intérêt, car elles seront anachroniques, dépassées, périmées.

« Vous vous rendez pas compte des conséquences de vos actes dans le futur ? »

Cette mise en garde n’est-elle pas un réflexe de réac’ et de vieux blasés qui ont peur d’un outil qu’ils ne connaissent pas ?

« Prends garde à ce que tu fais aujourd’hui pour préparer ton avenir. »

Penser à l’avenir, toujours à l’avenir. Les psychologues confirmeront, il n’y a rien de plus anxiogène que de penser qu’aux conséquences de nos actes sans vivre le moment présent.

Certes, le droit à l’oubli numérique doit exister. Mais pourrions-nous aussi envisager un droit à l’insouciance numérique ?

A chaque décennie son sujet anxiogène associé à son discours moralisateur et son injonction d’oublier de profiter du présent pour ne pas compromettre le futur : le SIDA dans les années 90, la terre et l’écologie dans les années 2000…

Cela me fait penser aux mises en garde de notre décennie sur la vie privée…à la différence près qu’avoir une mauvaise réputation n’a jamais tué personne.

Mais les braves gens n’aiment pas que l’on suive une autre route qu’eux…

Photos et illustrations via flickr par Cade Buchanan [cc-by-nc-nd] et Tsevis [cc-by-nc-nd]

Andy Muller Maghun à Berlin en novembre 2011, (cc) Ophelia Noor pour Owni

Trente ans de hack et tous ses bits : depuis septembre 1981, le Chaos Computer Club [en] rassemble des hackers, ces adeptes passionnés de la bidouille et du détournement de finalité, en particulier dans l’informatique. Le petit groupe créé à Hambourg a ensuite migré à Berlin avant de faire des petits dans tout le pays, et même à l’étranger, au point de devenir la première organisation de ce type en Europe. Ils sont parvenus à acquérir, à coup de hacks restés dans les mémoires, une véritable influence politique dans le domaine des libertés numériques et de la protection de la vie privée.

Nous sommes revenus sur son histoire en compagnie d’Andy Müller-Maguhn, un de ses anciens, rentré en 1985, à l’âge de 14 ans. Membre du bureau, longtemps porte-parole, Andy navigue aujourd’hui entre plusieurs activités : journalisme (Buggedplanet [en]), consulting en informatique et communication sur Internet et enfin société de chiffrement des communications téléphoniques. Prolixe, affable, le regard étonnamment alerte et l’esprit fin, plein d’humour, l’homme fait vite oublier son physique imposant de nerd grassouillet.

L’entretien a eu lieu autour d’une bouteille de Club-Mate, la très caféinée boisson préférée des hackers, dans les locaux du CCC de Berlin. Un foutraque espace envahi d’objets plus ou moins utiles, souvent récupérés, comme les hackerspaces en regorgent : vieilles consoles d’arcade, tableau d’affichage d’aéroport détourné, stickers de revendication, canapés antédiluviens, et bien sûr câbles à foison, le tout formant un parfait contraste avec le bourgeois quartier de Mitte qui l’abrite.

Le CCC a été créé de façon informelle en 1981, par des pros de l’informatique qui se réunissaient pour discuter de l’impact des outils informatiques et de leur utilisation sur la société en tant que tel. Ils avaient dressé une liste des problématiques comme la privacy.

Le CCC s’est constitué plus officiellement en 1984, avec la sortie de leur magazine Die Datenschleuder [de] (L’essoreuse à données, littéralement, ndlr) et le premier Chaos Communication Congress. Je l’ai rejoint avant que le CCC ne devienne officiellement une association, en 1996. Je suis un des plus anciens (rires). J’avais envie de partager au sujet du hacking et de rencontrer davantage de gens qui jouaient avec les communications électroniques. Il regroupait des gens de classes sociales très différentes, un groupe très hétérogène mais avec des intérêts communs, c’était inhabituel et c’est encore le cas.

Le club était petit mais nous commencions à être connus en Allemagne, grâce au hack du Bildschirmtext, le Minitel allemand, en 1984. Nous avons rendu l’argent bien sûr, et nous avons donnée des explications publiques sur ce qui se passait.

C’était évident que les personnes qui jouaient avec des technologies qui deviendraient mainstream dix ans plus tard, avec Internet, comprennent, en tant que data traveller, que c’était déjà spécial de pouvoir voyager dans le réseau avec un petit ordinateur, à l’autre bout de la planète. À cette époque, en Allemagne, il y avait de grands mouvements contre les interférences du gouvernement dans la vie privée des citoyens notamment lors de leur proposition de recensement.

