Développement internet et libertés

De April MediaWiki
Aller à la navigationAller à la recherche


Vidéo ici : [1]

00' transcrit Marie-Odile

Rebonjour pour ceux qui étaient là ce matin. On va entamer un nouveau thème qui cette fois-ci concerne le développement d'internet face aux libertés, libertés du logiciel mais au-delà. Pour cette seconde plénière, j'ai le plaisir d'accueillir avec moi Richard Stallmann que tout le monde connaît et qui est à ma gauche, donc le fondateur de la Free Software fondation, Patrice Emmanuel Schmitz qui est expert juridique auprès de Joinup, je le laisserai tout à l'heure expliquer après justement ce qu'est Joinup et Philippe Laurent qui est chercheur au CRID et qui est aussi avocat MVVP. Voila pour la présentation très rapide des intervenants. Le sujet, je vais finalement donner directement la parole à Richard et on essaiera d'avoir le maximum de temps pour les échanges à la fin pour que vous puissiez aussi contribuer à cette discussion. Richard !

Richard Stallmann : J'ai oublié l'horloge.

Présentateur : Je regarde

Richard : Et jusqu'à quelle heure est-ce que je parle ? Jusqu’à quinze heures ? J'ai jusqu'à quinze heures ?

Présentateur : Maximum. Oui !

Richard Stallmann : Il y a vingt ans l'habitude était de faire ton informatique dans ton ordinateur. Et si le logiciel que tu utilisais dans ton ordinateur était libre, tu en avais le contrôle complet et donc tu étais libre, dans ton informatique au moins. Et moi je fais presque toute mon informatique toujours de cette manière et je suis donc plus ou moins libre parce que je n'ai pas de logiciel privateur, bien sûr. Mais beaucoup nous utilisons l'internet et beaucoup l'utilisent beaucoup et transmettent beaucoup de données à travers le réseau et comme ça ont perdu leur liberté d'autre manière. Il y a plus d'une menace à la liberté dans l'internet. Donc je commence par résumer la question du logiciel libre.

Je peux présenter le logiciel libre en trois mots : liberté, égalité, fraternité. Liberté parce que l’utilisateur est libre dans l'utilisation de ce programme, égalité parce qu'à travers le logiciel libre personne n'a du pouvoir sur personne et fraternité parce que nous encourageons la coopération entre les utilisateurs. Spécifiquement un programme est libre s'il respecte les quatre libertés essentielles. La liberté zéro est celle d'exécuter le programme comme tu veux pour n'importe quelle fin. La liberté numéro un est celle d'étudier et de changer le code source du programme pour qu'il fonctionne comme tu veux et fasse ton informatique comme tu veux. Ces deux libertés suffisent pour que l'utilisateur ait le contrôle individuellement de son informatique. Mais aussi le contrôle collectif parce que pas tout le monde n'est programmeur. Donc il faut la liberté numéro deux de redistribuer des copies exactes du programme aux autres quand tu veux et la liberté numéro trois de distribuer des copies de tes versions modifiées aux autres quand tu veux.

Est-ce qu'il y a de l'eau ? De l'eau plate ? Merci !

Donc avec le contrôle individuel des utilisateurs et le contrôle collectif des utilisateurs, les utilisateurs ont le contrôle du programme et de l'informatique qu'ils font avec ce programme.

Si tous les logiciels qui tournent dans ton ordinateur sont libres, tu as le contrôle de l'informatique que ton ordinateur fait. Mais si tu utilises aussi le réseau, tu peux perdre la liberté d'une autre manière. D'abord parce que tes communications avec les autres utilisateurs passent par des ordinateurs du réseau sous le contrôle des autres. Par exemple les fournisseurs d'accès internet. Évidemment chacun ne peut pas être le propriétaire de son fournisseur d'accès. Donc même si le logiciel dans les ordinateurs du fournisseur sont libres, c'est lui qui a le contrôle de l'informatique dans son ordinateur, pas toi. Donc ce peut être un problème et maintenant grâce à la directive de, comment dit-on, garder les données sur les utilisateurs, la directive européenne, les fournisseurs menacent la liberté de tout internaute.

Mais aussi si tu connectes avec un serveur, il y a aussi des menaces dans l’utilisation des serveurs, pas toujours, ce n'est pas inévitable, ce n'est pas dans la nature d'un serveur de t'abuser, mais si le serveur t'espionne, s'il ramasse des données personnelles sur toi et les livre au Big Brother, c'est-à-dire aux États-Unis ou à la France ou à l'état belge ou n'importe quel état, c'est donc une menace à ta liberté.

Beaucoup d'utilisation des serveurs est facilement évitable. Moi je n'utilise presque aucun serveur sauf dans le cas d’être anonyme. Je les utilise depuis les machines des autres. Quand je visite quelqu'un je lui demande de me prêter l'utilisation de son ordinateur pour vingt minutes et je navigue. Et comme ça les serveurs ne savent pas que c'est moi. Ils ne savent rien sur moi. Ils ne peuvent pas savoir que les navigations que je fais sont à moi parce que un jour je le fais ici, un autre jour je le fais là, depuis deux machines différentes, utilisées principalement pas deux personnes. Impossible de savoir que c'est moi ! Je suis sauf ! Mais si tu utilises ta machine, à travers de ta connexion internet, qu'est-ce qui se passe ? Ils savent que c'est toi. Mais aussi beaucoup de services exigent des données personnelles qu'ils ne seraient pas capables de déduire, comme par exemple ton nom. Si un site web veut savoir mon nom, je ne l'utilise pas. J’ai fait une exception pour le nom de mon domaine parce que j'ai publié que c'est à moi. Je ne le cache pas. Si tu visites Stallmann.org, je dis c'est à moi donc pourquoi le cacher de l'enregistreur des domaines. Et quand je publie un commentaire dans un site, je dis que c'est moi, mais ce n'est pas moi qui me connecte au site, parce que c'est beaucoup de travail, donc j'ai demandé à quelqu'un d'autre, j'ai sollicité des bénévoles pour le faire pour moi. Ils mettent les commentaires et ils mettent mon nom. Je suis d'accord que le public sache que c'est moi. Mais je ne me connecte pas au site.

