vendredi 2 février 2018

Données personnelles et droit de vendre des organes humains

Rein humain.png

Photo de Rainer Zenz sous licence CC-BY-SA[1]

Il semblerait que j’ai froissé Gaspard Keonig, en comparant la vente de données personnelles (qu’il veut rendre possible dans un récent rapport de son think tank Génération Libre) à la vente d’un rein lors d’un Facebook Live sur la vie privée[2]. Smashée façon punchline entre deux des questions d’internautes balancées en rafales, ma réponse manquait forcément de profondeur. Un tweet rageur et une série de mails de Gaspard plus tard, il est temps de donner une réponse plus claire et plus posée.

Pourquoi comparer la vente de données personnelles à la vente d’un rein ?

À propos de patrimonialité des données

Gaspard, avec qui j’ai d’excellentes relations par ailleurs, m’accuse de de “degré zéro” du débat. Certes, le format Facebook live (tout comme Twitter) laisse trop peu de place à la réflexion de fond et au débat, favorisant la phrase qui tue. Mais je revendique l’existence d’un fond de vrai, et même d’un vrai fond.

Tout d’abord, j’ai commencé à réfléchir au concept de “patrimonialité des données” du temps du CNNum (que j’ai quitté en fin de mandat il y a tout juste deux ans). À l’époque déjà, cela me semblait être une mauvaise idée. Plus tard, le CNNum suivant publiait un intéressant avis sur “La libre circulation des données dans l’Union Européenne”. La page 3 ne peut pas être plus explicite en s’intitulant “Écarter la propriété des données”. Cet extrait résume assez bien ma position :

l’introduction d’un système patrimonial pour les données à caractère personnel est une proposition dangereuse à plusieurs titres. Elle remettrait en cause la nature même de cette protection pour les individus et la collectivité dans une société démocratique, puisque la logique de marchandisation s’oppose à celle d’un droit de la personnalité placé sur le terrain de la dignité humaine.

De la non-patrimonialité du corps humain

Quel rapport avec les reins ? Il faut savoir qu’il est interdit, en France, de faire commerce de ses organes, et c’est bien. En effet, on considère l’humain comme une entité qu’on ne peut soumettre à des contrats. C’est ce qu’on appelle l’Indisponibilité du corps humain (on parle aussi de non-patrimonialité du corps humain), définit dans l’article 16-1 du code civil[3]

Article 16-1 : Chacun a droit au respect de son corps. Le corps humain est inviolable. Le corps humain, ses éléments et ses produits ne peuvent faire l’objet d’un droit patrimonial.

Peut-on séparer l’individu de ses données personnelles ?

Aral Balkan, en anglais et à l’occasion de la journée des données personnelles, s’expliquait ainsi (traduction approximative par mes soins) :

Séparer une personne de ses données, c’est retirer à celles-ci ses droits humains, c’est en faire un objet qu’on peut commercialiser. Tous les droits ainsi conférés à l’objet (les données) seront donc moindres que ceux protégeant le sujet (la personne). En traitant les gens et leurs données comme étant des notions différentes — l’une en sujet, l’autre en objet — ce qu’on finit par faire c’est de rendre commercialisable les gens en les découpant en tranches prêtes à être vendues au plus offrant. Voici, en substance, le business model de la Silicon Valley : numériser les gens et être propriétaire des versions numériques.

Voilà. Permettre la patrimonialisation des données personnelles, c’est — métaphoriquement — permettre de revendre par appartements son moi numérique, c’est faire commerce de son corps numérique, en quelque sorte, ce qui est interdit en France pour son corps physique, au nom de la dignité humaine.

Rapport de force

Quand bien même on changerait d’approche en France pour permettre la revente de ses données personnelles, reste une question cruciale : est-ce que ça pourrait vraiment changer la donne ?

On sait à quel point le fisc a du mal à faire payer les impôts sur les sociétés à Facebook, Google et consorts. Les fonctionnaires de Bercy, pourtant très compétents et bien payés (normal, le sujet est d’importance !) sont désemparés alors qu’il s’agit de récupérer quelques milliards ? Alors vous imaginez bien la totale impuissance de l’individu, déjà dépouillé de ses données personnelles à négocier seul face aux GAFAM.

Pour aller plus loin

Trois autres personnes, bien plus profondes dans leur analyse, ont écrit mieux que moi sur ce sujet :

Notes

[1] Rassurez-vous, il s’agit de reins de mouton…

[2] Là, déjà, on sent qu’on frise le WTF niveau 9000…

[3] Immense merci à @Cestmontwyter, @regissme; @Soufron.

jeudi 4 janvier 2018

Hack-conte (accompte ?) de Noël

soutien quadrature.png

Un hack, c’est plein de chose, souvent mélange de créativité (en détournant un objet technique de sa vocation initiale) et de plaisanterie.

