Interview d’Adrienne Charmet - Polygeek
Titre : Interview d’Adrienne Charmet par Adrien
Intervenants : Adrienne Charmet - Adrien
Lieu : Polygeek#56 - Privacy Go
Date : Août 2016
Durée : 32 min 38
Licence : Verbatim
Statut : Transcription MO
Transcription
00'
Voix Off : Je vous demande de vous arrêter.
Adrien : Bonjour. Je suis avec Adrienne Charmet qui est porte-parole et coordinatrice des campagnes de La Quadrature du Net depuis 2014. Et auparavant tu étais présidente puis directrice des programmes de Wikimédia France, entre 2019 et 2014. Tu es une militante, spécialiste, en gros, de tout ce qui touche au Libre, à la protection de la vie privée, liberté d’expression sur Internet, la neutralité du Net, tout ça. Du coup ce sont des sujets qui nous sont chers à Polygeek. Le sujet qu’on voulait explorer aujourd’hui c’est celui de la protection de la vie privée, des données personnelles. C’est un sujet qui est relativement large. Il y a beaucoup de choses à dire en ce moment sur ça. Et peut-être que pour commencer on pourrait revenir sur un évènement qui a marqué l’actualité il y a quelques mois, l’affaire de l’iPhone de San Bernardino.
Pour un petit rappel c’est le FBI qui avait demandé à Apple de déverrouiller un iPhone dont le propriétaire était impliqué dans un crime. Et il s’en est suivi quelques semaines/mois de bagarre médiatique et judiciaire jusqu’à ce que le FBI annonce qu’il l’avait débloqué par ses propres moyens. C’est quoi le regard que vous jetez sur ça quelques mois après cette histoire ?
Adrienne Charmet : La première chose à dire, peut-être, sur cette histoire, c’est que n’est pas simplement un crime. Il n’avait pas servi simplement à un crime, il avait servi à un acte terroriste et ça change pas mal de choses. Parce que ça a mis en lumière pas mal de problèmes qui se posent aujourd’hui avec la pression du risque terroriste. Ce n’est pas la première fois que le FBI demande à Apple de déverrouiller des iPhones. Ce n’est pas la première fois que le chiffrement pose un problème. Mais la raison pour laquelle ça a été aussi médiatisé et peut-être la raison pour laquelle Apple a tenu une position très ferme là-dessus c’est que l’argument du terrorisme est devenu, en fait, une sorte d’argument moral. Il faut se souvenir que ce n’était même pas, on va dire, deux/trois mois après les attentats de novembre en France. Quel regard on porte là-dessus ?
D’une part, on va dire, on a deux problèmes sur cette question-là. On a la question des outils qui deviennent inviolables, donc d’un chiffrement lourd, qui n’est pas maîtrisé par un intermédiaire mais maîtrisé directement par l’utilisateur. C’est-à-dire que l’argument d’Apple est de dire : « Je ne peux déverrouiller, moi, cet iPhone. Ce que vous me demandez de faire c’est de créer une porte dérobée qui peut servir à déverrouiller cet iPhone mais aussi d’autres. » On est obligés de remonter plus haut, on va dire, dans la conception de l’appareil pour pouvoir le déverrouiller. Donc ça c’est la première question : qu’est-ce qu’on fait avec ce chiffrement robuste, maîtrisé par l’utilisateur où, en fait, si l’utilisateur ne donne pas la clef de déchiffrement, personne ne peut y accéder ?