Quand je suis arrivé, il y avait 300 personnes. Aujourd’hui, nous sommes plus de 3.500 mais nous ne pouvons pas accueillir tout le monde dans les locaux à cause des normes de sécurité. Les congrès ont grandi petit à petit, et le magazine est passé de 200 lecteurs à un millier. Il était plus important dans les années 1990, c’était un trimestriel en édition papier, maintenant les informations sur le web sont vues en premier.

Le CCC est important dans le temps, dans le sens où différentes discussions y prennent place, des idées naissent, des gens se rencontrent. On peut dire que c’est chaotique, que c’est un endroit très, voire trop dynamique. Nous ne payons pas les gens. Personne n’est payé par le CCC. Cela n’a rien à voir avec l’éthique hacker. Nous voulons que les gens soient là pour la cause et pas pour l’argent, même si ce système a ses limites.

La manière dont nous faisons les choses a tellement changé. Aujourd’hui c’est un mouvement politique et culturel global, ce qui n’a pas toujours été le cas. Dans les années 80, peu de gens comprenaient ce qu’on faisait, c’était une vraie sous-culture, nous avions pas mal de problèmes juridiques, et nous avons dû nous renforcer sur ce point avec des experts. Que pouvions-nous hacker ou pas ? Comment faire la distinction entre ce qui est légal et les activités grises ?

La France est un bon exemple, si vous vous présentiez comme hacker, vous aviez deux options : aller en prison ou travailler pour le gouvernement. Le gouvernement surveillait de très près les personnes qui avaient des connaissances spécifiques dans la sécurité des systèmes Et c’est pour cela que la scène hacker ne s’y est pas autant développée.

Nous nous voyons aussi comme un lobby qui milite pour la protection de la vie privée et donc le contrôle des données personnelles, mais également pour la transparence et les technologies ouvertes, ou encore l’auto-régulation. En 2000 il y a eu l’introduction du mot nerd, comme pour revendiquer le droit de ne pas faire la vaisselle parce qu’on est complètement dans la machine. Mais cette culture geek m’est un peu étrangère, en tant que vieux routard, de même que celle du hackerspace.

Je ne pense pas qu’il existe un profil type. Nous en sommes à la 4-5^ème génération et j’ai arrêté de compter il y a bien longtemps. Comme le CCC est très décentralisé, nous avons des clubs dans toute l’Allemagne et partout dans le monde, les profils sont variés.

Le logo du CCC sur Marienstrasse, Mitte, Berlin

Au début c’était plutôt inspiré par la culture de gauche. La scène de hackers hardcore, la seconde génération, la mienne, était plus variée encore, avec aussi beaucoup de gens qui cherchaient à booster leur carrière, ils ne faisaient que passer mais ils apportaient beaucoup, des idées, des projets. C’est toujours ainsi que les choses vont.

Maintenant, la sphère Internet a apporté de nouveaux types d’emplois. Beaucoup de membres du CCC travaillent dans ce secteur, ils ont leur propres compagnies comme des fournisseurs d’accès à Internet (FAI), ou ils gèrent des parties du réseau. Ils partagent leurs connaissances mais ils prennent soin des besoins en infrastructure et s’impliquent dans les idéaux que défend le CCC. Pour ce qui est des femmes, nous sommes à peine au dessus de 10%…

Je pense que c’est vrai. Si vous regardez l’environnement politique en Allemagne, le CCC est une entité acceptée et reconnue parce qu’elle fait un travail pédagogique sur les technologies auprès du public depuis les années 1980. Nous avons toujours eu des histoires étranges qui nous parvenaient, sur des données qui disparaissent par exemple, et que nous pouvions expliquer.

Les médias allemands nous ont toujours perçus comme des gens qui savent vraiment ce que sont les technologies, leurs avantages et les dangers, et pas pour des types qui travaillent pour des entreprises ayant des intérêts économiques.

Nous avions donc le pouvoir de la définition et nous l’avons toujours utilisé. Dans les années 1990, avec les questions sur la régulation des télécoms et  la vie privée, nous avons été invités aux auditions du gouvernement. Nous avons essayé d’organiser la participation du public sur ces questions. Nous avons donc une histoire de lobbying vieille de vingt ans plus ou moins.

