Se reposer sur la bonne volonté des membres pour aider Facebook à rester transparent est une chose. Forcer les utilisateurs à dénoncer leurs petits camarades en est une autre. C’est pourtant ce que propose Facebook dans l’ une des ses nouvelles fonctionnalités récemment décriées en France : quelques personnes ont été sommées de confirmer l’identité de leurs amis utilisant un pseudonyme. Des cas isolés qui illustrent tout de même le manque de discernement de l’entreprise, mettant sur le même plan les dangers d’une publication d’informations dangereuses ou de contenus contraires aux bonnes moeurs et l’utilisation de pseudonymes.

On ne badine pas avec la sécurité chez Facebook. Le réseau traque les contenus haineux, pédophiles, racistes, et plus globalement, toute utilisation frauduleuse des profils, de l’usurpation d’identité au piratage de compte. Lorsque l’entreprise a présenté l’année dernière le signalement social, comme « un outil innovant permettant aux utilisateurs de signaler un abus non seulement à Facebook mais aussi directement à leurs amis, ces derniers pouvant aider à résoudre les problèmes », elle a officialisé un nouveau rôle pour ses membres : celui de chien de garde.

L’utilisateur est alors considéré comme l’un des piliers de la sécurité et se devra d’aider les équipes dans leur recherche. Qu’il se rassure, il pourra remplir les objectifs de sa mission en toute discrétion, puisque ” la personne signalée n’est pas informée de l’identité de l’utilisateur qui a fait le rapport “. Selon un porte-parole de Facebook France, le signalement social est un outil efficace et même nécessaire, qui complète pleinement le travail de l’entreprise :

Les internautes utilisent Facebook pour rester en contact avec leurs amis et leur famille, pour savoir ce qu’il se passe dans le monde et pour partager et exprimer ce qui importe à leurs yeux. Ils tireront le meilleur du site en utilisant leur véritable identité. Cela permet un environnement plus sécurisé et digne de confiance pour tous les utilisateurs.

C’est pourquoi Facebook essaie constamment d’améliorer la sécurité de ses utilisateurs, en mettant à jour certains outils ou en développant de nouvelles fonctionnalités. Afin de lutter contre les faux comptes, Facebook a mis en place un système de signalement social qui permet entre autre aux utilisateurs de signaler les faux comptes sur Facebook.

Pour gérer ces signalements, Facebook a une équipe dédiée qui s’occupe spécifiquement des questions de fausse identité. Cette équipe lit les remarques qui lui sont envoyées, vérifie les signalements d’éventuels faux profils et agit en conséquence.

En réalité, derrières ces louables intentions se cache une réalité beaucoup plus simple : le réseau, dépassé par sa popularité, cherche à faire des économies. En 2010, alors que Facebook ne comptait “que” 500 millions de membres (plus de 900 millions aujourd’hui), les plaintes pour contenus contraires aux politiques générales d’utilisation du site étaient enregistrées par seulement deux équipes, l’une basée en Californie, l’autre en Irlande. En 2012, deux nouvelles équipes au Texas et en Inde sont venues compléter l’effectif mais elles ne semblent pas suffisantes pour assurer une modération globale.

Les consommateurs abandonnés aux FAI

C'est aux consommateurs de garantir la neutralité du net. Pas aux institutions. Si les opérateurs limitent l'accès à ...

Done is better than perfect !

Ces méthodes sont pourtant typiques de Mark Zuckerberg qui applique une seule et même devise à l’ensemble de son travail « Done is better than perfect ». Le tâtonnement permanent du jeune milliardaire ne semble pas réjouir les utilisateurs de Facebook aux États-Unis, où les lois régulant la vie privée sont moins contraignantes que les textes européens : 25% d’entre eux avouent entrer de fausses informations sur leur profil afin de protéger leur identité contre 10% en 2010. Les dérives du social reporting n’inquiètent cependant pas encore les associations de défense des libertés numériques telle l’Electronic Frontier Foundation (EFF) car Facebook n’a pas encore officialisé cette fonctionnalité. Mais même les violations ponctuelles des libertés peuvent nuire aux utilisateurs.

Pire encore, cette obsession de la transparence pousse l’entreprise à employer des mesures radicales, peu efficaces mais permettant de mieux contrôler ses ouailles, comme la surveillance des messageries privées. La chasse aux pervers et aux profils dangereux devient une priorité qui prévaut sur le respect de la vie privée et des libertés.

Facebook va tenter de faire son mea culpa en intégrant le Global Network Initiative, un groupe de travail composé d’entreprises, d’investisseurs, d’associations de défense des libertés et de chercheurs et spécialisé dans la protection des libertés d’expression et de la vie privée dans le secteur des Nouvelles Technologies de l’Information et de la Communication, qui compte déjà dans ses rangs Google, Microsoft et Yahoo. Mais l’on ne sait toujours pas ce que Facebook compte y trouver et encore moins quelles seront les garanties pour les utilisateurs. Une opacité qui remet en cause la bonne volonté affichée de l’entreprise qui exige encore une fois de faire ce qu’elle dit mais pas ce qu’elle fait.

Pire que la coupure d’accès…

Jusqu’à présent, ce qui était certain, c’est que les personnes morales (entreprises, associations, administrations, etc) entraient bien dans le champ d’application de la loi Hadopi. Des amendements avaient été proposés au Sénat pour exclure ces dernières de la riposte graduée, mais ils avaient été repoussés à l’initiative du gouvernement. Telle qu’elle a été votée, la loi Hadopi s’applique à tous les titulaires d’une adresse IP, qu’il s’agisse de particuliers ou d’organisations (elle vise exactement les « personnes titulaires de l’accès à des services de communication en ligne au public « , sans autre précision).