Donc j'utilise l'internet d'une manière tordue. Et au commencement je le faisais pour une autre raison. Mais peu à peu je me suis rendu qu'il y a une menace à la vie privée dans l'internet et que les choses que je faisais pour d'autres raisons étaient nécessaires pour protéger ma vie privée. Maintenant grâce à Snowden, nous savons. Je n'ai jamais un téléphone portable parce que le téléphone dit toujours où tu es. Je ne veux pas porter une telle chose. De toute manière comment protéger la vie privée dans l'internet. Évidemment faire ce que je fais est très incommode, mais il y a autre ressource pour faire plus ou moins la même chose. C'est-à-dire communiquer aux sites à travers TOR. TOR cache l'origine des visites aux sites. Donc tu peux naviguer depuis ton ordinateur de manière à ce que le site ne sache pas d'où tu viens et que le fournisseur d'accès ne sache pas où tu visites. Et ça protège donc ta vie privée.

Mais il y a d'autres précautions à faire pour que les sites ne t'identifient d'autre manière. D'abord il ne faut pas t'identifier. Il ne faut pas leur donner ton nom. Il faut prendre soin avec les cookies pour éviter que les sites ne t’identifient ensemble à travers de ta machine.

Beaucoup de sites donnent de l'information sur toi aux autres entreprises, même quand tu visites la page principale. le site informe d'autres sites que tu es venu. Par exemple si la page contient un bouton like de Facebook, Facebook sait que ta machine a visité cette page, parce que l'image de ce bouton vient d'un serveur de Facebook et Facebook sait où il a envoyé l’image. Donc il a identifié ta machine. Il sait aussi pour quelle page il t'a envoyé ce bouton, cette image, parce que quand ton navigateur demande une copie de l'image, il dit "c'est pour cette page-ci". Donc facebook espionne beaucoup même les gens qui n'utilisent pas Facebook. Pas besoin d'avoir un compte chez Facebook pour être espionné ainsi. Donc je crois que l'utilisation d'internet comme elle se fait usuellement aujourd'hui est injuste ; c'est un système d'espionnage qu'il faut rejeter. Moi je l'ai rejeté de manière extrême, mais il y a une autre manière avec l'utilisation du TOR qui est moins extrême, moins incommode. Mais ce qu'il faut vraiment faire est changer la conception de l'internet pour ne pas se prêter tant à l'espionnage à tout moment.

Je propose d'interdire que les sites et les fournisseurs ramassent les données sur les gens sauf dans le cas d'un ordre du tribunal pour suivre quelqu'un. Donc les autres doivent être invisibles dans le réseau. C'est la seule manière de rendre le réseau sauf pour les droits de l'Homme. Mais le même principe doit s'appliquer aux autres systèmes de surveillance. Par exemple en Angleterre ils ont mis beaucoup d'appareils photographiques sur les rues pour reconnaître l'immatriculation des voitures, de toutes les voitures et dans toutes les rues. Pour pouvoir suivre les mouvements de toutes les voitures ils créent des dossiers complets sur chaque voiture mais aussi ils suivent les mouvements de chaque voiture en temps réel. Un système énorme d'espionnage de tout le monde. Mais si un tel système était limité pour uniquement reconnaître les immatriculations ordonnées individuellement pas des tribunaux, il serait acceptable et peut être utile pour chercher des délinquants.

Je crois que j'ai dit tout ce qu'il faut donc j'accepte quelques questions.

16' 23

Présentateur : Oui. On peut faire ça. Si des personnes dans la salle veulent poser une question à Richard Stallmann, c'est peut-être le moment, sinon on le fera en fin de séance.

Inaudible

R.S. : Évidemment pas tu peux être dissident et tu as quelque chose à cacher.

Inaudible

R.S. : Mais un jour tu seras dissident. Tout le monde a des opinions politiques et si tu n'es pas d'accord avec le gouvernement actuel, tu es dissident. mais aussi si l'état veut t'attaquer, il cherche un prétexte pour le faire. Je crois que c'était Richelieu qui a dit "S'il sait assez sur toi il peut trouver l'excuse". Maintenant il ne te prend pas mais ils te mettent en prison. Ils peuvent te le faire et nous le savons parce que quand quelques-uns ont révélé les crimes de l'état américain, l’état a cherché des excuses pour leur faire une poursuite. Et dans le cas par exemple de John Kiriakau qui a révélé la torture du CIA, ils ont cherché dans tous ses courriers et enfin ils ont trouvé un petit détail qui était un délit bien que sans résultat, sans conséquence, mais c’était un délit et il servait pour le mettre en prison. Il est maintenant en prison, prisonnier politique je dirais. Donc si tu veux pouvoir savoir les crimes de l'état pour maintenir le pouvoir du peuple sur l'état, pour maintenir ce contrôle, il faut savoir ce que fait l'état ; mais pour le savoir il faut que les fonctionnaires puissent révéler les crimes de l'état. Mais s'il est impossible de parler avec un journaliste en privé, ils n'oseraient pas ! Et c'est maintenant comme ça aux États-Unis, les fonctionnaires n'osent pas parler avec les journalistes. L'état a semé tant de peur pour éliminer les révélations sauf des fonctionnaires aussi courageux que Snowden, prêts à s'enfuir pour pouvoir rester en liberté, se maintenir en liberté et très peu ont autant de courage pour avoir en effet le contrôle de l'état. Nous devons le rendre plus facile, comme il l'était. Donc assez de surveillance sur tout le monde ! Que les fonctionnaires n'osent plus parler aux journalistes, c'est trop ! D'autres questions ?