Nous ne voulons pas être intégrés formellement dans le processus législatif, mais nous jouons un rôle de contre-pouvoir, ils ne peuvent plus nous ignorer totalement. Nous sommes arrivés à un niveau où les politiciens ont besoin de notre expertise, et nous connaissons très bien les lois, nous pointons du doigt les erreurs. Notre avantage est que certains au CCC prennent en charge les questions plus politiques et d’autres celles relatives aux technologies.

Des questions comme celle de la vie privée sont très sensibles, notamment avec l’histoire de l’Allemagne de l’Est. On sait à quel point les abus structurels sont dangereux, parce que nous sommes passés par là, notamment en mettant des étoiles jaunes sur des gens avant de les envoyer à la mort.

Donc nous sommes aux aguets mais cela vient aussi du système éducatif allemand : à l’école, vous apprenez l’histoire du nazisme. Les Allemands sont anti-autoritaires. Vous ne trouverez personne ici pour vous donner un ordre.

Après, en tant qu’Allemand, deux aspects entrent en conflit dans notre code culturel. Vous aspirez à une grande efficacité et une excellente organisation dans ce que vous entreprenez. Mais vous avez aussi l’intime compréhension de ce que la hiérarchie peut apporter de mauvais dans la communication ou dans le fait de traiter les personnes comme des objets ou des pièces détachées.

Salle principale du Chaos Computer Club

Le CCC, par sa structure, essaie d’avoir le meilleur de ces deux mondes : être conscient du mal qui peut être fait, et arriver à faire les choses de manière efficace.

Le CCC de Berlin est né de la fusion de deux computer clubs, celui de Hambourg et celui de Berlin-Est. Je venais de Hambourg en 1989 quand le gouvernement d’Allemagne de l’Est est tombé. Nous avons pris contact avec des jeunes talents du club de Berlin-Est. Il est juste de dire que les jeunes avaient du mal à y entrer, ceux qui venaient appartenaient à des familles spécifiques, qui avaient accès à des machines de l’Ouest, des ordinateurs Commodore, etc.

Ils avaient des manières différentes de gérer les choses, ils improvisaient beaucoup. Ils ont aussi apporté leur humour et l’expérience d’avoir déjà renversé un gouvernement. C’est très important, il ne faut jamais sous-estimer la façon dont ils perçoivent le gouvernement de l’Ouest. Pour eux c’est une étape intermédiaire, il faut renverser ce gouvernement à un moment donné. C’est une question de temps. Les différences structurelles ne sont pas si grandes entre ce qui existait à l’Est et le système de l’Ouest. Les humains abusent les humains dans un système socialiste ou communiste. Le capitalisme, c’est l’inverse (rires).

Ils avaient aussi ce côté anti-autoritaire et ils ont été confrontés de près aux services secrets. A Berlin, leur expérience avec la Stasi (la police politique) a beaucoup enrichi le CCC. C’est un des services de renseignement les plus documentés au monde. Nous avons tous leurs manuels, et connaissons les techniques qu’ils utilisaient pour déstabiliser des groupes, semer le doute. Cet apport a été essentiel pour comprendre le monde actuel, et Berlin, cette sorte de bordel, entre l’Est et l’Ouest, avec des influences russes et américaines.

Les congrès ont toujours été un baromètre de ce qui se passait. Ils sont devenus internationaux au fil du temps, nous attirons des gens du monde entier, on se rend compte que le mouvement est global. C’est une grande réussite.

Le CCC est maintenant constitué de plusieurs clubs répartis en Allemagne et dans le monde et nous sommes tous connectés entre nous. Les organisations sont propres à chacun, je vois cette diversité comme un atout.

Ensuite, à titre personnel, nous sommes aussi passés par beaucoup d’emmerdes, qui nous ont permis d’apprendre. Nous savons ce qu’il ne faut pas faire, nous en avons tiré les leçons, on peut agir même dans des circonstances difficiles. Que ce soit des enquêtes de police, des gens tués, des intrigues, des discussions avec des points de vue très opposés.

Nous avons d’ailleurs une culture du débat très forte qui a pu dérouter beaucoup de gens. Personne ne quitte la salle, tout le monde reste et échange même si cela nous mène jusqu’à 3 heures du matin.

Mais ce processus de discussion et de création de nouvelles idées est plus difficile aujourd’hui car nous sommes très nombreux. Si vous me demandiez qui compose le noyau dur, je serais incapable de vous le dire. Dans un congrès avec 3.000 personnes, il y a des attentes dans la salle auxquelles il faut répondre. Cependant, ce n’est pas un show, c’est un moment où chaque personne est acteur. Mais comment discuter avec 500 personnes ?