Plusieurs analyses ont été produites cette année pour tenter d’évaluer comment la riposte pourrait s’appliquer dans le cadre des entreprises, au cas où des salariés utiliseraient les accès internet pour télécharger illégalement. Peu nombreux en revanche ont été ceux qui se sont penchés sur les conséquences possibles de la loi Hadopi sur les espaces qui fournissent un accès public à Internet, par le biais de postes Internet ou de connexions Wifi (comme les cybercafés, hôtels, hôpitaux, aéroports, EPN, parcs, universités, bibliothèques, etc).

Il peut paraître assez improbable à première vue que ces entités subissent une coupure d’accès à internet, suite à des téléchargements opérés par des usagers. La loi Hadopi 2 indique ceci :

Pour prononcer la peine de suspension [...] et en déterminer la durée, la juridiction prend en compte les circonstances et la gravité de l’infraction ainsi que la personnalité de son auteur, et notamment l’activité professionnelle ou sociale de celui-ci, ainsi que sa situation socio-économique.

Si rien n’empêche en théorie le juge de couper l’accès à une personne morale, on peut penser que cette rédaction de la loi lui permettra de moduler sa décision de façon à éviter les conséquences catastrophiques, liées à la coupure d’une entreprise ou d’une administration.

Mais la coupure d’accès n’est pas le seul risque que fait courir la loi Hadopi aux personnes morales et à mon sens, ce n’est pas le péril principal. La pression exercée pour recourir à des moyens de sécurisation labellisés risque en effet d’avoir des conséquences bien plus graves sur l’accès public à Internet. C’est la conséquence du fait que la riposte graduée s’articule non directement autour du délit de contrefaçon, mais autour de la notion de négligence caractérisée dans la sécurisation de son accès à Internet.

Négligence caractérisée + moyens de sécurisation = surveillance volontaire

Un autre décret, paru en juin dernier, a défini ce que l’on doit entendre par ce terme :

Constitue une négligence caractérisée [...], le fait, sans motif légitime, pour la personne titulaire d’un accès à des services de communication au public en ligne, lorsque se trouvent réunies les conditions prévues au II :

1° Soit de ne pas avoir mis en place un moyen de sécurisation de cet accès ;

2° Soit d’avoir manqué de diligence dans la mise en œuvre de ce moyen.

Dans le dispositif de la riposte graduée, l’Hadopi repère les téléchargements illégaux commis depuis certaines adresses IP, à partir des relevés que lui transmet l’entreprise privée TMG, agissant pour le compte des ayants droit. L’Hadopi envoie un mail d’avertissement aux titulaires de l’adresse IP, qui vise précisément à vérifier s’ils ont bien pris la précaution de sécuriser leur connexion Internet et pour leur enjoindre de le faire si ce n’est pas le cas.

Pour ce faire, les titulaires doivent apporter la preuve qu’ils ont installé un moyen de sécurisation, sous la forme d’un logiciel bloquant l’accès aux sites permettant le téléchargement illégal. Ces logiciels de sécurisation peuvent ou non avoir été homologués par l’Hadopi, par rapport à une liste de spécifications fonctionnelles. Si c’est un logiciel homologué qui a été choisi par le titulaire, le cas de l’internaute « sera examiné avec une attention bienveillante « , selon les mots de la présidente de l’Hadopi.

C’est l’objet du décret paru la semaine dernière de préciser la procédure par laquelle ces moyens de sécurisation seront labellisés. Un document préparatoire au développement des spécifications fonctionnelles donne par ailleurs des indications sur la forme que ces moyens de sécurisation pourront prendre et c’est là que l’on se rend compte comment ils pourront affecter les lieux d’accès public à Internet.

Ce document indique ceci (p.9) :

Les cibles d’utilisateurs des dispositifs de sécurité peuvent être classées en 2 grandes classes : les entreprises, institutions, associations, d’une part et les particuliers, le grand public, d’autre part.

Pour les organisations, il y a encore deux sous-catégories : les organisations qui ont du personnel permanent, identifié et les organisations comme les hôtels, les cybercafés, les sites Wi-Fi ouverts (aéroports, etc.)  où  les  utilisateurs  sont  de passage.

Les bibliothèques ne sont pas directement citées, mais il est évident que nous rentrons dans les deux sous-catégories, à la fois pour le personnel permanent et pour les utilisateurs de passage. Pour se mettre en conformité avec les attentes de l’Hadopi, il faudra donc installer ces moyens de sécurisation sur tous les postes munis d’une connexion  internet, qu’ils soient mis à disposition du personnel ou des usagers, ainsi que des accès wifi.

Toujours d’après ce document, ces logiciels analysent la navigation à partir d’un système de listes noires, grises et blanches (p. 21) :

Le module de traitement utilise plusieurs sortes de triplets de listes :

• Les listes noires : entités interdites (par exemple, la liste des sites web interdits par décision de justice) ;
• Les listes grises : entités qui peuvent présenter des risques en matière de contrefaçon et qui nécessiteront une action de l’utilisateur pour outrepasser la notification du risque ; par exemple la liste grise des applications suspectes, la liste grise  de plages de ports ou d’adresses qui rentrent en jeu dans certains protocoles ou certaines applications ;
• Les listes blanches : entités autorisées, par exemple la liste blanche de l’offre légale.

Par ailleurs, le logiciel garde en mémoire toutes les opérations effectuées à partir d’un poste, ce que le document désigne par le terme de « journalisation », analysée ci-après par Marc Rees de PC-Inpact:

[...] cette journalisation est propre au moyen de sécurisation labellisé. Elle trace l’historique complet de tous les événements significatifs de l’ordinateur (ex : éléments de la vie interne du moyen de sécurisation : démarrage, arrêt, activation, désactivation, modification des profils de sécurité, etc.).