Philippe Laurent : Je voudrais demander à Richard, interdire toute collecte et tout traitement sauf hors ordre du tribunal, ça c'est dans un contexte où l'état surveille le citoyen. Maintenant il y a un autre contexte, c'est la protection des données à caractère personnel ; c'est un élément qui tient beaucoup à cœur aux européens, entre autre à la Directive Protection des données à caractère personnel et ce que l'on rencontre dans la pratique c'est que les gens ont ce droit d'avoir accès à leurs données, de contrôler leurs données. Mais par le simple fait de donner leur consentement on se retire immédiatement ce droit et au final des sociétés comme Facebook ou comme d'autres sociétés, par le fait d’obtenir le consentement,

R. S. : Mais pas le mien !

Philippe Laurent : Non pas le vôtre, mais le problème c'est que de plus en plus l'accès à d'autres services est dépendant du fait d'avoir un compte Facebook, est dépendant de toute une série de choses.

R. S. : Il faut limiter les entreprises pour qu'elles n'exigent pas les données pas strictement nécessaires pour faire le service. Un exemple il y a trois ou quatre ans, je pouvais utiliser Google Maps. Aujourd'hui il ne fonctionne plus parce qu'il exige l'exécution d'un programme privateur en java script et je ne le fais pas. Mais il y a quatre années il fonctionnait sans exécuter ce programme et je pouvais l’utiliser. Mais je ne donnais jamais une adresse. Je regardais une ville. Mois je savais quelle adresse je cherchais, mais Google ne le savait pas. Nous pouvons développer une application libre pour chercher une adresse qui décharge les routes ensemble, de manière à ce que uniquement ta machine sache l’adresse et avec le logiciel libre, les utilisateurs pourront être assurés que le programme ne garde pas cette adresse. Donc nous pouvons concevoir les systèmes pour recueillir moins de données personnelles. Mais évidemment les entreprises vont préférer les faire de manière à exiger le plus de données personnelles possible. Donc je crois qu'il faut, si les entreprises ne le changent pas, il faut légiférer.

Philippe Laurent : La loi existe pour le moment et effectivement avant de faire un traitement....

R. S. : Non. Cette loi n'existe pas. Une loi pour que l'entreprise doive fonctionner de manière à demander le moins de données possible pour le service.

Philippe Laurent : Elle existe mais il y a une exception et l’exception c'est le consentement.

R. S. : Ce n'est pas le même chose donc. Je ne propose pas qu'il y ait une excuse de consentement. Il faudrait concevoir techniquement l'interface de manière à ne pas exiger les données pas strictement nécessaires pour la chose à faire. Donc s'il s'agit de vous montrer une route ça doit être fait de manière à minimiser les données que le serveur doit savoir.

Philippe Laurent : Et donc de ne pas se servir de l'excuse que la personne a donné son consentement. C'est un gros débat.

R. S. : Évidemment. Il y aura des services qui auront besoin de connaître votre nom. Mais vous montrer une route n'a pas besoin de connaître votre nom. Il aussi faut un système anonyme de paiement sur internet pour que les sites puissent vendre l’accès aux pages, aux œuvres publiées, c'est-à-dire le droit de décharger une copie à l'anonymat. Aujourd'hui leur modèle pour se faire payer est la publicité qui suit les gens, qui suit chacun. Je ne suis pas contre la publicité, je ne critique pas très fort les annonces, mais qu'elles me suivent, ça je ne tolère pas. Donc je dois rejeter presque toutes les annonces dans le réseau. Mais s'ils avaient la manière de se faire payer à l'anonymat, ils n'auraient plus besoin des annonces pour se faire payer.

Public : Que pensez-vous de la stratégie qui consiste à donner des fausses identités, des fausses adresses, d'essayer un peu de les noyer quoi ?

R. S. : Je suis pour mais il faut noter que si plusieurs sites savent ton adresse IP ils peuvent combiner pour redistribuer les vraies données. Parce qu'il y a des cas, si un site exige ton nom et ton adresse seulement parce qu'il peut l'exiger, tu peux lui donner des fausses données ; mais quand il s'agit de t’envoyer un paquet, il faut ta vraie adresse. A ce moment cela ne fonctionne plus. Je ne le fais pas. Je n'achète rien par internet, parce que je ne donne pas mon nom ni mon adresse. Je vais dans un magasin et je paie en liquide et je ne lui dis rien. Mais il serait très commode de pouvoir acheter des choses à l'anonymat pas internet. Et c'est possible. Amazon a commencé à utiliser dans plusieurs pays les petites boutiques locales comme dépôt de paquets. Ils envoient le paquet à la boutique et le consommateur vient le récupérer. Mais si c'est possible, il est aussi possible de payer l'achat dans cette boutique et plus tard quand le paquet arrive, on le récupère. Ça peut se faire à l'anonymat.

Public : J'aurais une autre question C'est que je veux parler du cas de l'obligation de certaines entreprises qui demandent à ce que l'on ait Facebook pour pouvoir être embauché par eux.

R. S. : Il faut leur dire, non je n'utilise pas Facebook, ni vous !

Public : Ça se multiplie. De plus ils vont jusqu'à vouloir que je me connecte devant eux. Certaines entreprises, lors d'entretiens demandent à ce que le candidat se connecte devant eux à leur compte de réseau social.

R. S. : Des entreprises qui veulent engager quelqu'un ?

Public : Oui c'est ça.

R. S. : Évidemment vous ne voulez pas travailler pour eux. Ça doit être illégal je suppose. La liberté parfois exige des sacrifices. Moi je rejetterai de travailler pour eux !

Public : Ben, moi aussi !

R. S. : Mais si le candidat dit "Je n'ai pas de compte Facebook" ?

Public : Eh bien l'entreprise demande à ce qu'il y ait un compte créé devant eux.

