Interview d’Adrienne Charmet - Polygeek
Titre : Interview d’Adrienne Charmet par Adrien
Intervenants : Adrienne Charmet - Adrien
Lieu : Polygeek#56 - Privacy Go
Date : Août 2016
Durée : 32 min 38
Licence : Verbatim
Statut : Transcription MO
Transcription
00'
Voix Off : Je vous demande de vous arrêter.
Adrien : Bonjour. Je suis avec Adrienne Charmet qui est porte-parole et coordinatrice es campagnes de La Quadrature du Net depuis 2014. Et auparavant tu étais présidente puis directrice des programmes de Wikimédia France, entre 2019 et 2014. Tu es une militante, spécialiste, en gros, de tout ce qui touche au Libre, à la protection de la vie privée, liberté d’expression sur Internet, la neutralité du Net, tout ça. Du coup ce sont des sujets qui nous sont chers à Polygeek. Le sujet qu’on voulait explorer aujourd’hui c’est celui de la protection de la vie privée, des données personnelles. C’est un sujet qui est relativement large. Il y a beaucoup de choses à dire en ce moment sur ça. Et peut-être que pour commencer on pourrait revenir sur un évènement qui a marqué l’actualité il y a quelques mois, l’affaire de l’iPhone de San Bernardino.
Pour un petit rappel c’est le FBI qui avait demandé à Apple de déverrouiller un iPhone dont le propriétaire était impliqué dans un crime. Et il s’en est suivi quelques semaines/mois de bagarre médiatique et judiciaire jusqu’à ce que le FBI annonce qu’il l’avait débloqué par ses propres moyens. C’est quoi le regard que vous jetez sur ça quelques mois après cette histoire ?
Adrienne Charmet : La première chose à dire, peut-être, sur cette histoire, c’est que n’est pas simplement un crime. Il n’avait pas servi simplement à un crime, il avait servi à un acte terroriste et ça change pas mal de choses. Parce que ça a mis en lumière pas mal de problèmes qui se posent aujourd’hui avec la pression du risque terroriste. Ce n’est pas la première fois que le FBI demande à Apple de déverrouiller des iPhones. Ce n’est pas la première fois que le chiffrement pose un problème. Mais la raison pour laquelle ça a été aussi médiatisé et peut-être la raison pour laquelle Apple a tenu une position très ferme là-dessus c’est que l’argument du terrorisme est devenu, en fait, une sorte d’argument moral. Il faut se souvenir que ce n’était même pas, on va dire, deux/trois mois après les attentats de novembre en France. Quel regard on porte là-dessus ?
D’une part, on va dire, on a deux problèmes sur cette question-là. On a la question des outils qui deviennent inviolables, donc d’un chiffrement lourd, qui n’est pas maîtrisé par un intermédiaire mais maîtrisé directement par l’utilisateur. C’est-à-dire que l’argument d’Apple est de dire : « Je ne peux déverrouiller, moi, cet iPhone. Ce que vous me demandez de faire c’est de créer une porte dérobée qui peut servir à déverrouiller cet iPhone mais aussi d’autres. » On est obligés de remonter plus haut, on va dire, dans la conception de l’appareil pour pouvoir le déverrouiller. Donc ça c’est la première question : qu’est-ce qu’on fait avec ce chiffrement robuste, maîtrisé par l’utilisateur où, en fait, si l’utilisateur ne donne pas la clef de déchiffrement, personne ne peut y accéder ?
Le deuxième problème qui se pose, c’est un problème de pression sur le principe du chiffrement en lui-même. Alors quelle est notre position là-dessus ? Nous on n’a pas publiquement dit on soutient Apple, etc., même si dans la pratique on soutenait la position que Apple soutenait. Nous on est partisans depuis très longtemps du droit au chiffrement, à l’anonymat et à la vie privée. Ça veut dire qu’on soutient un droit absolu, pas simplement dans les affaires de terrorisme. Il ne s’agit pas de dire on soutient le droit des terroristes à chiffrer : on soutient le droit du chiffrement. Point barre. C’est-à-dire que dans un univers où on a une explosion des communications électroniques de toute nature, que ce soit d’aller consulter des sites internet, d’effectuer des transactions ou de communiquer avec des personnes, on a donc une explosion des communications électroniques. On a une explosion ou du moins une exposition de la surveillance qui est exercée sur ces communications. On l’a vu avec l’affaire Snowden, mais on le voit aussi avec des lois en France comme la loi sur le renseignement qui tape directement sur les données de connexion et sur les télécommunications. Et du coup, une vie privée des citoyens, des gens, qui est, en fait, massivement attaquée par ces deux aspects. C’est-à-dire, à la fois, on expose nous-mêmes, en permanence, beaucoup plus notre vie privée, de manière soit consciente, soit inconsciente. On fait la plupart de nos démarches administratives sur Internet, nos achats sur Internet, nos communications avec les gens passent majoritairement par des mails, des Skype, des conversations par voie d’Internet beaucoup plus maintenant que par du courrier papier ou voilà ! On a une exposition massive de la vie privée des gens et une surveillance ou une capacité de surveillance massive. Donc affirmer le droit au chiffrement c’est quelque chose de fondamental et l’affirmer y compris quand on est dans des cas dramatiques, y compris quand on est dans des cas sensibles comme celui de San Bernardino où on a cette personne qui a commis des actes de terrorisme, des crimes, etc., il faut bien avoir conscience de la différence entre accéder à un appareil et poser le principe qu’il n’y a plus rien d’inviolable.