Le deuxième problème qui se pose, c’est un problème de pression sur le principe du chiffrement en lui-même. Alors quelle est notre position là-dessus ? Nous on n’a pas publiquement dit on soutient Apple, etc., même si dans la pratique on soutenait la position que Apple soutenait. Nous on est partisans depuis très longtemps du droit au chiffrement, à l’anonymat et à la vie privée. Ça veut dire qu’on soutient un droit absolu, pas simplement dans les affaires de terrorisme. Il ne s’agit pas de dire on soutient le droit des terroristes à chiffrer : on soutient le droit du chiffrement. Point barre. C’est-à-dire que dans un univers où on a une explosion des communications électroniques de toute nature, que ce soit d’aller consulter des sites internet, d’effectuer des transactions ou de communiquer avec des personnes, on a donc une explosion des communications électroniques. On a une explosion ou du moins une exposition de la surveillance qui est exercée sur ces communications. On l’a vu avec l’affaire Snowden, mais on le voit aussi avec des lois en France comme la loi sur le renseignement qui tape directement sur les données de connexion et sur les télécommunications. Et du coup, une vie privée des citoyens, des gens, qui est, en fait, massivement attaquée par ces deux aspects. C’est-à-dire, à la fois, on expose nous-mêmes, en permanence, beaucoup plus notre vie privée, de manière soit consciente, soit inconsciente. On fait la plupart de nos démarches administratives sur Internet, nos achats sur Internet, nos communications avec les gens passent majoritairement par des mails, des Skype, des conversations par voie d’Internet beaucoup plus maintenant que par du courrier papier ou voilà ! On a une exposition massive de la vie privée des gens et une surveillance ou une capacité de surveillance massive. Donc affirmer le droit au chiffrement c’est quelque chose de fondamental et l’affirmer y compris quand on est dans des cas dramatiques, y compris quand on est dans des cas sensibles comme celui de San Bernardino où on a cette personne qui a commis des actes de terrorisme, des crimes, etc., il faut bien avoir conscience de la différence entre accéder à un appareil et poser le principe qu’il n’y a plus rien d’inviolable.
Pour nous l’enjeu est vraiment là, donc c’était hyper important que Apple ne cède pas sur cette question-là. Finalement le FBI, a priori, a réussi à craquer l’iPhone avec l’aide peut-être d’une boîte israélienne spécialisée dans ces questions-là. On ne peut pas se satisfaire de se dire eh bien voilà, on commence par dire qu’il faut empêcher le chiffrement de bout en bout et le chiffrement robuste parce que dans les cas de terrorisme ça pourrait être un problème. On sait très bien que si on ouvre la porte, si on commence à céder sur la question du chiffrement, on va continuer à céder : au début on commence par le terrorisme et la pédophilie, et ensuite ce sont les crimes lourds et puis ça devient les délits et puis ensuite, en fait, on n’a plus rien du tout de protégeable. Donc notre position est vraiment là, de se dire y compris dans les cas dramatiques, on doit absolument protéger ce principe et l’ancrer, le solidifier, parce que le rapport de force entre la volonté d’intrusion et de surveillance des États et l’exposition majeure de la vie privée des internautes, eh bien le rapport de force n’est pas équilibré si on n’a plus la capacité de chiffrer ses communications.
Adrien : Tout ça fait écho à PRISM, à l’affaire Snowden, et tout le système de surveillance généralisée qui avait été dévoilé. Est-ce que, finalement, on peut vraiment faire les confiances à Apple et aux autres grands groupes de l’Internet et de l’informatique pour protéger et stocker nos données personnelles comme ça été le cas dans cette histoire-là ? Ou est-ce que non ?
Adrienne Charmet :Je crois que par principe il ne faut pas faire confiance à des intermédiaires ou il faut leur accorder la confiance limitée dont on peut être sûr, en fait. Pourquoi est-ce que Apple, mais aussi Google s’est déclaré soutien d’Apple dans cette histoire, et Microsoft qui n’était pas trop à l’époque de cette histoire d’iPhone mais aujourd’hui est en train ses politiques de sécurité. Pourquoi est-ce qu’ils font ça ? Ce n’est pas parce que ce sont des grands bienfaiteurs de l’humanité, c’est parce qu’ils s’en sont pris plein la gueule à l’époque de l’affaire Snowden. C’est-à-dire que, tout d’un coup, ce qui est important de comprendre dans l’affaire Snowden, ce n’est pas tant de se dire il y a de la surveillance. Mon Dieu, les espions espionnent ! Oui, tout le monde s’en doute ! En revanche quelque chose qui a été découvert et exposé à ce moment-là, c’est le degré de collaboration, volontaire ou involontaire, des grandes entreprises de l’Internet avec les services de renseignement. C’est le cas aux États-Unis, c’est le cas aujourd’hui en France aussi, où eh bien je reviens toujours à la loi sur le renseignement, on a des dispositifs qui ciblent directement les opérateurs.