R. S. : Donc il faut créer un compte Facebook devant eux et donc le supprimer le lendemain. Si vous le faites depuis leur ordinateur, Facebook ne saura rien de vous sauf les données que l'entreprise exige que vous mettiez devant eux. Donc ce peut être une solution. Si les données que l'entreprise veut savoir sont des données acceptables à demander vous pouvez entrer ces données devant eux dans Facebook. S'il y a des données que vous ne voudriez pas mettre, peut-être que cette entreprise n'a pas le droit de les demander, donc l'entreprise ne peut pas demander que vous mettiez ces données. Et puis à avoir le résultat, tu vas à la bibliothèque publique pour supprimer ce compte de Facebook qui n’aura rien surveillé de ton informatique. Cela peut être une solution. Évidemment la vraie solution est d'interdire cette pratique.

Public : De toute façon je dis non, je leur réponds que je n'en ai pas envie, que ce n'est pas une obligation, ça n'a rien à voir avec ce qui est demandé professionnellement. je réponds.

R. S. : C'est aussi une bonne réponse et si assez de gens le font, nous gagnerons cette bataille.

Public : J'ai une autre question par rapport à ça pour creuser un peu plus. Il y a des entreprises qui demandent des données Facebook et on a parlé du paiement tout à l'heure, du paiement. Or pour payer, aujourd'hui de plus en plus, ça se fait via le réseau bancaire ou le réseau Paypal, donc c'est un moyen aussi de pister.

R. S. : Moi je n'utiliserai pas Paypal, parce que je ne m'identifie pas dans le réseau.

Public : Tout à fait, mais le problème qui arrive maintenant de plus en plus c'est que les banques donnent de moins en moins la possibilité de retirer de l'argent liquide, parce qu'il y a une volonté par le système bancaire de rendre les paiements électroniques de plus en plus présents de façon justement peut-être à pouvoir pister les échanges économiques entre les personnes.

R. S. : Est-ce qu'il y a des banques qui refusent de donner aux clients leur argent ?

Public : Tout à fait !

R. S. : Est-ce que toutes les banques françaises le font ?

Public : Pas toutes, mais de plus en plus.

R. S. : D'abord il faut une loi pour qu'elles ne puissent pas le faire. Mais aussi il faut changer de banque. Moi j'ai retiré de l'argent de Bank of America, pas pour ça, parce que ça n'existe pas aux États-Unis, mais parce qu'elle a refusé l'envoi d'argent à Wikileaks, mais aussi pour être coupable de la crise. Mais beaucoup ont retiré leur argent de Bank of America et d'autres grandes banques. The Free Software a retiré son argent de Bank of America. Elle l'a mis dans une autre banque, une petite banque locale. Il faudrait d'abord transférer l'argent dans une autre banque qui n'agit pas comme ça, mais il faut aussi exiger une loi.

Public : Il y a un autre problème c'est que, aussi parallèlement à cela, en Europe en tout cas, je ne sais pas aux États-Unis, mais en Europe il y a un projet d'union bancaire et toutes les banques sont déjà en fait inter-reliées dans les pays ; il s'agit maintenant de relier le système bancaire et les banques au niveau européen. Donc même si on change de banque l'information économique est pistée par les banques centrales

R. S. : Oui oui. C'est un malentendu. Évidemment ce que la banque sait est disponible à l'état. Mais ce n'est pas la même question. La question que vous aviez posée est celle de pouvoir retirer de l'argent en liquide. Je vous propose de mettre votre argent dans une banque qui offre l'option de retirer facilement de l'argent en liquide. Vous m'avez dit qu'il reste encore des banques qui le font. Donc avec un mouvement de transfert d'argent aux banques qui le permettent c'est une manière de résister et en même temps c'est aussi impressionner les banques, parce que les banques qui ne le permettent pas perdront des, comment cela s'appelle t-il, de l'argent déposé. Donc ce n'est pas bon pour une banque. C'est une manière d’impressionner, mais il faut aussi l'action politique.

Public : OK. Merci !

Présentateur : Je propose de continuer la session et puis on reviendra aux questions après.

36' 23 Vente aux enchères transcrite un peu vite

R. S. : Mais je veux faire une chose avant la fin de mon temps. Voici un petit Gnou adorable que je veux vendre aux enchères pour la Free Software Fondation. Il faut avoir avoir de l'argent, mais la session durera une heure de plus donc vous aurez le temps de retirer d l'argent d'une machine, un distributeur de billets. Si vous achetez le gnou, je peux le signer pour vous. Si vous avez un manchot chez vous, le manchot a besoin d'un gnou, parce que comme nous savons, le manchot ne peut guère fonctionner sans gnou. Et nous pouvons accepter les paiements ou en liquide ou par une carte de crédit si la carte peut s'utiliser pour des achats internationaux par téléphone. Et quand vous offrez prière d'agiter la main et de crier la quantité offerte parce que je suis dur d'oreille. Il faut vraiment crier pour que je prenne note. Je commence par son prix normal de 20 euros. Est-ce que j'ai 20 euros ? Combien ?

Public : 20

R. S. : J'ai 20 euros. Est-ce que j'ai 25. Vous offrez 25. J'ai

Public : 25

R. S. : Vous offrez 25. J'ai 25 euros. Est-ce que vous offrez 30 ?

Public : 30

R. S. : J'ai 30 euros, est-ce que j'ai 35 ?

Public : 35

R. S. : J'ai 35 euros, est-ce que j'ai 40 ? 40 euros pour ce petit gnou adorable ? Est-ce que j'ai 40 euros ?

Public : 45 euros

Public : 50

R. S. : J'ai 50 euros, est-ce que j'ai 55 ? Est-ce que j'ai 55 pour ce petit gnou adorable ? 55 pour protéger les libertés numériques. J'ai 55, est-ce que j'ai 60 ? J'ai 55, est-ce que j'ai 60 ? 60 euros pour ce petit gnou adorable. J'ai 60 est-ce que j'ai 65. J'ai septante, n'est-ce pas ? Ici c'est septante. J'ai septante. Est-ce que j'ai septante cinq ou soixante quinze si vous préférez ? J'ai septante cinq. Est-ce que j'ai huitante ? J'ai huitante ? Ici est-ce que c'est huitante ? Public : Quatre vingt mais tout le monde a compris