Pour nous l’enjeu est vraiment là, donc c’était hyper important que Apple ne cède pas sur cette question-là. Finalement le FBI, a priori, a réussi à craquer l’iPhone avec l’aide peut-être d’une boîte israélienne spécialisée dans ces questions-là. On ne peut pas se satisfaire de se dire eh bien voilà, on commence par dire qu’il faut empêcher le chiffrement de bout en bout et le chiffrement robuste parce que dans les cas de terrorisme ça pourrait être un problème. On sait très bien que si on ouvre la porte, si on commence à céder sur la question du chiffrement, on va continuer à céder : au début on commence par le terrorisme et la pédophilie, et ensuite ce sont les crimes lourds et puis ça devient les délits et puis ensuite, en fait, on n’a plus rien du tout de protégeable. Donc notre position est vraiment là, de se dire y compris dans les cas dramatiques, on doit absolument protéger ce principe et l’ancrer, le solidifier, parce que le rapport de force entre la volonté d’intrusion et de surveillance des États et l’exposition majeure de la vie privée des internautes, eh bien le rapport de force n’est pas équilibré si on n’a plus la capacité de chiffrer ses communications.
Adrien : Tout ça fait écho à PRISM, à l’affaire Snowden, et tout le système de surveillance généralisée qui avait été dévoilé. Est-ce que, finalement, on peut vraiment faire les confiances à Apple et aux autres grands groupes de l’Internet et de l’informatique pour protéger et stocker nos données personnelles comme ça été le cas dans cette histoire-là ? Ou est-ce que non ?
Adrienne Charmet :Je crois que par principe il ne faut pas faire confiance à des intermédiaires ou il faut leur accorder la confiance limitée dont on peut être sûr, en fait. Pourquoi est-ce que Apple, mais aussi Google s’est déclaré soutien d’Apple dans cette histoire, et Microsoft qui n’était pas trop à l’époque de cette histoire d’iPhone mais aujourd’hui est en train ses politiques de sécurité. Pourquoi est-ce qu’ils font ça ? Ce n’est pas parce que ce sont des grands bienfaiteurs de l’humanité, c’est parce qu’ils s’en sont pris plein la gueule à l’époque de l’affaire Snowden. C’est-à-dire que, tout d’un coup, ce qui est important de comprendre dans l’affaire Snowden, ce n’est pas tant de se dire il y a de la surveillance. Mon Dieu, les espions espionnent ! Oui, tout le monde s’en doute ! En revanche quelque chose qui a été découvert et exposé à ce moment-là, c’est le degré de collaboration, volontaire ou involontaire, des grandes entreprises de l’Internet avec les services de renseignement. C’est le cas aux États-Unis, c’est le cas aujourd’hui en France aussi, où eh bien je reviens toujours à la loi sur le renseignement, on a des dispositifs qui ciblent directement les opérateurs.
