(Auto)-censure et surveillance de masse, quels impacts pour les bibliothèques ?
« Le renseignement ne se fait pas à la bombe ou au chalut, mais à la ligne ou au harpon. »
C’est par cette formule imagée que l’inutilité, voire la nocivité, de la surveillance de masse était dénoncée par Alain Chouet, ancien directeur du service de renseignement de sécurité de la DGSE (Direction générale de la Sécurité extérieure) lors de la journée d’étude nationale intitulée « (Auto)-censure et surveillance de masse, quels impacts pour les bibliothèques ? », organisée par la commission « Stratégie numérique » de l’Association des bibliothécaires de France (ABF), le 9 janvier 2018.
En dépit de l’opinion de ce personnage, controversé au sein même de la communauté du renseignement qu’il a quittée depuis plus d’une décennie 1, c’est pourtant bien à la drague que semble aujourd’hui s’opérer la gestion des données personnelles des citoyens. Xavier Galaup (président de l’ABF) rappelait en introduction que la surveillance de masse nous concerne tous et toutes, dans un contexte de menace terroriste qui tend à légitimer, pour les institutions ou les personnalités politiques qui les promeuvent, les atteintes aux libertés individuelles et à la protection des données personnelles.
Cette légitimation est sous-tendue par un syllogisme qui a été un objet de débat tout au long de cette journée très riche : si l’on suppose que la somme [sécurité + liberté] est une quantité finie, alors faire augmenter la sécurité entraîne nécessairement la diminution de la liberté, et réciproquement. Pour être valide formellement, ce syllogisme repose-t-il sur des prémisses vraies ? Les intervenants, dont les présentations portaient sur la surveillance par les organismes de renseignement, ont chacun à leur manière contribué à discuter cette équation.
Mais la surveillance de masse n’est pas uniquement l’affaire des États. Marc Rees (rédacteur en chef de NextInpact qui animait la journée) précisait que la surveillance de masse n’est pas seulement opérée par les États au travers de leurs activités de renseignement : c’est également une pratique essentielle pour les acteurs privés, les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) notamment, pour lesquels les données personnelles sont un bien marchand, voire le cœur de leur modèle économique. La dichotomie entre surveillance institutionnelle et privée est artificielle et, pour lui, l’une n’est pas plus souhaitable que l’autre.
C’est autour de ces questions que les présentations des premiers intervenants se sont articulées, avant que la conférence ne s’attache plus spécifiquement aux particularités des bibliothèques et aux questionnements qui naissent de ce contexte : quelles sont les lois et obligations qui incombent aux établissements publics et aux collectivités ? Quel est le rôle des bibliothécaires face aux surveillances de toutes sortes et aux dérives sécuritaires ? Comment garantir la vie privée des usagers et leur assurer un droit d’accès libre à une information de qualité ?
Lent glissement vers un droit alternatif ?
Jacques Follorou (journaliste d’investigation au Monde, spécialiste des questions de surveillance) commença sa présentation par un rappel historique. Le 9 décembre 1893, Auguste Vaillant, anarchiste, lance une bombe lors d’une séance de l’Assemblée, pour dénoncer la politique répressive du gouvernement. Très rapidement, après quelques instants de panique, l’évacuation des blessés est organisée. Le président, Charles Dupuy, prend alors la parole : « Messieurs, la séance continue ! Il est de la dignité de la Chambre et de la République que de pareils attentats, d'où qu'ils viennent et dont, d'ailleurs, nous ne connaissons pas la cause, ne troublent pas les législateurs. » La chambre des députés reprend alors ses débats sur le sujet dépassionné des chemins vicinaux…
Pour le journaliste, au-delà de l’anecdote, la réaction à un attentat est une clé de lecture de la santé d’une démocratie. Dans une situation similaire, quelle serait la réaction aujourd’hui ? Les services de police laisseraient-ils les débats se poursuivre ? La presse appellerait-elle au sang-froid ? Les députés non blessés resteraient-ils assister à la séance ? Comment pouvons-nous opposer la raison à la sidération ? Le pouvons-nous encore ?
Jacques Fallorou note que, depuis 2001 et les attentats de New York, nous assistons à un glissement, subtil à décrypter, des démocraties occidentales. À partir de 2006-2008, le gouvernement français a cherché à se rendre capable de construire un système de surveillance global, travail qui échappait alors complètement aux parlementaires car ces sujets étaient jugés trop sensibles pour être soumis à un débat public. Ce n’est qu’à partir de 2015 que des textes législatifs allaient venir inscrire dans la loi une conception qui, pour lui, considère que la démocratie est un danger pour la sécurité nationale. Cela se traduit en particulier par des transferts du pouvoir judiciaire au pouvoir exécutif et l’intégration progressive de mesures d’exception dans le droit commun.