Donc s’ils l’ont fait c’est parce qu’ils ont perdu des parts de marché, c’est parce qu’ils ont eu de la pression. Ce n’est pas tant les particuliers qui se sont détournés de ces boîtes, mais ce sont les entreprises qui ont arrêté de mettre leur cloud d’entreprise ou qui ont réfléchi à d’autres solutions. Donc c’est bien qu’il y ait cette pression parce que ça les force à développer des politiques de sécurisation et de chiffrement. Certains le font en disant « confiez-nous toutes vos données et nous on les sécurise ! » Ça va être, par exemple le cas de Facebook, enfin le passage en https de toutes les grosses boites. Tous les gros mailers se sont mis à passer en https, mais eux ont toujours, finalement, accès à ces informations. C’est intéressant que se développent des solutions soit d’appareils intégralement chiffrés, soit de messageries très chiffrées comme WhatsApp ou Signal, où là les boîtes n’ont même plus la capacité de déchiffrer le contenu. En revanche, tant que leur modèle économique n’aura pas changé ! Alors Apple ou Microsoft n’ont pas tant un modèle économique basé sur l’exploitation des données personnelles, mais Google, par exemple, ou Facebook, ou Twitter ont un modèle économique intégralement basé sur le tracking de leurs utilisateurs pour leur proposer de la publicité.
Donc là on arrive au point faible de l’histoire. Est-ce qu’on peut faire confiance à une entreprise pour protéger nos données quand son business est d’exploiter nos données ? Il y a vraiment besoin d’aller trouver des modèles économiques alternatifs pour pouvoir, déjà, avoir une autre solution que d’avoir une exploitation massive des données. Donc, non, pas de confiance là-dessus et pas de confiance non plus dans des entreprises qui sont dans une logique de grossir toujours plus en intégrant toujours plus et en interopérant toujours plus de services. À La Quadrature, on défend très fortement la décentralisation d’Internet, en disant, enfin ce sont les bons vieux proverbes paysans de ne pas mettre tous ses œufs dans le même panier. À partir du moment où on est en mesure de cloisonner un peu plus les endroits où on laisse des traces, eh bien forcément c’est plus sécurisant. On peut choisir d’avoir des outils plus sécurisés que d’autres. Si je prends l’exemple de WhatsApp, la mécanique, la technologie de WhatsApp est hypersécurisée, mais c’est Facebook qui a accès à tout. Moi je ne vais pas utiliser WhatsApp, parce que je veux pas que ce soit Facebook qui ait accès à tous mes contacts, à toutes ces informations-là. Heureusement, existent à côté d’autres solutions, qui utilisent les mêmes technologies mais qui ne sont pas liées à Facebook, mais pour combien de temps ? Voilà.
Donc il y a deux raisons pour lesquelles je ne ferai pas confiance et on ne fera pas confiance à ces entreprises, la première c’est leur politique d’exploitation des données personnelles, et la deuxième c’est leur concentration. Et même des boîtes comme Apple qui ne font pas une énorme exploitation des données personnelles à des fins publicitaires, elles font une énorme exploitation des données personnelles à des fins de vendre dans leur Store, dans leur Apple Store, tout un tas de choses et de prioriser. Apple, on tourne en circuit fermé, donc en fait il y aune énorme forteresse, une énorme muraille à l’extérieur, mais à l’intérieur c’est tout autant exploité qu’ailleurs, donc c’est presque la même chose qu’un Google.
11’ 02
Adrien : La problématique c’est aussi la simplicité d’accès aux services qui permettent de faire les choses de façon bien. Il y a des projets qui sont menés en moment pour essayer d’améliorer ça ?
Adrienne Charmet : Oui. Alors à La Quadrature, on n’est pas une boîte de développement, donc nous on crée ou on maintient ou on propose certains outils. Par exemple on a ouvert l’année dernière un Jabber sécurisé sur lequel on peut avoir des communications vraiment sécurisées avec OTR, enfin pour ceux qui connaissent ce genre de choses, qu’on met à disposition. Il y a un vrai besoin de création d’outils sécurisés qui ne soient pas dépendants de ces très grosses entreprises. Il y a un projet qui est mené par un membre du Conseil d’Orientation stratégique de La Quadrature, qui s’appelle Laurent Chemla, projet qui s’appelle CaliOpen, qui est vraiment un projet de plateforme de communication dans laquelle on pourrait faire arriver nos différents outils et qui sécurise ces différents outils. Ce sera encore long !