Oui, mais ils sont un parti politique, ils ont sûrement besoin de se mettre d’accord sur certains sujets. La démocratie liquide, c’est aussi déléguer votre non-expertise sur un sujet spécifique a une personne qui a les connaissances et agirait dans le meilleur de vos intérêts.

Mais les communications peuvent aussi passer par des outils comme Jabber ou les chat rooms, ceci dit je suis un peu conservateur sur des outils comme Twitter. Je suis désolé mais en tant qu’Allemand, quand je vois le mot « follower », je pense à l’Allemagne nazie. Je ne peux pas utiliser ça.

Regret ? Quel regret ? Le problème, c’est que vous enregistrez là. Nous nous sommes mis d’accord avec les porte-paroles du CCC pour ne pas faire de commentaires sur Domscheit-Berg. C’est trop controversé. Les gens sont très partagés sur cette histoire, certains pensent qu’il est un type bien et d’autres que c’est un espion américain. J’ai dit ce qu’il y avait dire, dans ma déclaration, qui est très précise sur le sujet.

Le bureau du CCC a pris la décision. En fait, il existait une histoire déjà plus ancienne avec des personnes du club qui étaient mal à l’aise avec son attitude. Mais nous ne voulions pas prendre parti. Nous aimons bien l’idée de faire fuiter des documents, fournir une aide logistique pour soutenir des gens dans une situation délicate avec un gouvernement, parce que nous sommes pour la liberté d’information, un de nos buts historiques.

"Ce système est-il pertinent ?"

Concernant les problèmes entre certaines personnes pour lesquels nous n’étions pas là, nous ne prenons pas partie. Cependant ce que nous ne voulions pas et qui était devenu problématique, c’était que Daniel utilisait régulièrement les locaux du CCC pour donner ses interviews à la presse ou la télévision. Cela laissait l’impression que le CCC était directement impliqué dans son projet. Tous les membres ici ont des projets personnels ou dans lesquels ils participent en tant que contributeurs. En fait, personne ne le connaissait avant qu’il n’arrive de WikiLeaks à nous, et il n’était pas un membre de longue date du CCC. Il ne demandait pas la permission alors que les gens ne cessaient de lui rappeler qu’il devait cesser ce comportement.

Ce qu’il a fait au CCCamp a été la goutte d’eau qui a fait déborder le vase. Les gens se sont sentis abusés par son comportement, le fait qu’il utilise le camp comme test pour son projet et le déclare ensuite sécurisé. Toujours sans demander l’avis du Club. Je n’étais pas contre son projet ou sa personne mais par exemple, pendant son discours d’introduction, j’ai réalisé qu’il n’était pas question de logiciel open source, que la structure de son projet n’était pas transparente, rien n’était ouvert dans OpenLeaks. Tout était à l’opposé des valeurs et principes du CCC.

J’avais peut-être plus de capacités à exprimer mon malaise face à cette situation. J’ai fait une interview avec Der Spiegel [en]. Cela est inacceptable, c’est ce que j’ai dit. En même temps, j’ai aussi été surpris par la réaction des gens, le virer n’était pas mon idée mais c’est ce sur quoi nous sommes tombés d’accord à la fin, à l’unanimité.

Des gens voulaient lui donner une autre chance, ou attendre la fin du camp, en disant ne nous battons pas à minuit. Ne vous méprenez pas, je comprends l’envie de vouloir des relations harmonieuses mais pour avoir une cohérence dans nos processus et nos idées politiques, il est inévitable d’avoir des discussions qui peuvent fâcher. C’est beaucoup plus sain de dire les choses telles quelles sont. Le temps ne peut pas être toujours au beau fixe.

Quand j’ai visité la première conférence de hackers aux États-Unis, j’ai été surpris de voir comment les services gouvernementaux venaient recruter de manière totalement ouverte sur place, à quel point c’était normal de travailler pour le gouvernement. Si votre système de valeur est basé sur votre niveau technique, votre employeur n’a pas d’importance. Mais s’il repose sur la liberté d’information, alors les services secrets représentent le contraire de ce en quoi vous croyez. Leur but est de garder l’information secrète.