Dans le document préparatoire précité, on parle de « journaux sécurisés [qui] doivent être archivés et conservés par le titulaire de l’abonnement pendant la période d’une année, période où le titulaire pourrait demander à une tierce partie de confiance, un déchiffrement des journaux correspondant à des dates fixées et une copie certifiée conforme du déchiffrement de ces journaux ». Comme indiqué, plus l’abonné aura le sentiment d’être sécurisé face au risque Hadopi, plus il sera surveillé, traqué, examiné, observé.

Bienvenue dans l’Hadopithèque…

Vous vous demandez peut-être comment tout ceci peut se traduire dans une bibliothèque ? Essayons de combiner tous ces éléments et de voir ce qui risque de se passer dans les nouvelles “Hadopithèques”.

Chers bibliothécaires, sachez que vous êtes responsables, de plein fouet, pour tout ce que vos usagers (mais aussi vos collègues…) peuvent commettre à partir des connexions internet que vous mettez à leur disposition. Pour ne pas être accusés par l’Hadopi de négligence caractérisée, vous allez devoir installer des logiciels de sécurisation, et tant qu’à faire des systèmes labellisés, lorsqu’ils auront été homologués. Ces systèmes vont restreindre l’accès à Internet à partir de listes pré-établies. Ils vont en outre enregistrer tout ce que vos usagers feront à partir des postes. Si l’Hadopi vient à flasher une de vos adresses IP et à vous adresser un courrier d’avertissement, vous devrez lui apporter la preuve que vous aurez sécurisé vos accès et lui fournir les enregistrements opérés par le logiciel.

N’est-ce pas déjà une charmante façon de concevoir le métier de bibliothécaire ? Mais ce n’est pas tout. Imaginons que vous décidiez de modifier les paramètres du logiciel pour ouvrir l’accès à certains sites. Ce sera enregistré par le système de journalisation et retenu contre vous par l’Hadopi. Attention donc à ne pas être trop libéral. Mieux vaut peut-être même bloquer davantage de sites que ce que le logiciel propose par défaut…

Et si par malheur une faille quelconque se produit et qu’un de vos usagers arrive à commettre un acte illicite ? Ne vous en faites pas, vous êtes toujours responsable, comme l’explique Maître Eolas :

On constate que votre abonnement a servi à télécharger illégalement, et que s’il a pu servir à cela, c’est qu’il n’était pas assez sécurisé. Si vous apportez la preuve de sa sécurisation absolue ou presque, vous apportez la preuve que c’est vous qui avez téléchargé. Dans les deux cas, vous pouvez être sanctionné. Pervers, n’est-ce pas ?

The Librarian is watching you !

Nous étions déjà hélas habitués en bibliothèque à subir les désagréments des Proxinators, mis en place par des DSI souvent portées à faire du zèle en matière de sécurité informatique, bien au-delà des exigences posées par la loi. Nous savons bien combien il peut être difficile d’exercer le métier de bibliothécaire, et surtout le travail de médiation numérique, dans un environnement cadenassé. Voilà que la loi Hadopi vient à présent donner des arguments massues pour verrouiller et sur-verrouiller les accès à Internet dans nos établissements. Bien plus que la coupure d’accès, somme toute assez hypothétique, c’est d’emblée la « négligence caractérisée » qui risque de faire peur à nos tutelles et les pousser à mettre en place de manière préventive les moyens de sécurisation.

En 2009 lors du débat sur la loi Hadopi, le gouvernement avait déjà avancé l’idée de mettre en place un système de « portail blanc » pour les accès publics à Internet, limité à un « internet citoyen » correspondant à une liste finie de sites considérés comme sans danger. Ce projet avait suscité une vive réaction de la part de l’IABD (Interassociation Archives, Bibliothèques, Documentation), au nom de la défense du droit d’accès à l’information, et il avait été finalement abandonné. Mais la réapparition de « listes blanches » dans les spécifications fonctionnelles des moyens de sécurisation me fait craindre qu’on ne s’achemine tout droit vers un retour à cette réduction de l’internet public à la portion congrue.

Si mes craintes se confirment, on assisterait à un durcissement radical des conditions d’accès à internet en bibliothèque. L’IABD, dans une mise au point de cet été, avait tenu à rappeler que rien dans le cadre légal actuel ne nous oblige à filtrer a priori l’accès à internet, ni à identifier nos usagers. La CNIL, dans une fiche pratique sur son site, confirme cette analyse.

Tout cet équilibre pourrait être mis à bas par la loi Hadopi et modifier les relations entre les bibliothèques et les usagers en les plaçant sous le signe de la surveillance et de la suspicion. Marc Rees de PC-Inpact arrive à cette conclusion en ce qui concerne les foyers privés :

[...]l’abonné est responsable des mauvais usages qui seraient commis par des tiers (membre de sa famille, voisins, étrangers). Qu’il se reproche quelque chose ou non n’a pas d’emprise. Au contraire, le texte injecte un climat de suspicion et de défiance dans l’entourage proche.

Cette défiance sera nécessairement encore plus forte dans les lieux d’accès public à Internet. Bien sûr – et c’est là le plus pervers – rien n’empêche le bibliothécaire de ne pas mettre en place le dispositif de sécurisation, jugeant que sa mission implique avant tout de donner accès à l’information de manière neutre et de respecter la privacy de ses usagers (comme disent nos confrères américains). Mais combien voudront – pourront – faire ce choix qui les expose de plein fouet à la mise en cause de leur responsabilité ? Comment défendre cette option devant sa tutelle en ayant seulement une chance de se faire entendre ?

Alors que plus de 30% des foyers français n’ont pas de connexions à internet à domicile, on s’achemine vers un accès public verrouillé, cadenassé, surveillé et appauvri. L’accès à Internet devient une composante fondamentale des services offerts en bibliothèque (voyez ici à la BU d’Angers, où elle tend même à s’imposer comme le service essentiel en fonction duquel l’espace est reconfiguré). Qu’en sera-t-il une fois que la loi Hadopi aura produit tous ses effets ?