Un droit alternatif émerge ainsi peu à peu, menaçant, par exemple, les droits de la défense au nom de la protection du secret-défense : un accusé dont le dossier aurait été constitué en partie par un service de renseignement étranger collaborant avec l’État français pourrait se voir interdire l’accès à ce dossier, et donc aux informations lui permettant de se défendre efficacement. Pour le journaliste, la raison cède le pas à la sidération et à la peur ; or les terroristes mènent avant tout une guerre des esprits, pensent leurs moyens d’action et rationalisent leurs recours à la violence ; c’est donc par la raison que l’État devrait lutter, non par des moyens de plus en plus attentatoires aux libertés individuelles. D’autant que les motifs qui rendent acceptables ces évolutions du droit aux yeux des citoyens ne sont qu’une partie de ce qui les motive : Jacques Fallorou remarque en effet que la loi sur le renseignement de 2015 cite, parmi ses finalités, la promotion des intérêts économiques français tout autant que la protection des citoyens.
Quel équilibre liberté/sécurité ?
La deuxième présentation, par Alain Chouet, s’attachait à décrire le fonctionnement du service de renseignement de sécurité de la DGSE. Ce service est chargé du recueil des renseignements et de la mise en œuvre des mesures actives à l’extérieur du territoire national en matière de contre-espionnage, contre-criminalité, contre-prolifération et contre-terrorisme. Pour lui, la question de l’équilibre entre sécurité et liberté ne fait aucun doute, le cocktail liberté/sécurité est fixe et fini : rogner sur l’un augmente l’autre et vice versa. Pour autant, Alain Chouet dénonce le recueil de plus en plus massif de données qui a fait suite au 11 Septembre. Pour lui, la vraie question, la seule opérante, est celle que George W. Bush aurait prononcée juste après les attentats, avant de l’oublier et de prendre une direction militariste : « Pourquoi nous haïssent-ils tant ? » Il s’agit de comprendre les motifs, les méthodes, les commanditaires, l’histoire des protagonistes, leurs profils. Les États-Unis ont délaissé le « pourquoi ? » et cherché le « comment ? ». Comment ont-ils procédé ? Comment se sont-ils formés ? Comment ont-ils échappé à la surveillance ? Cette recherche d’information sur la manière dont on entre en action – non pas sur les raisons qui nourrissent le terrorisme – invite à recueillir le maximum de données sur les individus pour détecter des schémas dans leurs activités et leurs communications ; comme tout citoyen est alors potentiellement un terroriste, il faut surveiller tout le monde. Avec ce paradigme, le renseignement technique supplante le renseignement humain ou opérationnel et, contrairement à lui, est indifférencié et massif, ce qu’il appelle un « délire de renseignement ».
Ce délire de renseignement est placé, lorsqu’il concerne le territoire national, sous le contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Samuel Manivel, qui y est conseiller, en a expliqué le fonctionnement. Cette autorité administrative indépendante (au même titre que la CNIL) a été créée en 2015 et est chargée de s’assurer que le cadre juridique qui vise à garantir le respect de la vie privée est respecté. Elle exerce son contrôle a priori, sur les demandes des services, dans le périmètre du territoire national. Les avis sont transmis aux services du Premier ministre qui prend les décisions.
Lors de la quatrième présentation, Sophie Vulliet-Tavernier (directrice des relations avec les publics et la recherche à la CNIL) a commencé par expliquer que l’année 2018 est une année charnière puisqu’elle voit l’application du RGPD (Règlement général sur la protection des données). Cette réglementation européenne ne nécessite pas de lois de transposition pour chaque pays membre. Elle cherche à traduire un changement de culture vis-à-vis des données personnelles. Dans un contexte de prééminence du numérique, les données personnelles sont au cœur de l’économie des acteurs du numérique qui jouissent d’une position favorable par rapport aux utilisateurs. Le RGPD vise à rééquilibrer ce rapport en renforçant les droits des personnes :
- accès et rectification, droit à l’oubli, droit au déréférencement ;
- droit à la récupération de ses données pour les transposer sur d’autres supports ou les intégrer à d’autres services ;
- droit des mineurs (sur les réseaux sociaux en particulier, pas d’inscription, seul, sans consentement des parents avant 16 ans, avec possibilité de descendre à 13 ans sur choix des états) ;
- possibilité de recourir à des « class actions » ;
Et en responsabilisant les acteurs, notamment par l’introduction du concept de « privacy by design » : prévoir, dès l’achat ou la conception des outils informatiques, les dispositifs de protection conformes par défaut.
Peut-on encore échapper à la surveillance ?