C’est forcément compliqué parce que, comme on a cet objectif de décentralisation, on reste sur des petites unités et des petits groupes et des outils qui ne géreront jamais l’intégralité des besoins de l’utilisateur. Là, pour le coup, notre rôle à La Quadrature, peut-être plus que de développer des outils, il est, en tout cas ce type d’outils-là, il est d’expliquer et de promouvoir l’accès à ces outils, et puis aussi d’expliquer. Il y a vraiment les deux versants : expliquer aux utilisateurs qu’il va falloir, peut-être, faire un petit effort pour redécentraliser ses communications, et puis, de l’autre côté discuter aussi et travailler avec les développeurs de ces outils pour faire remonter ou pour travailler sur l’ergonomie, sur l’interface, sur l’accès. Quand on est un super développeur, tout à fait à l’aise avec les outils de chiffrement par exemple, on peut avoir tendance à oublier à quel point ça peut être difficile d’accès.
Ici, à La Quadrature, on a des pratiques de communication assez sécurisées. Par exemple on utilise GPG toute la journée, on chiffre tous nos mails, nos listes de discussion sont chiffrées. Une fois que c’est bien paramétré, ça marche tout seul. Il y a toujours ce risque d’oublier ce que c’est que d’installer et d’utiliser des outils de chiffrement pour quelqu’un qui n’est pas du tout à l’aise avec l’informatique. Ça c’est un point super important. Notre rôle est là, dans cette explication, cette interface des deux côtés. Et puis il est surtout de faire prendre conscience de l’importance de cette protection des données, parce que, bien trop souvent, on a un discours super fataliste des gens avec qui ont parle qui disent soit :« Ah, mais de toutes façons l’exploitation des données à des fin publicitaires, ça a toujours été comme ça, on ne pourra pas s’en passer ! » Alors ils se protègent avec un coup d’AdBlock, un coup de bloqueur de pubs, de bloqueur de tracker, mais finalement il n’y a pas de remise en question du système. Une espèce de fatalisme comme quoi, de toute façon, on sera pisté tout le temps. Et dans l’autre sens, vis-à-vis des États, parce qu’il y a vraiment toujours cette double exploitation État et entreprise, du côté des États il y a ce côté : « De toute façon moi c’est bon, je ne suis pas dangereux, je n’ai rien à cacher, je n’ai rien à me reprocher donc ils ne viendront pas me chercher. Et puis, de toute façon, je ne pourrai pas le savoir, de toute façon je ne verrai rien, de toute façon on ne peut rien y faire ! » Donc il y a cette espèce de fatalisme qui est vraiment à combattre en disant eh bien non, c’est à nous aussi, par nos pratiques de faire monter le coût de la surveillance, d’empêcher d’utiliser sciemment des outils dont on sait que ce sera compliqué d’aller les craquer et de les utiliser tout le temps. Pas que juste quand on a besoin d’envoyer un truc super sensible, mais de les utiliser tout le temps. Ça demande vraiment des changements de pratiques et de l’éducation.
Adrien : Merci. Plus au niveau européen, il y a tout un tas de mesures qui sont en train d’être prises ou sur lesquelles il y a des discussions en ce moment au niveau européen pour tenter d’encadrer les échanges de données personnelles entre, en tout cas ce qui sort du territoire européen vers les États-Unis. Je pense au Privacy Shield. Qu’est-ce que c’est censé apporter ? Est-ce que, même par rapport à ce que ça encadre, c’est quelque chose qui serait efficace, même s’il y a des trous dedans, etc. ?
Adrienne Charmet : Le Privacy Shield, c’est un texte, c’est un accord d’adéquation, c’est un peu compliqué. Ce n’est pas un traité, c’est un texte à signer entre l’Europe et les États-Unis pour dire « on reconnaît qu’on est à peu près au même niveau de garantie sur la protection des données personnelles. » C’est un texte qui est censé chapeauter les échanges de données entre l’Europe et les États-Unis. Ce sont tous les échanges de données de boîtes américaines en gros, qui opèrent sur le territoire européen.