Donc s’ils l’ont fait c’est parce qu’ils ont perdu des parts de marché, c’est parce qu’ils ont eu de la pression. Ce n’est pas tant les particuliers qui se sont détournés de ces boîtes, mais ce sont les entreprises qui ont arrêté de mettre leur cloud d’entreprise ou qui ont réfléchi à d’autres solutions. Donc c’est bien qu’il y ait cette pression parce que ça les force à développer des politiques de sécurisation et de chiffrement. Certains le font en disant « confiez-nous toutes vos données et nous on les sécurise ! » Ça va être, par exemple le cas de Facebook, enfin le passage en https de toutes les grosses boites. Tous les gros mailers se sont mis à passer en https, mais eux ont toujours, finalement, accès à ces informations. C’est intéressant que se développent des solutions soit d’appareils intégralement chiffrés, soit de messageries très chiffrées comme WhatsApp ou Signal, où là les boîtes n’ont même plus la capacité de déchiffrer le contenu. En revanche, tant que leur modèle économique n’aura pas changé ! Alors Apple ou Microsoft n’ont pas tant un modèle économique basé sur l’exploitation des données personnelles, mais Google, par exemple, ou Facebook, ou Twitter ont un modèle économique intégralement basé sur le tracking de leurs utilisateurs pour leur proposer de la publicité.
Donc là on arrive au point faible de l’histoire. Est-ce qu’on peut faire confiance à une entreprise pour protéger nos données quand son business est d’exploiter nos données ? Il y a vraiment besoin d’aller trouver des modèles économiques alternatifs pour pouvoir, déjà, avoir une autre solution que d’avoir une exploitation massive des données. Donc, non, pas de confiance là-dessus et pas de confiance non plus dans des entreprises qui sont dans une logique de grossir toujours plus en intégrant toujours plus et en interopérant toujours plus de services. À La Quadrature, on défend très fortement la décentralisation d’Internet, en disant, enfin ce sont les bons vieux proverbes paysans de ne pas mettre tous ses œufs dans le même panier. À partir du moment où on est en mesure de cloisonner un peu plus les endroits où on laisse des traces, eh bien forcément c’est plus sécurisant. On peut choisir d’avoir des outils plus sécurisés que d’autres. Si je prends l’exemple de WhatsApp, la mécanique, la technologie de WhatsApp est hypersécurisée, mais c’est Facebook qui a accès à tout. Moi je ne vais pas utiliser WhatsApp, parce que je veux pas que ce soit Facebook qui ait accès à tous mes contacts, à toutes ces informations-là. Heureusement, existent à côté d’autres solutions, qui utilisent les mêmes technologies mais qui ne sont pas liées à Facebook, mais pour combien de temps ? Voilà.
Donc il y a deux raisons pour lesquelles je ne ferai pas confiance et on ne fera pas confiance à ces entreprises, la première c’est leur politique d’exploitation des données personnelles, et la deuxième c’est leur concentration. Et même des boîtes comme Apple qui ne font pas une énorme exploitation des données personnelles à des fins publicitaires, elles font une énorme exploitation des données personnelles à des fins de vendre dans leur Store, dans leur Apple Store, tout un tas de choses et de prioriser. Apple, on tourne en circuit fermé, donc en fait il y aune énorme forteresse, une énorme muraille à l’extérieur, mais à l’intérieur c’est tout autant exploité qu’ailleurs, donc c’est presque la même chose qu’un Google.
11’ 02
Adrien : La problématique c’est aussi la simplicité d’accès aux services qui permettent de faire les choses de façon bien. Il y a des projets qui sont menés en moment pour essayer d’améliorer ça ?
Adrienne Charmet : Oui. Alors à La Quadrature, on n’est pas une boîte de développement, donc nous on crée ou on maintient ou on propose certains outils. Par exemple on a ouvert l’année dernière un Jabber sécurisé sur lequel on peut avoir des communications vraiment sécurisées avec OTR, enfin pour ceux qui connaissent ce genre de choses, qu’on met à disposition. Il y a un vrai besoin de création d’outils sécurisés qui ne soient pas dépendants de ces très grosses entreprises. Il y a un projet qui est mené par un membre du Conseil d’Orientation stratégique de La Quadrature, qui s’appelle Laurent Chemla, projet qui s’appelle CaliOpen, qui est vraiment un projet de plateforme de communication dans laquelle on pourrait faire arriver nos différents outils et qui sécurise ces différents outils. Ce sera encore long !
C’est forcément compliqué parce que, comme on a cet objectif de décentralisation, on reste sur des petites unités et des petits groupes et des outils qui ne géreront jamais l’intégralité des besoins de l’utilisateur. Là, pour le coup, notre rôle à La Quadrature, peut-être plus que de développer des outils, il est, en tout cas ce type d’outils-là, il est d’expliquer et de promouvoir l’accès à ces outils, et puis aussi d’expliquer. Il y a vraiment les deux versants : expliquer aux utilisateurs qu’il va falloir, peut-être, faire un petit effort pour redécentraliser ses communications, et puis, de l’autre côté discuter aussi et travailler avec les développeurs de ces outils pour faire remonter ou pour travailler sur l’ergonomie, sur l’interface, sur l’accès. Quand on est un super développeur, tout à fait à l’aise avec les outils de chiffrement par exemple, on peut avoir tendance à oublier à quel point ça peut être difficile d’accès.