Mais il y a pire à mes yeux. Le dispositif de la négligence caractérisée a cette perversité qu’il fera du bibliothécaire un des maillons actifs du dispositif de surveillance, poussé par la force des choses à installer des mouchards dans son parc informatique, sans que le texte de la loi ne le lui impose formellement. Il fera de nous des complices, tout simplement.

Bibliothécaires, avez-vous vraiment envie de devenir les « Grands Frères » de vos usagers ? Il n’est peut-être pas encore trop tard pour dire NON à ce qui se prépare.

– — –

Article initialement publié sur le blog :: S.I. Lex ::

>> Photos flickr CC Mosman Library ; Thomas Hawk (bis)

Une affaire exemplaire car elle réunit deux piliers de la doctrine sécuritaire étasunienne: « la guerre contre la terreur» — qui a produit les loirs iniques type Patriot Act qui ont élargi les pouvoirs d’enquêtes sans contrôle du juge — et «la guerre contre la drogue», qui a déjà produit son lot d’atteintes aux droits civiques depuis des décennies.

En France coller un mouchard GPS sur une voiture est un acte de procédure pénale plutôt banal, même si aucun texte ne l’évoque clairement. Nous avions exploré ce cas d’école lors de l’enquête sur le pseudo-groupe de Tarnac, les fameux réseaux « anartoto » chers au ministre de l’Intérieur de l’époque, Alliot-Marie. Malgré les énormes moyens déployés, une enquête à charge dont les travers ont été maintes fois mises en lumière, les prévenus sont toujours dans l’arène et ses partisans ne l’ont pas oublié en se réunissant au cœur de l’été.

Dans l’affaire Pineda-Moreno, la question repose sur la légalité de la mise sous surveillance, pas de la nature de cette surveillance. Dans le Massachusetts, en 2009, la DEA a usé des mêmes méthodes mais avait auparavant pris soin d’avoir l’accord de l’autorité judiciaire.

Une allée de garage est-elle le domicile privé ?

Dans le cas du cultivateur de l’Oregon, le débat s’est orienté sur la nature du «domicile privé» — et détermine s’il faut ou pas de mandat de perquisition (search warrant en jargon judiciaire étasunien). Sa voiture était garée dans son allée — driveway —, mais pas dans un garage ou une enceinte fermée; les juges ont considéré qu’il n’y avait pas de violation de domicile. Et que le placement sous surveillance n’était donc entachée d’aucune nullité juridique. Le cultivateur avait plaidé coupable pour la possession d’herbe, mais contestait la légalité des moyens de la preuve électronique — en droit français aussi, et heureusement, un élément de preuve récolté de manière illégale doit être immédiatement invalidé.

Au passage, Time s’amuse à citer l’opinion minoritaire d’un des juges d’appel, Alex Kozinski, réputé plutôt conservateur car nommé sous l’ère du président Reagan. Selon ce brave homme, juger qu’une allée menant à une maison est dans l’espace public sous-entend que seuls les nantis, qui peuvent se payer des murs, des vigiles et des enceintes électroniques, bénéficient d’un droit plus large à leur vie privée. Et de proner une plus grande diversité sociale au sein même du système judiciaire… Ses collègues, accuse-t-il, sont coupables d’«élitisme culturel», rien que ça.

Suivi à la trace sans mandat

Toujours est-il que le jugement de la Cour d’appel du 9ème Circuit est autrement plus terrible pour le droit à la vie privée. Car les juges valident le fait qu’une fois le dispositif GPS installé, et donc les conditions de son installation validées, la DEA peut poursuivre sa surveillance après coup sans aucun mandat de perquisition. Commentaire du journaliste de Time:

Après tout, si les agents du gouvernement peuvent suivre les gens à la trace à tout moment avec des mouchards installés secrètement, sans l’aval d’une autorité judiciaire, nous ne sommes pas loin d’un banal état policier— avec, dans le rôle du KGB ou de la Stasi, la technologie.

L’hebdo souligne toutefois que d’autres cours d’appel n’ont pas eu la même certitude. Un cas presque similaire traité par celle de Washington DC, ce mois-ci, a jugé au contraire qu’une surveillance GPS prolongée sans aucun mandat n’était pas conforme. C’est donc la Cour suprême qui aura finalement le dernier mot, dans ces deux affaires.

En cherchant un peu, on trouve un précédent arrêt de la Cour suprême sur la pertinence d’une technologie intrusive dans le cadre d’une enquête de stupéfiants. La question était là aussi de savoir si l’usage de caméras thermiques pour repérer des plants de marijuana dans une habitation était oui ou non possible sans mandat de perquisition. La Cour s’est finalement rangée du côté du 4ème Amendement (qui protège le citoyen contre toute enquête arbitraire), en citant un cas d’école datant de 1925 :

“The Fourth Amendment is to be construed in the light of what was deemed an unreasonable search and seizure when it was adopted, and in a manner which will conserve public interests as well as the interests and rights of individual citizens.” Carroll v. United States, 267 U.S. 132, 149 (1925).

Where, as here, the Government uses a device that is not in general public use, to explore details of the home that would previously have been unknowable without physical intrusion, the surveillance is a “search” and is presumptively unreasonable without a warrant.

Reference: US Supreme Court, June 11, 2001. DANNY LEE KYLLO v. UNITED STATES

Traduction : « A partir du moment où l’outil employé n’est pas d’usage général, et qu’il permet d’explorer les détails d’une habitation qui n’auraient jamais pu l’être sans une intrusion physique, la surveillance est une perquisition qui ne saurait être justifiée en l’absence de mandat ». Notez bien que ce jugement « suprême » date de juin 2001, soit avant le Patriot Act et ses avatars anticonstitutionnels.