Il est en cours d’adoption parce que l’accord précédent qu’on appelait le Safe Harbor, qui était en place depuis 2 000, a été cassé par la Cour de justice de l’Union européenne suite à l’action judiciaire d’un militant qui s’appelle Max Schrenz, qui a d’abord attaqué Facebook, puis sa CNIL, puis la CNIL irlandaise en disant, notamment, depuis les révélations de Snowden on sait qu’il y a une surveillance massive exercée via les gros opérateurs de type Facebook aux États-Unis. Moi je suis un citoyen européen, je ne veux pas être soumis et c’est contraire à la Charte européenne des droits de l’homme que je sois soumis à la surveillance massive et indiscriminée des États-Unis, et je n’ai aucun recours. Que faites-vous ? Donc la Cour de justice de l’Union européenne a cassé cet accord et aujourd’hui, depuis octobre de l’année dernière, c’est assez compliqué juridiquement, les échanges de données n’ont pas cessé. C’est-à-dire qu’on aurait pu avoir, début octobre l’année dernière, une fermeture de Facebook, Google, etc. Ça n’a pas été le cas, mais ça aurait été intéressant pour prendre conscience du problème. Et donc là, le Département du Commerce américain et la Commission européenne sont en train de fouetter tout le monde pour que cet accord soit signé le plus vite possible.
Cet accord prévoit d’autoriser les échanges de données, prévoit un alignement à peu près sur les durées de conversation des données entre le règlement européen qui régente toutes les lois sur la protection des données personnelles en Europe, et la loi américaine. Et il instaure le principe d’une sorte d’homme de confiance ou de personnalité qualifiée, on appellerait ça en droit français, dépendant du Département d’État américain, mais, en théorie, totalement indépendant, qui serait chargé de recueillir les plaintes des Européens sur les questions de surveillance notamment, mais pas que, et de vérifier, de faire appliquer les standards européens aux États-Unis et notamment de vérifier si les personnes ont été mises sous surveillance.
Nous on n’est pas du tout satisfaits de ce cadre-là, parce que dans le projet de texte du Privacy Shield, on dit, en gros, bon il ne faut pas faire de la surveillance de masse, tout ça, sauf si c’est pour des questions de sécurité nationale, de lutte contre le terrorisme, etc.
Donc on est toujours dans les mêmes questions. À chaque fois on dit : « On pose le principe de pas de surveillance de masse », et après on met tout un tas d’exceptions qui sont toujours des exceptions liées à la sécurité. Donc objectivement il n’y a rien de changé. L’arrêt de la Cour de justice européenne disait : « Un citoyen européen ne peut pas faire l’objet d’une surveillance de masse, c’est contraire au traité européen et à la Charte européenne des droits de l’homme. » Eh bien là, on a accord qui continue à dire que s’il y a des raisons de sécurité nationale, on peut faire l’objet d’une surveillance. Cet homme, cette personnalité qualifiée, qui serait la porte d’entrée des Européens auprès des États-Unis, ne va pas vous dire :« vous avez été mis sous surveillance, vous n’avez pas été mis sous surveillance. Elle va faire ses vérifications et vous dire : c’est bon, tout est dans les règles ou ce n’était pas dans les règles, on a réglé le problème. » On n’a aucune assurance qu’elle a réglé quoi que ce soit. On n’a aucune idée du préjudice en termes d’intrusion dans la vie privée. Ça ressemble beaucoup au processus qui a été mis en place avec la loi renseignement en France, où on a commission de contrôle des techniques de renseignement, qui est quand même très dépendante hiérarchiquement du pouvoir exécutif et qui ne va jamais vous dire si vous avez été surveillé ou pas, mais qui va juste faire ce travail de vérification, dont on ne saura finalement rien. Donc on n’en est pas très contents et surtout on a l’impression que le sujet de fond qui est le sujet de la surveillance de masse, que les Américains n’appellent pas surveillance de masse, ils appellent ça collecte de masse. Ils disent la surveillance ça ne commence que quand on traite les données. Nous on dit et la Cour de justice de l’Union européenne dit : « Non, la surveillance commence quand on collecte les données. »
