Contacté par une journaliste du site de débat Newsring (lancé sous la direction éditoriale de Frédéric Taddeï) pour participer à un sujet sur « Nouvelles technologies : peut-on échapper à l’emprise américaine ? », je me suis plié à l’exercice.
C’est à partir de l’annonce du retrait de Dassault du projet de Cloud computing « à la française » que la journaliste s’est posé la question de la possibilité pour la France de développer son indépendance face à des services majoritairement américains.
Le débat et sa présentation sont disponibles à cette adresse.
Le point de vue développé ici s’attardera davantage à se demander s’il est possible d’échapper à l’emprise des États et des entreprises qui font fortune sur la surveillance des communications.
Il est coutume de dire qu’internet n’a pas de centre, et c’est vrai. En tant que réseau de réseaux décentralisé, il est en théorie conçu pour pouvoir fonctionner quelles qu’en soient les parties amputées. Mais il est aussi fréquent d’entendre que s’il devait y en avoir un, il serait aux États-Unis.
Avec le développement de la toile, de nombreuses entreprises américaines ont acquis un statut dominant voire quasi monopolistique dans certains domaines. Plus de neuf français sur dix utilisent des logiciels Microsoft et surfent sur le net grâce à Google, et près d’un sur trois a un profil Facebook.
Lorsque l’on parle de stockage des données en ligne (cloud computing), cela pose de façon évidente la question de la conservation et de la concentration des informations, et interroge sur le cadre juridique duquel elles dépendent.
Cette concentration pose problème dans plusieurs domaines :
La confidentialité des données
Concernant la confidentialité des données, et le respect à la vie privée, la constitution de supers bases de données contenant des quantités parfois astronomiques de détails sur nos habitudes de navigation, nos goûts, nos achats, nos symptômes, nos préoccupations, nos désirs etc., pose de sérieux problèmes.
Pour prendre le cas Google, il a été le premier groupe à dépasser le milliard de visiteurs uniques en mai dernier (selon comScore), et Youtube (appartenant à Google) annonce ce mois-ci les mille milliards de vidéos vues en 2011. Chacune de ces visites est l’occasion pour l’entreprise de peaufiner le profil des utilisateurs en fonction de leurs comportements.
La question du droit de l’information
À qui appartiennent les informations publiées par les internautes ? Dans le cas de Facebook par exemple, nous savons que les données « confiées » peuvent être réutilisées dans un cadre publicitaire notamment, et sont à la disposition de l’entreprise, même après suppression du compte (voir l’affaire de l’étudiant autrichien Max Schrems qui a reçu plus de 1200 pages d’informations sur sa personne après 3 ans d’utilisation du réseau et un compte soi disant supprimé).
Le rapport à la justice
C’est également vis à vis de la justice qu’il faut s’interroger, et plus particulièrement de l’État. C’est suite à des « révélations » de Gordon Frazer (directeur général de Microsoft) que la question du Patriot Act a refait surface sur le net. Rédigé suite aux attentats du 11 septembre 2001, le texte impose à toute entreprise américaine de fournir les renseignements dont elle dispose si l’État en fait la demande. Étant dans cette situation, Microsoft a, à l’occasion de la prise de parole de son responsable, avoué avoir déjà été en situation de répondre à cette exigence patriotique. C’est quasiment dans la foulée que le géant Google avait également confirmé avoir fait de même.
Il convient de préciser que le Patriot Act concerne toutes les entreprises américaines, qu’elles soient basées sur le sol américain ou non. Les serveurs de Google en Europe sont par exemple concernés, et toutes les données qu’ils renferment sont donc potentiellement réquisitionnables par les autorités d’outre-Atlantique.
C’est alors que se repose la question de la concentration des données. Avec 900 000 serveurs estimés dans le monde, une utilisation particulièrement élevée de son moteur de recherche en France, et une omniprésence de Google Analytics qui permet d’afficher des statistiques de fréquentation 1 2, Google prend l’allure d’une pieuvre menaçante tant pour la sécurité des internautes que pour celle des entreprises.
Le contrôle du réseau
L’intégrité du réseau ainsi que la garantie d’une circulation libre des contenus dépendent également, du fait de la main mise des entreprises américaines sur le web, du droit états-unien. L’actualité récente braque les projecteurs vers la chambre des représentants et le sénat américains, lesquels discutent deux projets de loi très similaires: Stop Online Piracy Act (SOPA) et Protect IP Act (PIPA). Ces deux Patriot Acts numériques visent à mettre en place des systèmes de contrôle et de censure d’internet dignes des plus grandes dictatures mondiales, et ce afin de préserver les seuls intérêts des ayants droit des industries culturelles américaines. Le passage de tels projets affecterait sans nul doute la totalité de la toile puisque qu’une grande partie des sites en ligne dépendront de ces textes.
Un cloud à la française ?
