Au début des années 1990, l'écrivain Vercors recevait encore dans son salon, quai des Orfèvres, à Paris, avec un voile posé sur son écran de télévision. Au visiteur qui s'interrogeait sur la présence de cet objet incongru, l'auteur du Silence de la mer répondait qu'il entendait ainsi se protéger de «cet œil noir» qui risquait un jour de nous menacer.
Clairvoyance? Vision anticipatrice? L'ancien résistant, qui avait fait paraître son premier livre dans la clandestinité sous l'Occupation, ne pouvait pas alors savoir que la plupart des écrans, une vingtaine d'années plus tard, comprendraient tous une caméra. Ni que la surveillance des services de police passerait en grande partie par les données de connexion liées à cet écran.
Pourtant, depuis l'affaire Prism, du nom de ce programme de surveillance de masse révélé par l'ancien agent de la CIA et de la NSA Edward Snowden, c'est bien l'intrusion de cet œil orwellien dans les ordinateurs de millions d'internautes sur la planète qui fait scandale. Menace fondamentale pour les libertés publiques pour les uns, démarche nécessaire pour garantir la sécurité des Etats démocratiques pour les autres, le débat est revenu en France à l'occasion du vote d'un amendement au Sénat le 10 décembre: l'article 13 de la loi de programmation militaire (LPM).
Cet article vise à autoriser les services de police et de renseignement français à accéder aux données téléphoniques et électroniques de suspects et à leur géolocalisation en temps réel au nom de la défense de la sécurité nationale. Ce «recueil» s'accompagne d'une intrusion possible auprès des opérateurs télécoms, des hébergeurs et des éditeurs pour y relever documents, informations, mails, métadonnées ou photographies.
«Nous sommes à deux doigts de la dictature numérique», a réagi le 8 décembre dans les Echos Gilles Babinet, le champion français du numérique auprès de la Commission européenne. Le 11, au lendemain de l'adoption de la loi, il revenait sur ce vote devant le Club parlementaire sur l'avenir de l'audiovisuel, à bord d'une péniche amarrée quai de Seine et secouée par moment par les excès de vitesse de la vedette du ministère des Finances.
Plus question, selon lui, d'accepter que le pouvoir s'arroge le droit de se mettre en contravention avec les règles de transparence d'une société numérique. Le risque est de laisser aux militaires et aux gendarmes la possibilité d'aller au bout de leur pouvoir en «écoutant tout monde et en temps réel» sans aucun contrôle d'un juge.
Il est vrai que les demandes d'interception émanent d'agents des ministères de la Défense, de l'Intérieur ou de Bercy et que seule une autorité administrative, la Commission nationale de contrôle des interceptions de sécurité (CNCIS), est en charge de vérifier le bien fondé de la mise sous surveillance des individus suspects. Ses défenseurs arguent d'ailleurs qu'il s'agit de régulariser des pratiques illégales de la DGSE (Direction générale de la sécurité extérieure) – qui a d'ailleurs transmis beaucoup de données à la NSA dans le cadre de Prism, selon Le Monde – et qu'il est impossible de mettre un juge derrière une interception «en temps réel».
La LPM, selon Gilles Babinet, va «bien plus loin» que Prism qui, le 16 décembre, a été déclaré anticonstitutionnel par un tribunal civil de Washington au vu du 4e amendement des Etats-Unis sur le secret des correspondances et le respect de la vie privée. L'article 13 de la LPM, lui, n'a pas de tels garde-fous: il s'inscrit dans le cadre de la lutte contre le terrorisme, la délinquance et le crime organisée, mais aussi de la «sauvegarde des éléments essentiels du potentiel économique de la France». En clair, il pourra servir à des fins d'intelligence économique. «On ne peut pas exclure une utilisation de Prism à des fins économiques», notait déjà le «Digital Champion». Tout le débat en Allemagne, à travers les dizaines de millions de données relevées par la NSA à la fin 2012, portait d'ailleurs sur les secrets industriels qui pouvaient être extorqués par l'espionnage à un allié sous couvert de lutte antiterroriste.
La fin de l'atonie française?
En Allemagne, en Grande-Bretagne et au Brésil, le débat ouvert par Prism a été beaucoup plus vif qu'en France, où le petit monde du numérique a eu le sentiment d'une indifférence générale. Avec la LPM, celui-ci tient sa revanche. «On a eu beaucoup de mal à faire comprendre de ce qu'était Prism. L'écosystème numérique ne s'est pas beaucoup mobilisé. Là, ce n'est plus le cas», observe Benoît Thieulin, président du Conseil national du numérique (CNN). La surveillance généralisée, même sous Staline, n'était pas technologiquement possible.»
Le think tank Renaissance numérique affirme ainsi que le gouvernement cherche à se doter d'un Prism à la française. La Fédération internationale des droits de l'homme (FIDH) en appelle à une saisine du Conseil constitutionnel au nom de la défense des libertés individuelles. Reporters sans frontières (RSF) proteste contre «l'absence de contrôle du juge, des objectifs de surveillance et un spectre de données recueillis trop larges».L'Interactive Advertising Bureau (IAB) évoque «un risque économique pour l'offre numérique française en plein essor» tandis que le Mouvement des entreprises de France (Medef) estime que l'article 13 peut nuire à l'attractivité de la France et parle d'une «grave atteinte à la confiance que l'ensemble des acteurs doit avoir dans l'Internet». Même l'Asic, le lobby des géants de l'Internet, y est allé de son communiqué: «La France soulève de nombreuses interrogations en terme de protection des libertés.»