Mais tout ça procède aussi d’une sorte de malaise qui est que tout le monde tape sur la surveillance des États-Unis, mais en réalité, plusieurs pays européens font la même chose. Que ce soit la Grande-Bretagne ou que ce soit la France, par exemple, le principe de la collecte de masse a été acté dans la loi. La loi sur le renseignement, notamment, autorise les interceptions massives sur les câbles sous-marins qui font transiter les données entre l’Europe et les États-Unis, et le reste du monde. Donc c’est très compliqué d’arriver à un accord qui protège efficacement et réellement les Européens, parce que, eh bien finalement les États européens n’ont pas tant d’intérêts que ça à ce qu’on interdise la surveillance de masse aux États-Unis parce qu’après les boîtes américaines pourraient dire « eh bien oui, mais regardez en Europe il y a la même chose, il y a des principes de surveillance de masse. » Les citoyens européens pourraient dire « mais attendez, comment ça on serait mieux protégés aux États-Unis qu’en France, etc. » Donc finalement on a un accord hyper bancale et qui est négocié et signé au pas de charge par la Commission européenne qui est surtout hyper inquiète de ce vide juridique existe depuis octobre 2014 sur les transferts de données, en disant « si jamais quelqu’un nous attaque ça va être l’enfer ! » Mais vu l’état de l’accord, je pense que, que ce soit Max Schrenz ou d’autres, on remontera jusqu’à la Cour de justice de l’Union européenne parce la question n’est pas réglée
20’ 03
Adrien : Il y a certain nombre de consultations qui ont eu lieu ces derniers temps, notamment à la Commission européenne ou tout un tas d’instances comme ça. Qu’est-ce que vous proposez dans ce genre de cadre ? Je suppose que vous répondez un peu aux consultations. Qu’est-ce que vous proposez concrètement pour essayer d’aller vers plus de protection de la vie privée ?
Adrienne Charmet : Effectivement, on participe d’une manière très régulière aux consultations qui sont organisées par la Commission européenne, non pas qu’on ait la moindre illusion sur notre capacité à changer la réglementation, même si on essaye. Mais en tout cas, parce que ces consultations donnent lieu à des rapports et que dans ces rapports ils ne peuvent pas ignorer les points de vue, notamment ceux de La Quadrature, mais pas que nous. Il y a beaucoup d’associations européennes qui répondent.
Ces derniers temps on a, par exemple, travaillé sur une consultation sur une future directive qui s’appelle e-Privacy, qui va compléter les règlements sur les données personnelles, pour tout ce qui concerne les communications électroniques donc beaucoup plus les mails. Là on a toujours la même position, c’est-à-dire que dans ces consultations on nous interroge pour savoir quelles sont les limites acceptables à l’intrusion dans la vie priée, etc. Nous on va poser toujours ce même principe de dire que la vie privée est protégée par défaut et que, si jamais on doit avoir une intrusion dans cette vie privée, elle doit être faite en apportant toutes les garanties nécessaires. Et les garanties nécessaires pour nous, c’est notamment le droit à un procès équitable et le fait que ce soit la justice qui autorise les intrusions dans la vie privée. Et quand on passe dans le cadre judiciaire, on a tout un mécanisme qui se met en place avec des avocats, avec de la défense, avec le principe du contradictoire. On doit pouvoir remettre en question la validité ou le principe de cette intrusion. Et puis avec des recours et toute une pyramide de recours qui font qu’on peut remonter assez haut quand on n’est pas d’accord avec une décision.
Aujourd’hui, notamment dans tout ce qui concerne les questions de sécurité nationale, on est toujours en dehors du cadre judiciaire ou quasiment toujours. Par exemple, en France, c’est beaucoup ce qu’on appelle la justice administrative qui règle ça, donc ce ne sont pas des magistrats classiques et c’est un corps qui dépend directement : à la tête de la justice administrative, on a le Conseil d’État et le Premier ministre. Donc l’État se juge un peu lui-même en fait en permanence dans ce type d’intrusion. Donc pour nous, c’est très important de défendre la place du juge judiciaire dans tout ce processus-là. Voilà, c’est la balance, elle est normale. Vous voulez rentrer dans ma vie privée, eh bien moi je dois avoir des droits, sinon ce n’est pas équitable, ce n’est pas juste.