Le terrorisme, un bon prétexte

Car la guerre contre le terrorisme, depuis ses débuts, est devenue un allié pour les faucons de la DEA cherchant à élargir leurs moyens d’investigation. Rappelons que depuis une quinzaine d’années, 14 États de l’union ont légalisé la culture et la fourniture de cannabis à des fins médicales. C’est le cas de la Californie et de… l’Oregon. Ont donc été légalisés des dispensaires privés, des « clubs de patients », dans lesquels il est possible d’acheter sa dose le plus simplement du monde — pour peu que l’on dispose d’une prescription médicale. Ces tolérances successives ont été vécues à la DEA comme autant de provocations.

Exemple : après le référendum de 1996 en Californie qui a légalisé la marijuana médicale, le Cannabis Action Network, une association d’activistes de Berkeley, organisait une fois par an à San Francisco, le 20 avril, le Hemp Festival, un rendez-vous militant et récréatif qui avait donc l’accord des forces de police locale. Lors de l’édition d’avril 2002, soit la première de l’ère Patriot Act, le Hemp Festival est victime d’un coup tordu de la DEA. La veille, les agents font une descente dans le lieu où devait se dérouler le festival, y trouvent des substances illicites — et ordonnent immédiatement la fermeture de l’établissement. Le Hemp Festival eu finalement lieu dans un endroit inviolable: les locaux de leur cabinet d’avocats de San Francisco!

Les militants pro-cannabis ont appris à subir les effets collatéraux des lois antiterroristes. Dans cet article de 2006, ils citent le cas d’une enquête qui a utilisé une mesure tirée du Patriot Act (« sneack and peak », perquisition furtive où le suspect n’est pas informé de celle-ci) pour surveiller abusivement des personnes suspectées d’un trafic d’herbe entre les Etats-Unis et l’Etat canadien de Colombie britannique, réputé plus friendly dans la répression des drogues douces.

Dans un rapport de 2009 cité ici, écrit par une émanation des autorités judiciaires fédérales, le bilan de cette procédure « sneak and peak » est sans appel:

Sur 763 mandats délivrés en 2008, seulement 3 l’ont été pour des faits clairement antiterroristes. Les deux-tiers ont concerné des affaires de stupéfiants. Certains de ces mandats ont été prolongé, et sur 1.291 mandats délivrés au total, seulement 5 concernaient le terrorisme et 65% impliquaient des personnes suspectées de trafic de drogue, qui reste pourtant un délit de droit commun [même dans la puritaine Amérique]. Sur les 21 catégories de crimes concernées par la procédure, le terrorisme apparaît à la 19ème place, devançant la conspiration et la corruption.

Article initialement publié sur Numéro Lambda

Illustration FlickR CC : Katy Lindemann

Sans rentrer dans la polémique, je pense ne pas me tromper en disant que le contenu reste roi, la communauté se nourrit de ce contenu pour générer des interactions sociales (mais là encore il y a des subtilités : ne confondez plus communautaire et social). La grande question que je me pose est la suivante : qu’est-ce qui alimente les rédacteurs de ce contenu ? C’est là où les données entrent en scène ; non pas les données que les rédacteurs possèdent déjà, mais plutôt les données disponibles publiquement que les internautes peuvent interroger et manipuler à loisir.

Les données à la base du… journalisme de données

Nous parlons bien ici de données brutes en très grande quantité (des chiffres) qu’il serait trop coûteux de traiter. En les exposant publiquement, ce travail de compilation/trituration/interprétation est délégué à la communauté qui va ainsi pouvoir nourrir une réflexion ou appuyer des prises de position. Et à ce petit jeu, certains journalistes en ont fait leur spécialité, cela s’appelle du journalisme de données (datajournalism en anglais). L’idée est d’extraire des informations pertinentes de quantités importantes de données.

Pour vous aider à comprendre l’intérêt de cette pratique, amusez-vous à compter le nombre d’articles qui font référence à Google Trends, les statistiques de recherche sont les données sur lesquelles repose toute l’argumentation de ces articles. Autre illustration avec ce graphique très intéressant qui met en évidence les performances extraordinaires (=suspectes) des coureurs du Tour de France.

Analyse des performances extraordinaires des coureurs du Tour de France

Ces données sont extraites du portail ActuVisu qui permet justement de manipuler des bases de données (cf. Datajournalisme : du nouveau en France avec ActuVisu). Les données sont, dans ce cas de figure, la matière première d’une réflexion, ou plutôt d’une investigation. Les possibilités sont nombreuses et la profession se met en marche pour développer de nouvelles compétences dans ce domaine. Pour mieux comprendre ce phénomène, je vous recommande les trois articles suivants : pourquoi le data-journalisme, c’est l’avenir en marche, Quatre voies du datajournalism et Illusions et malentendus sur le journalisme de données.

Après les portails de contenus, les portails de données

L’exemple français d’ActuVisu illustre une tendance de fond initiée il y a cinq ans avec la fondation Gapminder qui fournit justement un accès à de très nombreuses données et statistiques (leur credo : “Unveiling the beauty of statistics for a fact based world view“).

Mieux comprendre le monde avec Gapminder

Tout l’intérêt de ce portail est d’une part d’agréger le plus grand nombre de données possible (de préférence en les rendant exploitables et compatibles) ainsi que de fournir un outil simple pour manipuler et visualiser ces données. Il existe d’autres initiatives comme Many Eyes d’IBM, Socrata, ou, plus modestement, Worldmapper. Notez que ces interfaces pour données sont une notion chère à Tim Bernes-Lee (cf. ReadWriteWeb Interview with Tim Berners-Lee, part 2 : search engines, user interfaces for data, Wolfram Alpha, and more…), preuve que ce sujet est important.

Un créneau très porteur qui intéresse les moteurs de recherche de Google, qui a racheté en 2007 l’outil de visualisation qui propulse Gapminder et qui propose également Google public data explorer dans son labo. Ce rachat fait sens dans la mesure où Google est très certainement un des mieux placé pour collecter les données éparpillées aux quatre coins du web. Reste encore le problème des données non-publiques.