Pour Google, Facebook, Microsoft et autres plates-formes, mis en cause à partir des révélations de Snowden, la LPM n'est pourtant pas une si mauvaise affaire. «Avant, tout le débat portait sur les GAFA [Google, Apple, Facebook, Amazon] et sur l'exploitation commerciale des données. Tout à coup, voilà qu'il se déplace sur les Etats et les atteintes aux libertés publiques», relève le sociologue Dominique Cardon, chercheur associé au Centre d'études des mouvements sociaux.
Il faut dire que les géants du Web, qui réclament aux Etats-Unis une législation post-Prism, sont très ennuyés de devoir se conformer sans souffler mot aux programmes sécuritaires que lui impose le Patriot Act depuis octobre 2001. Un exemple: Google publie une carte mondiale des demandes d'interception, mais il s'agit en réalité d'une carte erronée car l'opérateur est tenu de ne pas dire qu'une demande a eu lieu. «Prism, c'est la surveillance d'Etat et l'accès au “big data”, estime Benoît Thieulin. Le Patriot Act n'a pas été remis en cause. Le big data des grandes plate-formes ajouté au durcissement de la législation sécuritaire, c'est explosif.»
La société de confiance en péril?
La menace que tous redoutent est bien sûr la rupture du contrat de confiance invisible qui lie l'internaute à son écran. C'est ce lien vertueux qui a permis, peu à peu, au e-commerce de progresser malgré les multiples extorsions, actes de piraterie et détournements d'argent sur Internet.
«On mesure pour la première fois aux Etats-Unis une certaine stabilité du commerce électronique, constate Benoît Thieulin. C'est un des effets de l'affaire Snowden. C'est pourquoi le monde économique et numérique s'agite. Si le grand public commence à ressentir de la méfiance, il risque de retourner hors ligne.» Un exemple: le tracking a pour conséquence de rendre plus cher un billet d'une compagnie aérienne quand on revient sur un site de voyages pour hâter la vente. Du coup, certains reviennent à la commande par téléphone pour éviter les mauvaises surprises. D'autres, même s'ils n'ont rien à se reprocher, misent sur des logiciels de cryptage que développent Microsoft comme Google, ou sur le réseau parallèle TOR (The Onion Router), pour éviter tout flicage qui leur apparaît inconciliable avec leur vision libertaire d'Internet.
Bref, la société numérique ne peut se construire que sur la confiance, à l'heure où le big data devient l'alpha et l'omega de toutes les modernités. «En tant que citoyen, j'ai des demandes contradictoires. On doit me protéger contre toute intrusion dans ma vie privée, ne pas lire mes mails et ne pas accéder à mes données, mais la collectivité doit aussi se donner les moyens de lutter contre le crime organisé. L'équilibre est rompu quand de grandes organisations ont la possibilité de surveiller la terre entière», estime le président du Conseil national du numérique.
Est-ce à dire que Prism a implanté une forte dose de méfiance dans les têtes des citoyens consommateurs? C'est en réalité plus compliqué, selon Dominique Cardon: «Avant Snowden, Internet était encore sympa. Aujourd'hui, c'est la fin d'une idée très émancipatrice qui lui était associée: on se dit que c'est dangereux pour les autres, mais que, moi, je contrôle et je n'ai rien à cacher.»
L'algorithme impertinent ou pertinent?
Peut-être Prism est-il aussi le nom d'une remise en question de la sacro-sainte pertinence de l'algorithme. Si la donnée nous espionne, elle peut aussi nous aliéner. Un exemple: elle nous sert à trouver le bon produit, le bon choix culturel ou la personne de son cœur sur un site de rencontre. Mais ce que la donnée fait, la donnée peut aussi le défaire. En réalité, estime le sociologue, l'algorithme fondé sur le comportement passé – principe même du retargeting – a ses limites: «Ce n'est pas parce que tu as été en vacances en Roumanie qu'on doit te faire des propositions de voyages uniquement pour l'Europe de l'Est.»
Seul l'algorithme prédictif, qui projette du futur, à l'instar de ce que fait Google avec son programme Flu Trends, qui est censé repérer une épidémie de grippe en fonction des requêtes, bouleverse nos paradigmes statistiques. Mais la prédiction se révèle pour l'heure incertaine et imprécise: «On prédit de l'hyper trivial», note Dominique Cardon. Et la donnée numérique ne nous a pas permis de grandes avancées policières dans la lutte contre le blanchiment d'argent et la fraude fiscale.
Tout l'équilibre repose sur la proportionnalité entre la collecte et le traitement qu'on en fait. Or, pour produire de l'algorithme véritablement pertinent, il convient de rassembler une énorme masse de données – le fameux big data – afin de mettre à jour des variables inattendues et de générer des «significations non triviales et significatives», comme dit Dominique Cardon.
Difficilement compatibles avec la protection de la confidentialité et de la vie privée, même si les opérateurs Internet se défendent en arguant qu'ils ne collectent que des données «anonymisées». «La vie privée peut être considérée comme une anomalie», a déjà déclaré le 20 novembre Vint Cerf, «Chef Evangelist» chez Google.