Sur la question des grandes entreprises qui font tourner leur modèle économique sur l’exploitation des données personnelles, nous on a toujours répondu et on promeut un, une exploitation minimale des données personnelles, deux, une protection très forte sur la question du consentement. On se rend compte aujourd’hui que beaucoup trop d’exploitations des données sont faites parce que les gens ne comprennent pas ce qu’ils sont en train d’accepter. Et puis des questions de pouvoir sortir de ces systèmes-là. C’est très difficile aujourd’hui de récupérer ses données, c’est très difficile de vérifier l’effacement ou la suppression effective d’un compte, sur Facebook notamment c’est très difficile, mais pas que sur Facebook. Donc il y a des vrais enjeux là-dessus. Et puis on a aussi des inquiétudes assez fortes sur le traitement massif de données et sur la réalité et l’effectivité de l’anonymisation des données.
Aujourd’hui beaucoup d’entreprises plaident pour la pseudonymisation, c’est-à-dire de juste pas associer des données à un nom, mais de garder ce profil d’utilisateur pour travailler en masse sur des données, sur des profils, en fait. Nous on sait très bien et ça a été maintes fois prouvé par des études qu’avec quelques données appartenant à une personne on peut retrouver son identité très facilement. Donc nous on plaide vraiment pour une vraie anonymisation, c’est-à-dire de séparer vraiment les données, pour casser ce profilage permanent. C’est ce type de choses-là qu’on va pousser dans les consultations
Il y a des consultations sur d’autres sujets aussi, qui sont très loin des données personnelles. Mais nous, sur les données personnelles, on travaille essentiellement sur ce type de réponse-là.
Adrien : Merci. C’est quasiment fini. Une dernière question, c’est, il y a deux mois il y a eu une actualité qui a fait pas mal de bruit autour de La Quadrature. Si on peut en discuter un petit peu. C’est votre décision d’arrêter de faire du lobbying, d’essayer d’influencer les politiques publiques. C’est en tout cas comme ça que ça a été interprété. Qu’est-ce qu’il en est vraiment ? Je n’ai pas l’impression que vous arrêtiez vraiment de faire ça !
Adrienne Charmet : Il y a deux mois, effectivement, on a posé un communiqué de presse qui mûrissait depuis longtemps, qui expliquait plusieurs choses. La première c’est qu’on était devant un mur politique très important. Que depuis plusieurs mois, voire années, notamment sur les questions à nouveau de sécurité, terrorisme, surveillance, etc., on était dans l’impossibilité d’influer sur les politiques françaises. Parce que, en face de nous, on a un Premier ministre, un ministre de l’Intérieur et autres, qui sont vraiment complètement fermés à toute question de protection des droits fondamentaux. Globalement, les gens qui protégeons des droits fondamentaux, au mieux on est des emmerdeurs, au pire on est limite complices du terrorisme. C’est vraiment dans le discours des politiques et du gouvernement. C’est ça, et du coup, cette espèce de pression, elle se retrouve aussi au niveau du Parlement et on a une vraie impossibilité à travailler là-dessus. Cette crise politique n’est pas uniquement sur nos sujets : enfin l’actualité politique en ce moment, l’utilisation répétée du 49-3, les crises internes dans les différents partis, je veux dire, on n’est pas en train de faire un scoop en disant que la politique française va mal. Ce n’est pas une nouveauté !
Nous on l’a expérimenté directement et on se rend compte qu’on perd un temps monstrueux à essayer de faire avancer des choses, sans y arriver. Ça peut être parce qu’on est mauvais, ça peut-être aussi parce qu’en face ça ne va pas bien. Donc on s’est dit eh bien on va faire autre chose ! Ça ne veut pas dire qu’on arrête toute volonté d’influer sur le politique, on ne fait que ça à La Quadrature, du politique. Ça veut dire que la partie influence législative en France, on la met un peu de côté. On travaille beaucoup à l’échelle européenne. Sur ce plan-là, aujourd’hui on a encore des marges de manœuvre, donc on travaille là-dessus. On n’est pas tout seuls, aussi, au niveau européen. On travaille avec d’autres associations. On n’est pas tout seuls non plus en France. Mais sur notre créneau à nous on est quand même assez seuls.