R. S. : Il y a quelque part, peut-être en Suisse qu'ils disent huitante. Est-ce que j'ai quatre vingt. J'ai 80 est-ce que j'ai 85 ? 85 pour ce petit gnou adorable. J'ai 85. Est-ce que j'ai nonante ou quatre-vingt dix ou plus ? J'ai cent euros. Est-ce que j'ai 110 ? Je veux accélérer pour économiser notre temps. j'ai 110 est-ce que j'ai 120 ? J'ai 120, est-ce j'ai 130 pour ce petit gnou très adorable pour défendre les libertés numériques. Dernière opportunité. J'ai 130 est-ce que j'ai 140 pour ce petit gnou adorable. Je veux aller un peu plus vite pour ne pas utiliser tant de temps ! 140 pour protéger les libertés numériques. Dernière opportunité. J'ai 140 est-ce que j'ai 150 ? J'ai 150, est-ce que j'ai 160 ? J'ai 160 est-ce que j'ai cent septante quelqu'un ? J'ai cent septante, est-ce que j'ai 180 ? Quelqu'un pour ce petit gnou énormément adorable. Dernière opportunité. J'ai 200. Est-ce que j'ai 220 ? Je veux augmenter de 10 % comme ça nous arriverons bien vite à la fin. Dernière opportunité. J'ai 220 est-ce que j'ai 240 ? 240 pour ce petit gnou ? J'ai 240 est-ce que j'ai 260 pour ce petit gnou astronomiquement adorable ? Dernière opportunité pour dire 260 et plus. Dernière opportunité : un, deux, trois. Vendu pour 240. Venez acheter s'il vous plaît. D'accord ça peut attendre donc nous continuons.

44' 18

Benjamin : Parfait. On va revenir sur le fil de la session.

R. S. : Une petite chose avec les trois minutes qui me restent. Je vous conseille de rejeter l'expression Cloud Computing ou dans le nuage. Si vous avez un nuage dans le cerveau, il est très difficile de comprendre les utilisations diverses de l'internet, parce que cette expression s'applique à plusieurs manières d’utiliser l'internet qui posent des problèmes distincts et l’expression Cloud mélange tout dans un nuage conceptuel.

Benjamin : À cet égard je vais passer la parole à Patrice Emmanuel Schmitz qui pourra intervenir sur cette notion notamment de nuage de Cloud de nuage telle qu’envisagée par la Commission européenne pendant les travaux à l'échelle européenne.

Patrice Emmanuel Schmitz : Merci Benjamin. C'est toujours difficile de parler après quelqu'un comme Richard Stallmann qui a dit tant de choses admirables. Je vais parler un peu comme expert juridique. Je suis également conseiller juridique de Joiup qui est le site de la commission sur le partage des logiciels, mais évidemment je m'exprime ici en mon nom personnel et pas au nom ni de la commission dont je ne suis pas membre, ni même du site JoinUp. Je vais parler comme c'était le thème de Cloud Computing tout en sachant que c'est un mot spécialement flou et qui reflète plusieurs réalités. D'abord effectivement quand on parle de Cloud Computing, il faut savoir qu'il y a plusieurs modèles de déploiement, plusieurs modèles de services et plusieurs rôles possibles. Dans les modèles de déploiement, on peut avoir des clouds privés. Donc vous êtes une entreprise, vous vous adressez à quelqu'un de confiance et vous avez un contrat avec cette personne qui va prendre en charge votre informatique à vous, à vous tout seul ; c'est le cloud privé.

Dans certains cas on des clouds partagés entre une communauté qui en général a plus ou moins les même besoins besoins. par exemple un groupe bancaire, groupe de banques, pourrait s'adresser à un fournisseur qui offre certaines garanties spécifiques. Puis il y a le cloud public qui est ouvert à tout le monde. C'est le cloud de type Facbook ou de type Google où le même service est offert à tout le monde et en général on ne peut pas discuter les conditions. C'est à prendre ou à laisser.

Puis vous avez dans certaines entreprises particulièrement des systèmes hybrides, mélangés, où on va prendre des fonctionnalités à gauche et à droite tout en les combinant avec l'informatique locale. Bien, ça c'est pour le modèle de déploiement.

Vous avez également des modèles de services. Il y en a trois. C'est soit l'infrastructure, donc le matériel, on réserve une puissance de calcul, on réserve du stockage, soit une plate-forme dont on va se servir pour distribuer des applications, soit les applications elles-mêmes ce qu'on appelle le Software As A Service qui est le plus connu évidemment où l'utilisateur va interagir à distance avec une application logicielle. Et les trois systèmes peuvent évidemment se combiner. Quand vous utilisez une solution ou un software comme un service, naturellement il y a aussi derrière une plate-forme et il y a aussi derrière une infrastructure.

Quand aux rôles juridiquement j'en vois en tout cas trois, trois principaux. Il y a souvent le sujet des données, ça veut dire vous, la personne. Il y a en droit européen le contrôleur des données, data controller, c'est-à-dire celui qui collecte et utilise les données et il y a enfin celui qui fournit les ressources du cloud, c'est-à-dire l'infrastructure, la plate-forme ou les softwares qui est généralement un contractant du contrôleur et qu'on appelle cloud provider.

Un autre problème c'est que souvent c'est la même entreprise qui joue le rôle de data controller et de cloud provider. Quand vous avez un compte sous Google mail, par exemple, c'est Google qui est à la fois le cloud user, donc le contrôleur du cloud et qui est aussi le provider du cloud. Donc vous êtes tout seul face à Google.

Voila donc là j'ai défini un petit peu si vous voulez les notions qu'il faut évidemment, quand on parle de cloud, il faut savoir de quel cloud on parle.