Libération des données publiques avec Open Data

Les initiatives d’Open Data consiste à libéraliser les données publiques pour apporter plus de transparence (à l’image du portail anglais WhereDoesMyMoneyGo?) et pour nourrir des réflexions et projets sociétaux (lire à ce sujet Open Data : des licences libres pour concilier innovation sociale et économique). L’administration américaine a été la première à se lancer en ouvrant le portail Data.gov, suivie par d’autres pays comme l’Angleterre, l’Australie et la Nouvelle-Zélande (cf. Quel modèle pour le data.gov français ?).

Le portail des données publiques anglaises Data.gov.uk

Il est important de comprendre que ces initiatives ne sont pas tant une manœuvre politique ou un outil de surveillance qu’un levier d’innovation pour accélérer l’émergence de nouveaux modèles sociétaux ou de nouveaux projets relatifs à l’environnement, l’éducation, la santé…

Pour le moment le chantier est toujours en cours en France mais des initiatives locales permettent déjà d’accéder à des poches de données : État des lieux de l’OpenData en France.

Les données comme trésor de guerre des moteurs

Comme nous venons de le voir, les données sont donc une matière première particulièrement convoitée. À partir de ce constat, il n’est pas surprenant de voir que les grands moteurs de recherche s’intéressent de près à ces données et cherchent à les exploiter pour apporter une couche d’intelligence aux résultats de recherche. Illustration avec le tout nouveau Bing Shopping qui propose des pages de résultats structurées.

Les résultats de recherche structurés de Bing Shopping

L’idée derrière tout ça est de proposer non pas un moteur de recherche, mais un outil d’aide à la décision (cf. New version of Bing Shopping). Et pour structurer des résultats, que faut-il ? Des données ! Autant Microsoft a opté pour des partenariats, autant Google est passé à la vitesse supérieure avec notamment l’acquisition d’ITA, un fournisseur de données touristiques spécialisé sur l’aérien qui va permettre à Google de faire de l’intégration verticale sur ce créneau : With ITA purchase, Google now owns the skies.

La vente de billets d’avion en ligne est un business très juteux, il est donc normal que Google casse sa tirelire pour blinder sa position. Il y a par contre des secteurs à priori moins rémunérateurs mais pour lesquels un outil de consolidation/manipulation /visualisation des données offrirait une position dominante à son éditeur : l’immobilier, l’emploi, les loisirs (IMDB est un bon exemple de données structurées à valeur ajoutée) ou encore le sport (citons l’exemple de Footbalistic). Je vous recommande à ce sujet l’article de GigaOm qui détaille ces exemples : Who will Google buy next for structured data ?

L’idée ici est d’investir dans une base de donnée verticale et de monétiser son exploitation. Constituer une base de données de référence est un chantier titanesque, et seuls les acteurs avec les plus gros moyens peuvent y parvenir. Mais une fois le monopole établi, les possibilités sont nombreuses pour rentabiliser cet investissement. Google Maps est un autre exemple intéressant d’une gigantesque base de données (géographiques) dont nous avons maintenant beaucoup de mal à nous passer et dont le propriétaire a tout le temps pour trouver des solutions de monétisation viables.

Plus intéressant, un article de GigaOm nous révèle que ITA ne se restreint pas au secteur du tourisme aérien mais édite également une solution de manipulation de données accessible sur Needlebase.com : Meet the web database company Google just bought. Cette solution ne permet pas de manipuler des données publiques mais de groupes de données dont l’utilisateur a les droits. Toujours est-il que cette solution est à la fois puissante et intuitive, tout ce dont nous avons besoin pour faire du journalisme de données.

Manipulation de données avec Needlebase

Tout récemment, Google a fait une acquisition qui va dans ce sens, en mettant la main sur Metaweb, une gigantesque base de donnée “ouverte” où sont répertoriés douze million d’entités sémantiques (visibles sur Freebase.com) : Google acquires ‘open database’ company Metaweb to enrich search results.

Cliquer ici pour voir la vidéo.

Vers des systèmes auto-alimentants

Voici donc la stratégie de Google : acheter des données avec l’idée de la monétiser une fois que le marché sera devenu dépendant de leur exploitation. Mais sommes-nous réellement dépendant des données ? Vous particulièrement, probablement pas, mais de nombreux aspects de votre quotidien reposent sur une exploitation fine de données. Nous pourrions même aller plus loin en disant que l’exploitation des bonnes données pourrait améliorer votre quotidien (cf. Nos vies gérées par les données) ou la productivité d’une entreprise.

Les objets de notre quotidien pourraient ainsi capter un grand nombre de données vous concernant et fournir ainsi des statistiques très précieuses sur votre mode de vie et la façon d’optimiser votre alimentation, vos trajets, votre budget, votre suivi médical… Imaginez alors l’intérêt d’un coach qui serait à même d’interpréter ces données et de vous offrir de précieux conseils pour améliorer votre quotidien. Ces conseils, et les données qui en sont à l’origine deviendraient rapidement une drogue pour des hommes et des femmes soucieux de leur bien-être : The upcoming Internet pandemic : data addiction.

Reste encore à régler le problème de la collecte : seule une minuscule minorité des habitants de cette planète serait d’accord pour s’équiper des outils de mesure de son quotidien (sommeil, alimentation, exercices physiques, trajets, dépenses…). Une minorité de geeks, sauf si un acteur industriel avec de gros moyens décide de fournir gratuitement les outils de mesure et de collecte en faisant un pari sur l’avenir (et sur la monétisation de ces données). Et cet industriel avide de données, encore une fois c’est Google avec son projet de compteur intelligent PowerMeter.