Cette situation de dépendance à l’égard du droit américain amène divers projets, dont Andromède, présenté comme un cloud à la française, à destination de l’e-administration, puis éventuellement des entreprises de l’hexagone.
Plutôt que de se concentrer directement sur l’administration et les entreprises, il me semble important d’aborder la question de façon plus large, dans le rapport à l’utilisateur en général.
En ce qui concerne la sécurité des données, il conviendrait de désigner clairement celui dont on souhaite se protéger. S’il s’agit de l’État, il n’y a nul doute pour dire que l’État Français ne se montre pas plus vertueux que son homologue américain, en témoignent l’adoption de la très répressive Loppsi II, la troisième position acquise par la France en tant que pays demandant à Google de dévoiler des informations sur ses utilisateurs (octobre 2011), ou encore son implication présumée dans l’affaire d’espionnage d’Amesys (voir ci-dessous).
Mais avec qui ?
Les partenaires associés au projet Andromède laissent perplexes les internautes qui auront rapidement mis le nez dans les questions de sécurité : Orange, Thales et Dassault (qui s’est retiré du projet en décembre).
France Télécom (qui possède la marque Orange), s’est illustré (bien que cela n’ait fait grand bruit), de façon indirecte dans l’affaire Amesys. En effet, l’entreprise possède de nombreuses actions chez Bull, dont Amesys est une filiale.
Cette dernière a été, suite à des révélation des sites Owni, Reflets.info, Wikileaks et le Wall Street Journal, accusée d’avoir vendu au régime de Kadhafi des armes numériques permettant la surveillance du réseau et des dissidents libyens , ainsi que des communications téléphoniques et satellites.
Thales a également été répertoriée par Wikileaks dans les Spy Files, comme étant l’une des entreprises françaises développant des outils de monitoring de masse sur les réseaux téléphoniques et internet.
Orange, c’est également l’annonce d’un bridage du net à 100 MO pour la fibre (et donc techniquement une remise en cause de l’illimité), ainsi que la volonté de développer le DPI (Deep Packet Inspection), la même technologie d’analyse des flux utilisée par Amesys en Libye, pour des usages courants. Parmi les dernières propositions, on notera la possibilité de faire analyser tout son trafic par Orange afin de pouvoir recevoir des publicités plus ciblées (c’est tout de même grandiose!).
Nombreux sont également ceux qui s’interrogent sur son respect de la neutralité du net, notamment en tant que propriétaire du portail Dailymotion. L’entreprise est en effet suspectée de brider le trafic à destination de son concurrent Youtube.
On ne présente plus non plus Dassault pour ce qui est de la construction et la vente d’armes et de matériel de guerre, pour ses relations commerciales avec Amesys, Thales ou d’autres, et sa complicité par la vente d’armes avec la dictature de Kadhafi.
Bref, on pourrait se demander ce qu’il y aurait à gagner à confier la gestion de nos données et leur sécurisation à de tels énergumènes.
Saucisson pinard ou autonomie ?
Parler de l’information sur le net, au-delà même du cloud (à la française ou non), pose donc un certain nombre de questions qui n’ont finalement pas toujours grand chose à voir avec des problématiques liées à la souveraineté nationale.
Il convient en effet de resituer les contextes d’énonciation : si l’État français peut chercher à gagner en indépendance grâce à Andromède, il n’en reste pas moins extrêmement conciliant (et d’avantage encore : voir l’inauguration des bureaux parisiens de Google par Nicolas Sarkozy) avec une entreprise comme Google, qui évite pourtant sciemment la fiscalité française en se basant en Irlande.
Son indépendance vis à vis de la juridiction américaine, notamment dans le domaine de la sécurité nationale ne semble représenter que peu d’intérêt pour l’internaute moyen, étant données les pratiques auxquelles il semble s’adonner sur son propre territoire ou dans les pays du Maghreb et du Moyen-Orient.
D’autre part, on va de ce fait observer une fuite des militants vers les États-Unis pour échapper à la surveillance et la censure française, comme ce fut le cas pour le site Copwatch Nord Île-de-France par exemple. Pour ces activistes, être « autonome » (hébergé) en France ne signifie pas pour autant liberté.
Héberger ses données à distance amène enfin à prendre en compte d’abord la question du chiffrement, afin de garantir une confidentialité à minima de ce qui est entreposé sur des serveurs tiers, mais aussi celle des outils secondaires qui peuvent être utilisés. Gardons en tête l’exemple de Google Analytics, lequel fait office de véritable cheval de Troie sondant pour le géant de Mountain View, une bonne partie des visites de sites sur la toile.
Finalement, ne serait-ce pas l’occasion de réhabiliter dans certains cas le principe l’auto-hébergement et l’hébergement coopératif, probablement l’une des pratiques la plus en phase avec l’écologie du net ?
U.S.A quand tu nous tiens!!!!!!