Alors pourquoi le cloud ? Bon il faut bien reconnaître qu'il y a des arguments, ce n'est pas par hasard qu'on parle de Cloud Computing. Il y a d'abord des économies importantes en terme d'investissements pour une entreprise, parce qu'en fait elle va reporter l'investissement en capital qui n'est plus nécessaires sur un investissement en frais opérationnels, mais ces frais sont moindres. Donc les vendeurs de cloud vont toujours vous dire vous faites des économies et ça peut aller jusqu'à septante pour cent d'économies.

Ça permet aussi à l'entreprise qui vend des souliers ou qui vend des cannes à pêche de se concentrer sur son business. Donc elle ne doit pas mettre en place toute une informatique. Elle peut directement commencer la vente de souliers ou la vente de cannes à pêche La mobilité est un autre argument massue évidemment parce le cloud externalise tes données mais elles sont accessibles de partout et avec n'importe quel device ; ça peut être un PC, ça peut être une tablette, ça peut être un smartphone et vous pouvez aller en Chine, aux États-Unis, en Europe et vous avez toujours accès à vos données donc c'est un argument très important pour les entreprises nomades et également pour pouvoir travailler chez soi sans devoir se déplacer.

Il y a également l'argument de sécurité. On va en discuter de la sécurité. Il y a du pour et il y a du contre. Mais évidemment pour quelqu’un qui s'est fait déjà voler son PC, ce qui est arrivé quand même à beaucoup d'entre nous, en tout cas ça m'est arrivé à moi, si mes données sont sur le cloud, au moins je les retrouve. Ce n'est pas le cas dans d'autres cas. Donc regardant les cas classiques de problèmes de sécurité que tout le monde peut rencontrer, le vol, les bris de disque, l'incendie, que sais-je encore, le cloud a certainement certains arguments.

L'amélioration des ressources, l'organisation des ressources humaines et aussi matérielles avec même peut-être des éléments positifs en matière d'énergie. On pourrait économiser de l'énergie avec le cloud.

Et puis chose importante au niveau européen, le cloud est présenté comme un moyen de résoudre les problèmes budgétaires de nos gouvernements. Ah ! Alors on a entendu des responsables notamment de la Commission Européenne, je cite ici Ken Ducatel qui est le chef d'unité Cloud à la DG Connect disant "les gouvernements pourraient sauver jusque nonante pour cent de leurs coûts informatiques " ! Quand on entend ça il y a les yeux qui s'élargissent ! Ou alors on a entendu qu'une étude venait de dire que le gouvernement norvégien pouvait chaque année sauver 825 millions d'euros en faisant appel au cloud. Ça a été dit dans un séminaire, oui, dans un séminaire, du 24 avril 2013. Alors évidemment la Norvège, c'est en Norvège, n'a que 5 millions d'habitants ; l'Europe en a 500 millions, donc si vous imaginez qu'on va pouvoir comme ça multiplier les 825 millions par 100, vous imaginez directement tout le monde commence à rêver de gains absolument astronomiques, comme le gnou.

53' 41

Alors le marché est évidemment prometteur parce que la commission, voulant voir l'évolution du marché, a demandé des études, notamment l'étude IDC de 2012 qui a dit voila nous sommes en 2011 et nous estimons le marché à 4 milliards 6 d'euros, 4 milliards 6, répartis en hardware en rouge là et en software en bleu. Et on prévoit que l'évolution de 2014 sera plus du double ! Donc on a un taux de croissance, selon l'IDC de 33 % par an. Et on dit également à la commission et c'est ce que dit IDC dans son étude, si vous orientez convenablement votre politique, donc s'il y a un Policy-driven Scenario, vous pourriez avoir une croissance jusque 38 % par an. Donc ça amène notre petit marché de 4 milliards 6 à un marché gigantesque de près de 80 milliards d'euros. C'est le résultat de l'étude IDC, je n'ai pas dit que c’était mon opinion.

R. S. : C'est faux. Ça n'existe pas !

Patrice Emmanuel Schmitz : D'accord ! C'est écrit dans l'étude. C'est noir sur blanc.

R. S. : C'est Faux. C'est une confusion. Ils mélangent tant de choses que rien de ce qu'ils disent n'a de sens.

Patrice Emmanuel Schmitz : Ça c'est pour le débat après. Je respecte totalement l'opinion de Richard, mais je vous ai dit ce qu'il y a dans les études lues et utilisées à la commission.

Alors maintenant quand on examine le Cloud il faut quand même bien se rendre compte qu'il y a des risques. Et ça nous l'avons fait dans une petite étude qui n'a pas le retentissement malheureusement de l'étude IDC, mais qui existe aussi. C'est vrai que les risques traditionnels c'est-à-dire le vol, le feu, l'inondation, etc, et les menaces dues à des virus sont normalement traités un peu mieux par les cloud providers parce que ce sont des professionnels, ils ont des équipes pour prévenir ce genre de risques. Mais d'abord ces risques, même traditionnels ont pris une nouvelle dimension avec le Cloud. Si un PC disparaît, c'est mon PC, mais s'il y a un incident sur le Cloud ça peut toucher tout un secteur de l’économie, ça peut toucher des milliers d'utilisateurs. Donc ça il faut en être conscient.

Deux, il y a des nouveaux risques qui apparaissent avec le Cloud. On a parlé de mobilité des utilisateurs, ça c'est bien, tout le monde est content d’être mobile Par contre il y a aussi la mobilité des données et vos données vous ne savez pas où elles se trouvent, vous ne savez pas dans quel pays où elles se trouvent et dans ce cas vous ne savez pas quel est le régime légal de protection qui va être applicable à vos données. Elles peuvent se trouver aussi bien en Chine ou aux États-Unis ou en Turquie.

Il y a un autre risque et on en a eu l'illustration avec le réseau Prism et l'affaire Snowden, c'est le risque de divulgation des données à Big Brother en dehors de la voie disons judiciaire normale, qui est la voie contrôlée par les tribunaux. Il y a un risque de multitenancy comme il y a beaucoup d’acteurs qui partagent les mêmes ressources, on pourrait imaginer, facilement, qu'il n'y a pas toujours une étanchéité absolue entre les différents acteurs.