Et pourquoi on a posé ça comme principe ? Parce qu’on avait besoin de dire les choses déjà, de l’acter, de dire aux gens qu’il y a un vrai problème politique. Et la deuxième raison c’est qu’on voulait, et on veut, passer plus de temps à d’autres choses. Et ces autres choses il y a globalement deux aspects. Un qui est de reprendre un vrai travail de réflexion. Historiquement, à La Quadrature, il y a un gros travail de réflexion sur, on va dire, la transformation numérique de la société et son impact sur les droits fondamentaux, si je devais résumer de manière globale. Il y a vraiment beaucoup de productions d’écrits, de productions d’une sorte de doctrine, enfin de pensée, autour de la transformation numérique de la société que ce soit sur les questions de données personnelles, sur les questions de neutralité du Net, sur les questions de droit d’auteur, ce genre de choses-là. Et ça, pris dans la bataille législative quotidienne, on finit par oublier ou par ne pas se donner le temps de faire ça. Donc il y a un vrai besoin de reprendre du temps, de se dégager du temps, et d’en faire une priorité, de remonter ça dans les priorités, parce qu’il y a des sujets sur lesquels on n’a pas assez travaillé. Ou sur lesquels on n’a pas assez pris le temps de mettre par écrit ou de mettre devant le public notre positionnement. Typiquement, sur la question du chiffrement, au moment de l’affaire Apple/FBI, on a été beaucoup consultés sur notre avis là-dessus, parce qu’en France, ça arrive assez rapidement à La Quadrature quand on parle de ce genre de sujets. On n’avait pas un papier simple et clair disant ce qu’on pensait là-dessus. Alors qu’il est évident qu’on a une position sur le chiffrement et on l’a dit à l’oral et on l’a dit partout et tout, mais on n’avait pas un papier de position, comme ça, clair.
Il y a d’autres sujets sur lesquels on n’a pas encore suffisamment travaillés, qui arrivent en trombe : les questions de données de santé, les questions de l’internet des objets. Qu’est-ce qu’on a d’autre ? Ce sont les deux gros que je vois, la question des plateformes. Il faut qu’on arrive à prendre le temps de produire de la réflexion et des positions parce que c’est de là dont découle, après, tout le reste de notre travail. Ça c’est le premier aspect.
Le deuxième aspect c’est si le politique est en crise, les citoyens demandent à prendre en charge eux-mêmes les choses. On a beaucoup de demandes d’apprendre, d’avoir de l’information sur ces différents sujets, de monter en compétences sur ces sujets. On a beaucoup de demandes de formation. Beaucoup de demandes d’interventions publiques. On a besoin de travailler là-dessus, de se dire comment est-ce qu’on emmène les gens avec nous ? Comment est-ce qu’on les aide à monter en compétences à être autonomes sur ces questions-là ? Et à eux-mêmes devenir force de formation, de propositions, de compréhension, plus loin, à d’autres personnes que nous on ne saurait pas forcément toucher. Donc il y vraiment ce double aspect : plus de réflexion et aller plus vers le plus grand public. On ne sera jamais une association hyper grand public. Je pense qu’on est quand même très spécialisés, et puis qu’on est très peu, mais ce travail d’empowerment, disons ça comme ça, des gens c’est hyper important. Et de la même façon, si on est obnubilés par le travail législatif, il y a toujours une déclaration politique, il y a toujours une loi, il y a toujours un nouveau truc à attaquer, etc., et ça, en fait, on se noie à ce travail-là.
Et il y a un autre aspect sur lequel on travaille depuis déjà un an et demi, qui est hyper important, qui est le travail de contentieux judiciaire. On travaille avec FDN et FFDN, donc les fournisseurs d’accès associatifs, où on fait un gros travail de contestation devant la justice des lois qui ont été votées, des décrets qui ont été publiés. C’est vraiment du travail hyper lent, à long terme, etc. Mais on commence à en voir les fruits. C’est encore un autre moyen de contourner, pour nous, le mur politique, c’est-à-dire « eh bien OK, on n’arrive pas à faire en sorte que les lois qui sont votées soient bonnes eh bien on va les casser après, en fait. On va aller les attaquer après, et comme ça on sera bien obligés de refaire des lois derrière ! »
Donc voilà, on n’est pas en train d’abandonner la politique. On fait plus que jamais de la politique mais au sens partisan, etc. Par contre on s’est donné au moins jusqu’en mai 2017 pour lever le pied sur le suivi législatif hyper précis de tout et puis on verra bien, qui nous gouvernera et comment ça se passera et quelle sera la marge de manœuvre d’ouverture politique ou pas. Parce qu’on ne peut pas dire qu’on soit hyper optimistes sur ce qu’on va avoir en 2017.