Ici, à La Quadrature, on a des pratiques de communication assez sécurisées. Par exemple on utilise GPG toute la journée, on chiffre tous nos mails, nos listes de discussion sont chiffrées. Une fois que c’est bien paramétré, ça marche tout seul. Il y a toujours ce risque d’oublier ce que c’est que d’installer et d’utiliser des outils de chiffrement pour quelqu’un qui n’est pas du tout à l’aise avec l’informatique. Ça c’est un point super important. Notre rôle est là, dans cette explication, cette interface des deux côtés. Et puis il est surtout de faire prendre conscience de l’importance de cette protection des données, parce que, bien trop souvent, on a un discours super fataliste des gens avec qui ont parle qui disent soit :« Ah, mais de toutes façons l’exploitation des données à des fin publicitaires, ça a toujours été comme ça, on ne pourra pas s’en passer ! » Alors ils se protègent avec un coup d’AdBlock, un coup de bloqueur de pubs, de bloqueur de tracker, mais finalement il n’y a pas de remise en question du système. Une espèce de fatalisme comme quoi, de toute façon, on sera pisté tout le temps. Et dans l’autre sens, vis-à-vis des États, parce qu’il y a vraiment toujours cette double exploitation État et entreprise, du côté des États il y a ce côté : « De toute façon moi c’est bon, je ne suis pas dangereux, je n’ai rien à cacher, je n’ai rien à me reprocher donc ils ne viendront pas me chercher. Et puis, de toute façon, je ne pourrai pas le savoir, de toute façon je ne verrai rien, de toute façon on ne peut rien y faire ! » Donc il y a cette espèce de fatalisme qui est vraiment à combattre en disant eh bien non, c’est à nous aussi, par nos pratiques de faire monter le coût de la surveillance, d’empêcher d’utiliser sciemment des outils dont on sait que ce sera compliqué d’aller les craquer et de les utiliser tout le temps. Pas que juste quand on a besoin d’envoyer un truc super sensible, mais de les utiliser tout le temps. Ça demande vraiment des changements de pratiques et de l’éducation.
Adrien : Merci. Plus au niveau européen, il y a tout un tas de mesures qui sont en train d’être prises ou sur lesquelles il y a des discussions en ce moment au niveau européen pour tenter d’encadrer les échanges de données personnelles entre, en tout cas ce qui sort du territoire européen vers les États-Unis. Je pense au Privacy Shield. Qu’est-ce que c’est censé apporter ? Est-ce que, même par rapport à ce que ça encadre, c’est quelque chose qui serait efficace, même s’il y a des trous dedans, etc. ?
Adrienne Charmet : Le Privacy Shield, c’est un texte, c’est un accord d’adéquation, c’est un peu compliqué. Ce n’est pas un traité, c’est un texte à signer entre l’Europe et les États-Unis pour dire « on reconnaît qu’on est à peu près au même niveau de garantie sur la protection des données personnelles. » C’est un texte qui est censé chapeauter les échanges de données entre l’Europe et les États-Unis. Ce sont tous les échanges de données de boîtes américaines en gros, qui opèrent sur le territoire européen.
Il est en cours d’adoption parce que l’accord précédent qu’on appelait le Safe Harbor, qui était en place depuis 2 000, a été cassé par la Cour de justice de l’Union européenne suite à l’action judiciaire d’un militant qui s’appelle Max Schrenz, qui a d’abord attaqué Facebook, puis sa CNIL, puis la CNIL irlandaise en disant, notamment, depuis les révélations de Snowden on sait qu’il y a une surveillance massive exercée via les gros opérateurs de type Facebook aux États-Unis. Moi je suis un citoyen européen, je ne veux pas être soumis et c’est contraire à la Charte européenne des droits de l’homme que je sois soumis à la surveillance massive et indiscriminée des États-Unis, et je n’ai aucun recours. Que faites-vous ? Donc la Cour de justice de l’Union européenne a cassé cet accord et aujourd’hui, depuis octobre de l’année dernière, c’est assez compliqué juridiquement, les échanges de données n’ont pas cessé. C’est-à-dire qu’on aurait pu avoir, début octobre l’année dernière, une fermeture de Facebook, Google, etc. Ça n’a pas été le cas, mais ça aurait été intéressant pour prendre conscience du problème. Et donc là, le Département du Commerce américain et la Commission européenne sont en train de fouetter tout le monde pour que cet accord soit signé le plus vite possible.