Il y a une perte de contrôle des utilisateurs face à l'infrastructure, à la plate-forme et aux applications qui leurs sont proposées parce que vous êtes, vous, derrière votre petit terminal ou votre smartphone, mais vous ne savez pas vérifier quelle est exactement la sécurité, les applications, les audits qui sont éventuellement faits, donc vous n'avez plus le contrôle.

Il y a des problèmes contractuels qui sont liés souvent au fait que les conditions sont à prendre ou à laisser. Quand vous cherchez un service et bien vous dites oui j'accepte et hop vous êtes parti, vous avez donné le consentement. Il n'y a pas moyen de négocier avec le fournisseur de Cloud dans le cas public. Et, plus que ça, vous avez également la possibilité pour les fournisseurs de Cloud de changer les conditions de manière unilatérale. On vous informe un jour " tiens voila, les conditions ont été modifiées, si vous n’êtes pas content vous pouvez partir ! ", mais entre temps vous êtes présumé accepter les nouvelles conditions.

D'autres problèmes réels le manque d'interopérabilité ; vous avez des applications locales, vous avez des applications sur le Cloud, elles n'évoluent pas en même temps, il se peut que certains standards changent et du coup il n'y a plus d'interopérabilité. Et en plus il y a le fameux phénomène de vendeur locking. Vous pouvez par manque de portabilité de vos données être lié à un vendeur. Il vous dira à la fin du contrat "Ah vous ne voulez pas renouveler" ou bien je vous demande tel prix, vous pouvez partir oui, mais vous ne récupérez pas vos données de manière utilisable. Vous pouvez vous débrouiller mais moi j'ai un certain standard et c'est un standard propriétaire et c'est à vous de vous débrouiller pour partir ailleurs. Donc le vendeur locking est également un problème sérieux.

Voila les risques auxquels on fait face.

Alors face à cela, et c'est un peu le but de ma présentation, c'est de présenter que pourrait l'Union Européenne ou que fait-elle. Pour le moment elle réfléchit beaucoup. On est face à un environnement juridique qui est tout-à-fait mouvant. En matière de data protection, de protection des données, on a le projet d'un nouveau règlement qui va remplacer la directive nonante cinq, et ce nouveau règlement est toutà-fait débattu pour le moment avec beaucoup de lobbying d'ailleurs.

Il y a le problème de la standardisation qui est en cours de débat pour le moment en matière de Cloud.

Domaine des contrats. Qu'est-ce qui est un contrat fair ? Est-ce qu'on peut, disons imposer par une réglementation, par une loi, des clauses contractuelles qui vont rétablir un tout petit peu l'égalité, les responsabilités entre le fournisseur de Cloud et l’utilisateur ?

Le Digital Agenda a également son importance pour éviter notamment les phénomènes de vendeur locking.

Les lois sur le commerce électronique peuvent être révisées également en fonction des possibilités du Cloud, notamment les problèmes de copyright, donc de droit d'auteur, certainement dans certains cas, ils sont limités, l'utilisation d'une œuvre est limités à certains pays et évidemment avec le Cloud tout ça n'est plus d'actualité. Et alors les états membres et les grands fournisseurs, les plus gros, discutent pour le moment au sein de ce qu'on appelle l'European Cloud Partnership qui est une espèce de réunion pour tâcher d'arriver à de meilleures réglementations, de meilleures spécifications. Voila ce qui se passe pour le moment.

Alors la commission a publié un document qui est intéressant que vous pouvez trouver sur internet, qui est un document stratégique et qui s'appelle Unleashing the Potential of Cloud Computing in Europe, donc libérez le potentiel du Cloud Computing. Il y a donc basé sur ce document et basé sur une série d'études, une prise de conscience des opportunités du Cloud. Il y a une autre prise de conscience c'est qu'il faut une initiative européenne dans le cadre d'un marché unique européen. Pourquoi ? Parce que sinon on en arriverait au fait que certains pays, pour protéger leur propre industrie ou parce qu'ils ont une culture du secret différente, je pense par exemple au Luxembourg, avec le secret bancaire, vont revenir à des pratiques nationales. Or le Cloud s'il a un avantage, c'est quand même une certaine mobilité, une certaine interopérabilité transnationale.

Mais la commission ne veut cependant pas réaliser un super cloud ou une super infrastructure européenne. L'idée, c'est toujours le libéralisme, c'est de voir la best value for money, donc d’acheter le meilleur cloud, aussi pour les pouvoirs publics, le secteur public, au cas où il utilise le Cloud, l’achèterait auprès du marché. Et pour cela, pour faciliter l'accès au Cloud du secteur public et bien on va tâcher d'organiser le cloud procure main c’est-à-dire de mettre au point des spécifications, des conditions, un cahier des charges, qui seraient adaptées aux besoins du secteur public. Maintenant qui discute de ça ? C'est ce fameux European Cloud Partnership, qui comprend des gouvernements mais qui comprend des big players du Cloud. On y retrouve les grands, notamment les américains aussi, Amazon et compagnie.

1h 03' 30

Alors maintenant est-ce que tous ces gens dont j'ai parlé se préoccupent d'une manière ou d'une autre du free software, du logiciel libre ? Malheureusement pas ! Quand on lit le document de l'Union européenne, on ne voit aucune mention de logiciel libre.