Suivi de votre consommation quotidienne avec Google PowerMeter

Et même si Google ne peut pas remplacer tous les compteurs électriques des pays occidentaux, il peut fournir la plateforme pour consolider les données et les re-publier : Google releases API for energy tool PowerMeter. La promesse de Google est simple : vous aider à mieux comprendre vos habitudes de consommation pour optimiser vos dépenses… Tout en revendant les statistiques aux industriels pour qu’ils puissent développer des appareils ménagers plus en phase avec le mode de vie de leurs clients.

Loin de moi l’idée de jouer les paranoïaques et de dénoncer ces pratiques, car si tout le monde y trouve son intérêt il n’y a pas de raison de s’en priver. Il n’empêche que si je fais la somme de tout ce que Google peut potentiellement savoir sur moi, ça commence à faire beaucoup :

• Mes contacts avec Gmail ou Android (carnet d’adresse + historique des appels) ;
• Mon profil (âge, parcours…) avec Google Me ;
• Mes achats avec Checkout ;
• Mes centres d’intérêt avec l’historique de mes recherches ;
• Mes déplacements avec Latitude ;
• Mes loisirs (les programmes TV que je regarde) avec Google TV ;
• Mes lieux de vacances avec Picasa…

Et ce n’est qu’un début, car avec la sémantisation progressive du web, le moteur d’indexation pourra consolider toujours plus de données sur les internautes, mobinautes et même tvnautes. Les données seront donc la matière première à une nouvelle génération d’outils, services et prestations en rapport avec l’amélioration du quotidien de chacun. Des données qui seront l’objet d’une bataille acharnée pour en contrôler la possession, la collecte ou l’exploitation.

J’anticipe donc un web, dominé par les contenus et données, où Google jouera un rôle prépondérant. Facebook ou Twitter peuvent-ils prétendre à un rôle important dans ce tableau ? J’en doute car il faut des moyens considérables et surtout des appuis industriels et politiques, tout ce qui leur fait défaut actuellement. Longue vie au couple royal !

—

Billet initialement publié chez Fred Cavazza ; image Loguy /-)

Consultez nos articles sur les données et le datajournalisme, dont nos productions en la matière, et l’opendata

La réunion a commencé par une intervention de ce dernier : «J’ai toujours été un ferme défenseur des libertés civiles, donc je ne défendrai aucun accord s’il met à mal les libertés civiles. (…) Nous parlons d’un accord qui est important pour la compétitivité de l’Union Européenne au niveau des marchés internationaux. (…) Nous devons miser sur la compétitivité, les connaissances, etc. C’est ce qui est au cœur des inquiétudes de nos citoyens. En termes d’emploi tout d’abord».

«Il ne s’agit pas ici de créer un « Big Brother»

«Il ne s’agit pas ici de créer un « Big Brother » comme certains l’ont dit, nous parlons ici de standards internationaux de la propriété intellectuelle raisonnables, équilibrés et efficaces» a t-il tenu à préciser. Selon lui, l’ACTA vise les infractions à grande échelle ayant un impact financier significatif; il ne s’agit pas de contrôler le contenu des ordinateurs portables des voyageurs. Il a soutenu que l’ACTA doit être et sera en accord avec le droit communautaire. Et que, malgré les amalgames, il n’entravera pas l’accès aux médicaments génériques.

A propos de la transparence, après avoir rappelé que le texte est disponible depuis avril (pdf), le Commissaire a déclaré que «malheureusement» lors du dernier round qui s’est tenu à Lucerne (Suisse) fin juin, l’une des parties a refusé de rendre public la nouvelle version du texte. Une « décision unilatérale » que « la Commission regrette ». Il s’agit «vraisemblablement des Etats-Unis» nous a indiqué Michael Geist il y a quelques jours.

Quid d’Hadopi ?

Trois euro-députés sont alors intervenus pour faire des remarques et poser des questions.

Selon, Stavros Lambrinidis (S&D) le texte pose de nombreux problèmes, notamment dans ses notes de bas de page et les références faites à d’autres textes. Par exemple à la loi Hadopi. La diffusion du texte reste à confidentielle a t-il fait remarquer, et toute prise de position est donc difficile pour les parlementaires. Il a ensuite demandé si le texte excluait totalement le fait que les douanes auront le droit d’inspecter les ordinateurs personnels et les iPods.

Franziska Keller (Verts/ALE) est revenu sur la transparence. Elle a réclamé des études d’impacts, l’accès public au document de travail et de réelles garanties sur la protection des données.

Joan Enciu (S&D) a fait part de ses inquiétudes sur le fait de mettre sur un même pied d’égalité des choses graves — comme tout ce qui a un impact sur la santé publique, telle la contrefaçon de médicaments ou de pièces automobiles — et des infractions moins graves comme le piratage sur Internet. Il a ensuite demandé : «les fournisseurs d’accès à Internet doivent-ils être tenus responsables des actions commises par leurs clients et sont-ils obligés d’appliquer un filtrage du trafic sur leur réséau ? Dans ce cas là, on pourrait arriver à des problèmes de violation de la liberté d’expression et de la vie privée».

« Il n’est pas exclu que l’Union Européenne adopte une législation dans le sens (de la riposte graduée) »

Karel De Gucht a repris la parole pour répondre. «Je peux garantir qu’il n’y aura pas de contrôle des ordinateurs portables et autres équipements des voyageurs aux frontières» a répondu Karel De Gucht. « Les autorités douanières n’ont pas le temps ni les moyens légaux de s’occuper de quelques morceaux piratés sur des iPods ou des portables ». Il a poursuivi : «Cette clause fait partie du droit communautaire, on ne va donc pas retrouver une clause contraire dans l’ACTA (…) L’ACTA ne prévoit pas ce qui peut être mis en œuvre mais la manière dont on met en œuvre ce qui existe déjà».