En voici un qui m’a amusé ces derniers jours en rapprochant deux idées :

La Quadrature du Net

Tout d’abord, fin décembre, c’était la campagne de dons de la Quadrature du Net avec, comme presque chaque année, le risque de ne pas réussir à la boucler.

La startup Circle

Presque simultanément, j’entends parler d’un nouveau service, Circle, dont la vocation est de faciliter le transfert d’argent entre particuliers. Mais pour réussir, il faut s’imposer auprès des gens. Aussi, ils cherchent à acquérir des utilisateurs. Ils ont pour cela levé 136 millions de dollars US. Ils proposent en ce moment entre 5 et 10€ à qui parraine un nouvel utilisateur. Mon fils, particulièrement à court d’argent en cette période de fêtes, me fait tester le service et gagne à cette occasion 5€ et me fait aussi gagner 5€.

Et si Circle (le Cercle) aidait la Quadrature sans le savoir ?

C’est là que j’ai rapproché les deux problèmes : la Quadrature a besoin d’argent et Circle en distribue à ses nouveaux utilisateurs ? Il y a sûrement un truc à faire, un hack, une bidouille. J’ai alors touitté la chose suivante :

Idée à la con : tu ouvres un compte sur @Circlepay via ce lien : https://www.circle.com/invite/VZNM9Y . Tu m’envoies 25€. Je te les renvoie, promis. Circle nous donne des sous (5 ou 10€ chacun) pour ça. On les donne à @laquadrature pour les aider à boucler leur campagne. T’es partant ?

Par la suite, j’ai détaillé le processus :

  1. tu ouvres un compte en utilisant le lien que j’ai donné.
  2. tu m’envoies 25€
  3. je te renvoie 25€ (dès que je suis notifié par Circle)
  4. Circle nous donne 5€ chacun
  5. on donne chacun 5€ à @laquadrature

Je le reconnaissais d’emblée : c’est une idée à la con, ce qui est souvent un bon début pour un hack rigolo. Circle n’était pas prévenu (et n’avait probablement pas prévu un tel cas d’usage). La Quadrature non plus ne m’avais pas donné son aval. Je n’ai pas contacté de fiscaliste ou d’avocat pour ça. Mais au final, même si ça me prend un peu de temps, Circle va gagner de nouveaux utilisateurs et la Quadrature pourrait gagner des sous. Et c’est ce qui s’est passé ! 34 personnes ont joué le jeu, ce qui a généré 170€ que j’ai reçu sur mon compte Circle. Là dessus, ma Môman a décidé de rajouter 10€ qu’elle avait gagné de son côté et moi j’ai rajouté les 25€ que j’ai mis dans le système au départ. Total : 205 €

Don quadrature.png

De leur coté, je ne peux pas être absolument certain que les gens qui ont reçu de l’argent de Circle l’ont tous donné à la Quadrature, mais j’ai reçu plein de copies d’écrans qui le prouvaient, très souvent arrondi à 30 €. Au doigt mouillé, j’estime qu’il y a 350 € de donnés à la Quadrature par mes correspondants[1]. Si mes hypothèses sont correctes, ce hack a généré environ 555 € en tout. Ça n’est pas ça qui changera le destin de la Quadrature, mais c’est toujours ça de pris et c’est l’occasion de pousser des gens à donner de l’argent à la Quadrature, ce qu’ils n’auraient probablement pas fait autrement. Ah, et pour le coté plaisanterie de la chose ? J’aime l’idée que l’argent de startupeurs banquiers et de leurs investisseurs serve à défendre nos libertés numériques !

Bref, de quoi bien commencer 2018, année que je vous souhaite excellente, tout particulièrement à ceux qui ont joué le jeu de donner à la Quadrature !