De même la standardisation est aux mains des organisations spécifiques qui développent des standards. Et il y en a deux principales. Il y a l'ENISA en matière de sécurité et il y a l'ETSI, l'European Technical Standard Istitute qui s'occupent aussi dans d'autres matières que la sécurité. Et ces gens là non seulement se préoccupent peu de logiciel libre mais ils ont souvent un gros problème à intégrer le logiciel libre dans leur politique de licences. Parce qu'ils disent oui mais les standards, ce développement coûte très cher, c'est vrai, il faut des tas de réunions, des tas de voyages, etc, pour développer des standards consistants, partagés par beaucoup de monde et dans ce cas-là il faut pouvoir les licencer, donc il faut adopter des politiques de licences qui sont FRAND Fair, Reasonable And Non-Discriminatory et alors évidemment ils ont tendance à demander des royalties. Et toute forme de royalties liée à l'utilisation ou liée au nombre de machines et bien elle est incompatible avec le logiciel libre, parce que le logiciel libre c'est quoi ? C'est redistribuer à n'importe qui le logiciel que vous avez modifié ou même pas modifié et donc il n'y a pas de contrôle possible. Le logiciel est libre par définition. Et donc la politique de royalties free même minime ou même fair est à mon avis largement incompatible avec le logiciel libre.

Et donc il faudrait pour cela que les organisations qui développent des standards intègrent dans leur politique la considération du logiciel libre avec une politique de dual licensing, de double licence qui pourrait être royalties free pour le libre et éventuellement royalties managed pour le propriétaire. Ce ne serait pas une discrimination à mon avis puisque le libre c'est un régime juridique et ce n'est pas un groupe de personnes ou un groupe de produits, donc n'importe qui peut l’adopter s'il veut. Donc il y a beaucoup à faire dans ce domaine-là.

Alors il y a une grande question que je vais poser à Richard à laquelle il répondra certainement. Est-ce que le logiciel libre est Prism save ? Est-e qu'il peut protéger contre des cas comme Prism ? Moi personnellement je répondrais que la transparence du code est évidemment très utile parce que ça garantit qu'il n'y a pas de back door dans le code, qu'il n'y a pas, disons, de code caché qui permet la divulgation. Seulement la question c'est est-e que le logiciel libre garantit le comportement correct des contrôleurs des données ou des providers de Cloud. Parce que Google utilise beaucoup de logiciels libres, mais est-ce que ça va l’empêcher de collaborer avec un Big Brother ? Je crois que là on arrive peut-être à la limite de ce qu'une licence logicielle peut faire et effectivement il faut un autre type de réglementation, d'autres types de garanties, qui vont au-delà du concept de logiciel libre, mais qui sont beaucoup plus, disons directifs sur le comportement de certains utilisateurs, principalement ceux qui contrôlent des données.

Autre question importante, est-ce que le Cloud computing, appelons-le comme ça, pourrait nuire ou pourrait tuer le logiciel libre ? Je crois qu'il y a un certain danger parce que, comme on a dit, free software is not for free. Ça coûte cher quelque part de développer des infrastructures complètes et des plates-formes, mêmes libres. Ça coûte finalement assez cher. Et je crois qu'on a un cas, qui est le cas de la NASA, que je connais mal, mais peut-être Richard connaît mieux que moi, où on a vu l'Agence spatiale qui a confié une partie de son infrastructure à Amazon et qui a à ce moment-là cessé de développer parce ça coûtait trop cher ou autres motifs, sa propre plate-forme libre.

Il faut dire aussi que la plupart des licences libres ne considèrent pas le Cloud computing comme un moyen de distribution. Alors il y a des exceptions, principalement la Gnu AGPL, GPL aussi et c'est aussi un élément à considérer.

Donc et je terminerai pas là, qu’est-ce qui est en train de bouger pour le moment, et on livrera ça aux questions. La stratégie européenne résulte de beaucoup d'acteurs. On a vu qu'il y avait différentes directions générales ou DG. La DG Connect ce sont vraiment les gens qui tachent de promouvoir au maximum le Cloud computing. Ils sont très attentifs aux statistiques et aux économies qui peuvent être liées au Cloud. Par contre le Digital agenda et en particulier Neelie Kroes va être beaucoup plus attentif à protéger les utilisateurs du phénomène de vendeur locking.

La DG justice va se pencher sur les conditions Fair.

Le Parlement européen est sans doute un allié objectif des partisans du libre parce que le Parlement est très sensible à la protection de la vie privée et notamment a fait une étude en décembre 2012 qui met vraiment l’accent sur les risques de divulgation des données. Et c'était avant les révélations de l'affaire Prism. Mais ça faisait référence à des affaires antérieures dont l'affaire Échelon notamment. Donc là vous avez certainement des personnes qui ont un rôle très important à jouer si vous voulez exercer une certaine influence.

On a cité Neelie Kroes. On a cité également la DG justice qui est en train de lancer pour le moment une étude pour collecter dans tous les états membres quelles ont les clauses contractuelles les plus appropriées. Certains états membres, mais pas tous loin de là, essayent la promotion de standards ouverts, royalties free et indépendants et puis finalement il y a souvent dans les mauvais cas des impactes positifs. Il y a l'impact de Prism et récemment encore donc le 4 juillet c'était il y a quelques jours, Neelie Kroes a dit, a bien déclaré, déclaration écrite, que les préoccupations de sécurité pourraient avoir un impact, c'est de produire finalement des spécifications qui iraient bien au-delà de ce que le marché donne actuellement. La prise de conscience que le privacy finalement est un avantage compétitif qui pourrait profiter à l'industrie européenne ou qui pourrait aussi forcer tous les opérateurs qu'ils soient maintenant en Europe ou en Amérique à adopter de nouvelles règles de conduite qui seraient plus respectueuses de la privacy.

Voila j'ai un peu voulu dresser un panorama. Je n'ai pas voulu exprimer une opinion personnelle. J'ai simplement voulu vous raconter ce qui se passait et ce qui était pour le moment dans le pipe, dans le tuyau et je suis sûr qu'il y aura des réactions de Richard et d'autres personnes.

Je vous remercie beaucoup.

Présentateur : Merci

Applaudissements

1h 12' 15

Richard Stallmann : Tout ce qu'il vient de dire est de la confusion pure.

Récupérée de « http://wiki.april.org/index.php?title=Développement_internet_et_libertés&oldid=57168 »