«Savoir si cela encouragera ou découragera les FAI à vérifier les contenus sensibles. L’approche de la riposte graduée n’est pas interdite en soit par l’ACTA. Mais Il y a des états qui ont cette approche, comme la France. Bien sûr, cela ne va pas être modifié pas l’ACTA. Donc ce sont les Etats membres qui trancheront. Peut-être qu’à un moment donné l’Union Européenne tranchera cette question. L’Union Européenne pourrait très bien adopter une législation à ce sujet. (…) Il n’est pas du tout exclu qu’au niveau de l’Union Européenne, on adopte une législation dans ce sens. ».

« En rien, l’impact économique de ces phénomène n’influe sur la formulation finale de l’ACTA »

A Franziska Keller, Karel De Gucht répond : « l’ACTA n’aura aucun impact sur les médicaments génériques (…) Et il est clair que nous allons nous assurer que l’entrave aux médicaments génériques ne continue pas ». Puis sur les études d’impact : « je ne pense pas que des études d’impact seraient d’une quelconque utilité ». Il explique que l’accord est notamment basé sur l’étude d’impact sur la contrefaçon et la piraterie de l’OCDE de 2008 (pdf). « Cette étude montre bien l’ampleur de la contrefaçon au niveau mondial. Une valeur qui représente 25 millions de dollars. » Vous en voudriez peut-être d’autres ou d’un autre type ? a t-il demandé. Avant de répéter que « l’ACTA ne concerne pas la législation de fond, mais la procédure. En rien, l’impact économique de ces phénomène n’influe sur la formulation finale de l’ACTA »

« Je dois avouer Monsieur Enciu que je n’ai pas compris votre question » a t-il poursuivi. Avant de redonner la parole, il a tenu à revenir sur l’un des principaux désaccords entre les différentes parties : la protection sur le design et les appellations géographiques, et à souligner l’« hypocrisie » des Etats-Unis à ce sujet.

« Concernant le téléchargement, je pense avoir dit clairement qu’il fallait que ça soit à grande échelle. »

Joan Enciu a donc reposé sa question : « Je voulais savoir si les personnes qui violeront les droits de la propriété intellectuelle seront punis par la loi pénale. Et donc si dans cette procédure de sanction vous mettez sur un pied d’égalité la contrefaçon de produits pharmaceutiques et le téléchargement illégal par un adolescent d’une chanson ou d’un autre autre produit inoffensif ? Est-ce que les sanctions seront les mêmes pour ces deux types très différents d’infraction ? »

Karel De Gucht: « Concernant le téléchargement, je pense avoir dit clairement qu’il fallait que ça soit à grande échelle. Concernant les produits pharmaceutiques, même en petite quantité, cela peut être très dangereux. (…) Et les douanes ont le droit et même le devoir de procéder à des vérifications« . Avant d’ajouter « cela n’est pas une question de procédure, mais une question de fond. »

« Est-ce que les prestataires techniques ont obligation d’informer des entreprises privées de mon comportement sur Internet ? »

Stavros Lambrinidis est intervenu de nouveau. Après avoir dit que l’ACTA était influencé par les lobbyistes (dont les majors de l’industrie de la musique et du cinéma), il a déclaré : « Tout le monde ici veut que les ayants droit reçoivent leur dû. Mais on vit au XXIe siècle. On ne peut pas avoir la perspective du XIXe siècle. On joue sur un autre territoire avec l’émergence d’Internet ». Selon lui, il faut surtout proposer de nouveaux moyens de garantir une compensation adéquate pour les créateurs et les ayants droit.

Il a ensuite demandé : « Quel compromis a été atteint concernant l’échelle commerciale concernant le téléchargement ? Le texte précédant parle de téléchargement sans motif financier. Alors cela fait toujours partie du nouveau texte de l’ACTA ou avez-vous limité l’échelle commerciale ? » Il poursuit : « Une option est évoquée concernant les prestataires de services Internet. Il est noté qu’il y aurait obligation de donner aux entreprises propriétaires des droits d’auteur l’identité de leurs utilisateurs qui téléchargent de la musique. Alors ça a été adopté ou pas ? (…) Est-ce que les prestataires techniques ont obligation d’informer des entreprises privées de mon comportement sur Internet ? »

Jan Philipp Albrecht (Verts/ALE) a ensuite indiqué que, selon la résolution adoptée par le Parlement Européenen mars dernier, l’accord doit être uniquement un outil de « lutte contre la contrefaçon » et il faudrait donc en exclure tout se qui concerne à la propriété intellectuelle. « Si l’ACTA va au-delà de l’acquis communautaire, le texte ne passera pas au Parlement » a t-il souligné. « Par exemple à propos de la riposte graduée, il faudrait regarder le Paquet Telecom où d’importantes mesures de garanties existent. Et il n’est pas possible que les Etats membres les sapent ».

« La définition d’échelle commerciale devra être faite par chaque État membre »

Karel de Gucht a répondu : « cette échelle commerciale n’est pas définie dans le droit communautaire. Autrement dit elle devra être faite par chaque Etat membre ». Stavros Lambrinidis l’a interrompu pour signaler qu’il y avait bien une définition dans l’accord, qui primera donc sur le droit national. « Oui, si cela figure dans l’ACTA, mais ça ne sera pas le cas ». Concernant le régime des FAI, il a indiqué qu’il n’y aurait pas de nouvelles obligations à la directive sur le commerce électronique.

Concernant la date du prochain round, le commissaire a annoncé la tenue de deux nouveaux rounds, dont le prochain  fin juillet à Washington (Etats-Unis). Selon James Love, de l’organisation Knowledge Ecology International, cela sera plutôt à la mi-août. Et, un un autre round est prévu au Japon en septembre.

Maj 15/07 : Le document issu des négociations de Lucerne, et réclamé par certains euro-députés, a été publié hier soir par La Quadrature du Net.

Crédit Photo CC FlickR par coda