Cet accord prévoit d’autoriser les échanges de données, prévoit un alignement à peu près sur les durées de conversation des données entre le règlement européen qui régente toutes les lois sur la protection des données personnelles en Europe, et la loi américaine. Et il instaure le principe d’une sorte d’homme de confiance ou de personnalité qualifiée, on appellerait ça en droit français, dépendant du Département d’État américain, mais, en théorie, totalement indépendant, qui serait chargé de recueillir les plaintes des Européens sur les questions de surveillance notamment, mais pas que, et de vérifier, de faire appliquer les standards européens aux États-Unis et notamment de vérifier si les personnes ont été mises sous surveillance.
Nous on n’est pas du tout satisfaits de ce cadre-là, parce que dans le projet de texte du Privacy Shield, on dit, en gros, bon il ne faut pas faire de la surveillance de masse, tout ça, sauf si c’est pour des questions de sécurité nationale, de lutte contre le terrorisme, etc.
Donc on est toujours dans les mêmes questions. À chaque fois on dit : « On pose le principe de pas de surveillance de masse », et après on met tout un tas d’exceptions qui sont toujours des exceptions liées à la sécurité. Donc objectivement il n’y a rien de changé. L’arrêt de la Cour de justice européenne disait : « Un citoyen européen ne peut pas faire l’objet d’une surveillance de masse, c’est contraire au traité européen et à la Charte européenne des droits de l’homme. » Eh bien là, on a accord qui continue à dire que s’il y a des raisons de sécurité nationale, on peut faire l’objet d’une surveillance. Cet homme, cette personnalité qualifiée, qui serait la porte d’entrée des Européens auprès des États-Unis, ne va pas vous dire :« vous avez été mis sous surveillance, vous n’avez pas été mis sous surveillance. Elle va faire ses vérifications et vous dire : c’est bon, tout est dans les règles ou ce n’était pas dans les règles, on a réglé le problème. » On n’a aucune assurance qu’elle a réglé quoi que ce soit. On n’a aucune idée du préjudice en termes d’intrusion dans la vie privée. Ça ressemble beaucoup au processus qui a été mis en place avec la loi renseignement en France, où on a commission de contrôle des techniques de renseignement, qui est quand même très dépendante hiérarchiquement du pouvoir exécutif et qui ne va jamais vous dire si vous avez été surveillé ou pas, mais qui va juste faire ce travail de vérification, dont on ne saura finalement rien. Donc on n’en est pas très contents et surtout on a l’impression que le sujet de fond qui est le sujet de la surveillance de masse, que les Américains n’appellent pas surveillance de masse, ils appellent ça collecte de masse. Ils disent la surveillance ça ne commence que quand on traite les données. Nous on dit et la Cour de justice de l’Union européenne dit : « Non, la surveillance commence quand on collecte les données. »
Mais tout ça procède aussi d’une sorte de malaise qui est que tout le monde tape sur la surveillance des États-Unis, mais en réalité, plusieurs pays européens font la même chose. Que ce soit la Grande-Bretagne ou que ce soit la France, par exemple, le principe de la collecte de masse a été acté dans la loi. La loi sur le renseignement, notamment, autorise les interceptions massives sur les câbles sous-marins qui font transiter les données entre l’Europe et les États-Unis, et le reste du monde. Donc c’est très compliqué d’arriver à un accord qui protège efficacement et réellement les Européens, parce que, eh bien finalement les États européens n’ont pas tant d’intérêts que ça à ce qu’on interdise la surveillance de masse aux États-Unis parce qu’après les boîtes américaines pourraient dire « eh bien oui, mais regardez en Europe il y a la même chose, il y a des principes de surveillance de masse. » Les citoyens européens pourraient dire « mais attendez, comment ça on serait mieux protégés aux États-Unis qu’en France, etc. » Donc finalement on a un accord hyper bancale et qui est négocié et signé au pas de charge par la Commission européenne qui est surtout hyper inquiète de ce vide juridique existe depuis octobre 2014 sur les transferts de données, en disant « si jamais quelqu’un nous attaque ça va être l’enfer ! » Mais vu l’état de l’accord, je pense que, que ce soit Max Schrenz ou d’autres, on remontera jusqu’à la Cour de justice de l’Union européenne parce la question n’est pas réglée
20’ 03
Adrien : Il y a certain nombre de consultations