J’ai été invité à une conférence à Washington appelée Open Source Intelligence, et j’y ai croisé des gens de l’ambassade d’Allemagne qui en fait venaient des bureaux des services secrets allemands. Je leur ai demandé ce qu’était cette culture du secret : ils me l’ont dit directement, « nous cherchons à ralentir les processus pour mieux les contrôler ».

Entre autres valeurs, les hackers, au sens du CCC, veulent donner à tout le monde le pouvoir de savoir ce qui se passe, afin de les aider à se décider en toute connaissance de cause. De ce point de vue, il n’est pas acceptable pour nos membres de travailler pour ces organismes.

Nous avons vécu des situations difficiles, avec Karl Koch, mais pas seulement : d’autres personnes ont travaillé pour le KGB. C’était la Guerre froide, les années 80, une période difficile avec des enquêtes de police, des fouilles, et entre nous également : à qui pouvions nous faire confiance ? Aujourd’hui, c’est une question d’argent et de carrière. Bien sûr il y a toujours de vrais espions, et puis les informateurs de base, mais ceux-là, on les repère facilement et on sait les gérer. Cependant, le plus problématique, ce sont les gens talentueux techniquement qui ne se soucient pas de savoir qui les paye pour bosser sur les infrastructures d’Internet ou l’interception de données.

L’argent a toujours été un argument et pas seulement chez les jeunes. Bien sûr, quand votre situation n’est pas stable financièrement vous pouvez céder plus facilement, cependant il faut construire une sorte d’immunité contre ça.

Karl Koch et Tron sont des exemples de figures connues qui sont morts pour ces raisons et ils servent donc d’exemples historique pour la jeune génération. C’est un savoir qu’on transmet. Certains sont venus nous voir en disant qu’ils avaient été piègés par des services secrets. Au début, ce sont des compagnies privées qui les contactent pour un job, et petit à petit il devient clair que le travail demandé est de moins en moins innocent.

Si on vous demande de venir travailler pour le gouvernement, ici, on vous enverra bouler. Mais si on vous appâte avec un challenge technique vous allez y aller. Ils font ça très bien. C’est comme l’histoire de la grenouille qui bout.

D’un point de vue pratique, ces camps nous servent d’entrainement à la survie. Est-ce qu’on peut fournir de l’énergie, du réseau, du Club-Mate ?… Le premier camp nous a coûté très cher : nous n’avions pas prévu certaines choses essentielles au niveau des infrastructures, tel que vider les toilettes, ou avoir de l’eau chaude pour les douches.

Cette expérience peut être d’un intérêt vital dans d’autres circonstances : comment construire un réseau internet quand il n’y a aucune infrastructure à disposition par exemple. La scène hacker apporte sa compréhension de l’intérieur des technologies, avec sa façon de soulever les questions technique et politiques, et de se préparer à tout faire par soi-même. Ceeux qui sont déjà passés par là transmettent leur savoir aux autres, et les gens contribuent, participent à ce système ouvert. Je ne sais pas à quel point ce que nous faisons est super sérieux, mais au moins il y a de l’idée, et un état d’esprit.

(soupir) Disons-le ainsi : les partis politiques sont des formes d’organisation compliquées. En participant à ce processus, au moins ces cinquante dernières années, vous deviez être d’accord avec ce que la majorité avait décidé, même si vous aviez d’autres idées ou connaissances à ce sujet, d’où l’existence de micro-groupes au sein des grands partis. La démocratie a été définie différemment. Le Parti Pirate est l’occasion de sortir de ce processus. J’aime beaucoup l’idée, c’est sympathique.

Le plus intéressant est de voir combien les autres politiciens ont peur de cette nouvelle organisation. Ils essaient de s’impliquer dans ces questions autour de l’Internet, ils appellent des agences de communication, lisent les papiers du CCC, essaient de parler le même langage que la jeune génération. Les politiciens ne peuvent plus ignorer les jeunes, ce qu’ils ont fait pendant longtemps, de même qu’ils ne peuvent plus se contenter, pour parler des réseaux, d’agiter le spectre de la pornographie sur Internet.

Ils adoptent la “hugging strategy” (stratégie du bisous), du genre « on est copains avec vous » : ils ont essayé de nous inviter, mais nous gardons nos distances, même avec le Parti Pirate. Nous discutons avec tout le monde. C’est sympa le Parti Pirate et nous verrons comment ils évoluent. Ce qui est intéressant, c’est qu’ils sont attentifs à se maintenir à l’écart des fonctionnements traditionnels.