Note

[1] Hypothèses : 9 auraient donné 30 € chacun, 8 auraient donné 5€ et le reste, quasiment la moitié, n’a finalement rien donné parce qu’il a oublié ou eu la flemme.

mardi 19 septembre 2017

CNNum et chiffrement

Le CNNum a publié son avis “Prédiction, chiffrement et libertés”. Les recommandations sont à lire et à garder à l’esprit (au point que Snowden a retouitté l’annonce !) C’est tellement bon que je fais un copier coller ci-dessous :

  • Tout projet législatif et réglementaire qui emporte des conséquences importantes sur les libertés doit faire l’objet d’une vaste consultation préalable ;
  • Le principe de l’intervention d’une autorité judiciaire doit être réaffirmé chaque fois qu’est mise en cause une liberté ;
  • Les pouvoirs publics doivent refuser la logique du soupçon, qui ouvre la porte à l’arbitraire, dans la mise en œuvre des politiques sécuritaires sur Internet ;
  • Le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ;
  • Le chiffrement – et les libertés fondamentales dont il permet l’exercice – constitue un rempart contre l’arbitraire des États. Il nous protège aussi contre le contrôle croissant des acteurs économiques sur nos vies ;
  • Le chiffrement ne constitue pas un obstacle insurmontable pour les enquêtes. Il est possible de le contourner dans le cadre d’une surveillance ciblée. À ce titre, il est surtout un rempart contre la surveillance de masse ;
  • Plus généralement, compte-tenu de l’augmentation des pouvoirs des services de renseignement et des incidences importantes sur la vie des citoyens, le Conseil s’interroge sur la nécessité d’établir un droit au recours effectif et, au-delà un droit à l’explicabilité des algorithmes de prédiction. Il se questionne également sur l’opportunité de renforcer les incriminations pénales relatives aux atteintes aux données personnelles sur le fondement de la vie privée.

La couverture médiatique est significative :

En guise de Post-Scriptum :

Le CNNum sort un communiqué de presse : Pourquoi le Privacy Shield doit être renégocié, qui donne déjà un article dans NextInpact. Extrait du communiqué :

le « Privacy Shield » présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens. Conformément à l’engagement du candidat Emmanuel Macron, cet accord doit être renégocié pour organiser une circulation des données sécurisée, respectueuse de nos droits et libertés et favorable aux entreprises.

Amen.

mercredi 9 novembre 2016

Trump : la première leçon

Donal Trump, via Wikipedia

Donald Trump par Michael Vadon (CC-BY)

Voilà, Donald Trump a gagné l’élection présidentielle américaine. Le monde est sous le choc et certains se ravissent. Il est encore trop tôt pour mesurer les conséquences de cet événement, mais il y a déjà une leçon à retenir : quand on donne à quelqu’un en qui on a confiance des pouvoirs extraordinaires, comme la possibilité de faire de la surveillance de masse ou ficher les gens, il faut se souvenir qu’on les donne aussi à son successeur[1].

Le 20 janvier 2017, Donald Trump sera aux commandes de l’Amérique, celle de la NSA, institution qui dont le cœur de métier est la surveillance de masse[2]. Il s’est fait remarquer dans sa campagne par ses prises de positions tranchées contre certaines minorités (de race, de genre ou de croyance religieuse). En ce qui concerne la technologie, Trump a promis la censure d’Internet et de s’attaquer à ceux qui protègent la vie privée de leurs utilisateur.

En France, Bernard Cazeneuve a passé en douce, pendant le week-end de la Toussaint, sans prévenir la secrétaire d’État au numérique, un décret visant la création du TES, un mégafichier biométrique de 60 millions de français. L’année dernière, c’était la loi Renseignement qui était passée, autorisant la surveillance de masse d’Internet et des communications mobiles.

En 2016, on ne peut pas raisonnablement considérer le président en place comme un fou sanguinaire voulant discriminer les gens par leur race, leur genre, leur religion ou leur orientation sexuelle.

Mais en 2017 ? En 2022 ? La surveillance de masse et le fichage des citoyens seront bien en place, bien huilés. Que voudra faire le/la futur(e) président(e) de la République avec ces outils à l’énorme potentiel répressif ?

Et d’ici là, qu’aurons-nous fait, nous informaticiens, citoyens et consommateurs, pour empêcher le dérapage de notre société vers plus de flicage et de surveillance ?

mercredi 24 août 2016

Chiffrement sur France Inter - la transcription

Mardi 23 août 2016, j’étais l’invité de Catherine Boullay et Éric Delvaux pour leur émission “Le 5/7” sur France Inter (voir le billet précédent, Défendre le chiffrement). Grâce à la très efficace Marie-Odile, de l’APRIL, voici une transcription.

Catherine Boullay : Votre invité ce matin, Éric Delvaux, c’est Tristan Nitot, spécialiste de la surveillance numérique, auteur d’un livre qui sortira en septembre prochain, chez C & F Éditions. En septembre ! C’est dans pas très longtemps d’ailleurs, et qui a justement pour titre Surveillance.