Après les moyens juridiques, la cinquième communication portait sur les moyens techniques d’échapper à la surveillance de masse. Tristan Nitot (fondateur de l'association Mozilla Europe, auteur du livre Surveillance:// aux éditions C&F) expliquait que surveiller tout le monde est extrêmement compliqué, lorsque chacun utilise des outils différents et conserve la maîtrise de ses données, mais lorsque celles-ci sont concentrées sur quelques services, la surveillance devient presque triviale, ce qui rend économiquement possible la surveillance de masse. Il y a donc un rapprochement naturel entre surveillance d’État et recueil des données par les acteurs du numérique, puisque les agences de renseignement s’appuient sur les agrégations de données réalisées par les GAFAM pour réaliser leurs recherches et leur surveillance. Par ailleurs, la pression sociale pour adopter les outils numériques à marche forcée fait perdre le temps de nous poser des questions (que l’on pense aux conditions d’utilisation que nous signons tous sans les lire). En réponse à ces enjeux, Tristan Nitot a imaginé le concept de SIRCUS (Systèmes Informatiques Redonnant le Contrôle aux UtilisateurS), fondé sur quelques principes :
- pas de financement de la part de la publicité ciblée ;
- matériel contrôlé, voire auto-hébergé ;
- infrastructure logicielle libre modifiable et auditable ;
- échange de données chiffrées.
Ce concept se matérialise par des initiatives telles que le cloud commercialisé par l’entreprise Cosy Cloud et conforme à ces principes : cosy.io, alternative à Google Drive ou iCloud.
Comment les bibliothèques gèrent-elles ces questions ?
Arthur Messaud (membre de La Quadrature du Net, association qui lutte contre la censure et la surveillance) présenta ensuite les obligations des bibliothécaires face aux surveillances, que l’on peut retrouver dans un guide porté par netCommons : Internet en libre accès, auquel l’association a contribué.
La journée s’est poursuivie par une table ronde, qui réunissait des points de vue divers et complémentaires. Éric Bourdeau (bibliothécaire) faisait part de son expérience de médiateur numérique face à des comportements d’utilisation suspects des outils informatiques. Le directeur des systèmes d’information de Choisy-le-Roy a abordé la question du point de vue de l’outillage numérique mis à la disposition des collectivités. Émilie Page (responsable du pôle Médiation à la BULAC) a fait part de la politique de l’établissement en matière de recueil des traces d’usage des outils informatiques : le choix est de ne conserver que le minimum obligatoire réglementairement. Lunar (membre du projet Tor) a évoqué ce dispositif d’anonymisation de la navigation et en promeut l’utilisation dans les bibliothèques. Aude Charillon (bibliothécaire à Newcastle) a partagé son expérience d’outre-Manche, où la loi IPA donne l’autorisation aux services spéciaux d’intercepter les données. Thomas Fourmeux (bibliothécaire à Noisy-le-Grand) s’est attaché à expliquer comment défendre les libertés publiques en bibliothèque, en donnant des clés aux usagers. Chloé Lailic (bibliothécaire à l’INSA Rennes) l’a rejoint en ce sens et a évoqué la sensibilisation des publics et des personnels à ces enjeux au travers de Cryptoparties.
Lors des échanges, un participant a précisé que les bibliothèques sont coercitives par tradition : le rôle des bibliothécaires a longtemps été d’être prescripteurs, de constituer des collections en sélectionnant et en désélectionnant. Or la neutralité du Net est contraire, par nature, à cette activité de tri. Doit-elle donc être remplacée par une médiation renforcée, des dispositifs de formation à la critique et à la recherche documentaire ?
La question de la protection des données personnelles a été également abordée sous l’angle du bénéfice pour les utilisateurs. En effet, l’équilibre entre attente des usagers et préservation de leurs données personnelles est précaire. L’expérience des utilisateurs peut être amoindrie par une diminution des données recueillies. Les usagers sont habitués à recevoir un accueil numérique personnalisé et des communications par mail. Le lecteur peut souhaiter avoir son historique de consultation. Il est, dans ce cas, nécessaire de mettre en œuvre des solutions techniques pour chiffrer les données et ne les rendre accessibles qu’à l’utilisateur. Car l’utilisateur n’est pas toujours le meilleur défenseur de ses propres intérêts face à des services utiles ou ludiques, et pense parfois qu’il n’a « rien à cacher ».
C’est sur cette note que cette journée extrêmement riche se conclut, avec la projection, suivie d’un débat, de Nothing to hide, documentaire franco-allemand de Marc Meillassoux et Mihaela Gladovic (film disponible gratuitement sous licence Creative Commons CC-BY-NC-ND).