Éric Delvaux : Oui. La confidentialité sur Internet opposée à la sécurité antiterroriste. Aujourd’hui, le ministre de l’Intérieur, Bernard Cazeneuve, va recevoir son homologue allemand. Il s’agit de trouver une stratégie pour convaincre les opérateurs et autres messageries de fournir une partie du décryptage, tout ou partie de ce décryptage, pour mieux lire certaines données sur Internet et favoriser les enquêtes. Ça s’appelle le chiffrement. Ce chiffrement dans le collimateur, donc, des gouvernements. Bonjour Tristan Nitot.

Tristan Nitot : Bonjour.

Éric Delvaux : Dans ce débat, vous êtes clairement favorable à la protection de la vie privée sur Internet. Pour quelle raison ?

Tristan Nitot : Écoutez, c’est nécessaire pour vivre correctement. Si on était tous surveillés, il y a des romans qui nous ont expliqué ça très bien,1984 de George Orwell, c’est un cauchemar. On se sent surveillé, on n’ose plus rien faire. Il y a des études psychologiques qui ont démontré : quand on se sait surveillé, on s’autocensure. Alors finalement, c’est vrai que la France subit le coup du terrorisme et c’est horrible, ça fait des tas de victimes, d’accord ! Mais est-ce que c’est pour ça qu’il faut arrêter d’être libres dans notre pays ?

Éric Delvaux : Ça veut dire que vous faites de la confidentialité sur Internet un droit fondamental ?

Tristan Nitot : Absolument ! Mais c’est marqué dans la Convention européenne des droits de l’homme : on a le droit à la vie privée et c’est absolument essentiel si on veut vivre correctement.

Éric Delvaux : L’état d’urgence contre la cybercriminalité, contre les cybermenaces et contre le terrorisme, ça ne tient pas la route ?

Tristan Nitot : C’est sûr que les Français ont vraiment envie qu’on fasse quelque chose face au terrorisme. C‘est très logique et je suis d’accord avec eux. Seulement il ne faut pas faire n’importe quoi face au terrorisme, non plus.

Éric Delvaux : N’importe quoi, c’est-à-dire ?

Tristan Nitot : Et en l’occurrence, si vous voulez restreindre le chiffrement, ça poserait un vrai problème de sécurité. En fait, on affaiblirait la démocratie, on affaiblirait notre sécurité, parce que le chiffrement c’est absolument indispensable pour que la France fonctionne. C’est ce qui permet, par exemple, de faire du commerce électronique, c’est ce qui permet aux banques d’échanger, de faire des virements en toute sécurité. L’informatique, l’Internet, sans chiffrement, ça ne marche pas ! C’est une vraie gabegie ! Donc il ne faut absolument pas réduire le chiffrement qui est essentiel au bon fonctionnement d’Internet, Internet qui est de plus en plus présent dans nos vies.

Éric Delvaux : L’un des terroristes qui avait égorgé le prêtre à Saint-Étienne-du-Rouvray avait régulièrement recours à la messagerie chiffrée Telegram, avec son option secret chat qui sécurise les communications de bout en bout. Ces secret chat sont réellement inviolables ?

Tristan Nitot : C’est vrai que c’est quasiment inviolable. Maintenant, c’est quasiment inviolable techniquement. On sait aujourd’hui que le chiffrement est parfois utilisé par les terroristes. Il est toujours utilisé par les banques, si vous voulez. Donc il ne faut pas jeter le bébé avec l’eau du bain. Et c’est vrai que ce chiffrement peut gêner les enquêteurs, c’est une évidence, mais néanmoins, ce n’est pas parce qu’il les gêne qu’il empêche absolument les enquêtes. Aujourd’hui des infiltrations, etc., c’est possible.

Éric Delvaux : Ce n’est pas ce que disait François Mollins qui supervise les enquêtes terroristes en France. Il disait, sur France Inter d’ailleurs, en janvier dernier, que certains smartphones n’ont pas pu être pénétrés par les enquêteurs. Ça vous semble plausible, ça ?

Tristan Nitot : Oui, oui, tout à fait !

Éric Delvaux : Nous ne sommes pas capables, le FBI, par exemple pour prendre une superpuissance américaine, le FBI n’est pas capable d’aller cracker des smartphones.

Tristan Nitot : En fait le FBI disait : « Ah, mais c’est horrible, on ne peut pas cracker des iPhones ! »

Catherine Boullay : Et il y a eu un bras de fer terrible avec Apple.

Tristan Nitot : Exactement, il y a eu ce bras de fer. Et puis Apple a tenu bon, et ils ont bien fait de protéger la vie privée de leurs clients. Et, comme par hasard, juste après, on a appris que finalement ils avaient quand même cracké l’iPhone en question.

Éric Delvaux : C’était de la com au final ou pas ?

Tristan Nitot : C’était beaucoup de la communication et c’était une question de principe. Ils voulaient passer en force.

Catherine Boullay : Mais quand la sécurité est en jeu, Tristan Nitot, que fait-on quand on sait qu’on s’interdit d’aller briser le code ou d’aller chercher derrière les cryptogrammes ?

Tristan Nitot : Eh bien on utilise des moyens traditionnels comme l’infiltration.

Catherine Boullay : Est-ce que c’est responsable ?

Tristan Nitot : Il apparaît quand on lit la presse aujourd’hui que ce n’est pas parce que Telegram est chiffré, on peut quand mème infiltrer les groupes. Si le groupe terroriste essaye de recruter sur Telegram, et on l’a vu, il y a des journalistes, qui l’ont fait, il y a des policiers qui l’ont fait, qui se sont faits passer pour des recrues potentielles et qui ont infiltré des groupes. Et ça, qu’il y ait chiffrement ou pas, ça ne change rien à l’affaire. On est capable, aujourd’hui, d’infiltrer, mais c’est de la police traditionnelle plutôt que de la surveillance électronique.

Éric Delvaux : Et à vos yeux, que vaut la solution alternative qui s’appelle PrivaTegrity, ce nouveau réseau chiffré chapeauté par des membres issus de neuf pays différents, avec un conseil qui serait chargé d’étudier, à chaque fois, les requêtes des autorités qui voudraient enquêter sur la cybercriminalité.

Tristan Nitot : En fait, aujourd’hui, c’est comme ça que ça fonctionne très souvent. Quand on dit « oui Apple a résisté face au FBI, etc. », mais en fait Apple avait travaillé avec le FBI pour donner toutes les données qu’ils pouvaient offrir pour l’enquête. Néanmoins, il y a un moment où Apple a dit : « Je refuse d’introduire ce qu’on appelle une porte dérobée », dans son iPhone.

Éric Delvaux : Back doors.

Tristan Nitot : Une back door, effectivement. Le problème c’est que si on commence à introduire une back door dans les produits de chiffrement, on est incapable d’être certain qu’elle sera gardée secrète pour toujours, elle ne sera utilisée que dans les cas absolument utiles. Parce que si vous commencez à mettre une back door qui sera à la disposition du gouvernement américain, eh bien les Français vont le vouloir, les Chinois vont le vouloir aussi. Après tout, ils ont la légitimité pour espionner ou pour surveiller les téléphones de leurs citoyens. Et ça veut dire que, en gros, tous les gouvernements, y compris ceux qui sont moins recommandables, auront accès aux données qui sont planquées derrière les back doors.

Catherine Boullay : Mais finalement, Tristan Nitot, qu’est-ce que vous, moi, on aurait à cacher ?

Tristan Nitot : Moi je ne sais pas. Vous avez des loquets à vos toilettes, ou pas ? Vous ne fermez pas votre porte de toilettes quand… ?

Catherine Boullay : Qu’est-ce que ça peut faire finalement ?

Tristan Nitot : Je suis papa de deux enfants. J’ai fait deux enfants, mais je ne vais pas vous expliquer comment ! C’est-à-dire on a tous des choses qui sont légales, mais qu’on ne va pas afficher au monde.

Éric Delvaux : Principe fondamental, comme vous expliquiez. Ce chiffrement, le secret des données, est-ce que ce n’est pas devenu aussi un argument commercial pour des sociétés comme Whatsapp, Google ou encore eh bien Apple. ?

Tristan Nitot : Oui, tout à fait. C’est un argument commercial. Je pense qu’aujourd’hui il n’y a guère que Apple qui peut dire « je veux protéger les données de mes clients », sachant que les autres les Google et les Facebook, en fait, leur principal métier, c’est d’espionner leurs clients pour tout savoir sur eux et leur vendre de la publicité ciblée. Donc ils sont un peu hypocrites sur ce sujet. Voilà.

Éric Delvaux : Eh bien on lira ça sûrement dans votre prochain livre. Ça s’appellera Surveillance, c’est bien ça ?

Tristan Nitot : Tout à fait.

Éric Delvaux : Ça sort dans quelques semaines chez C & F Éditions. Merci donc Tristan Nitot, spécialiste des questions de surveillance numérique. Merci.

- page 1 de 36