Madame la présidente, madame la ministre, chers collègues, j’ai rencontré mardi dernier le docteur Richard Stallman, un ardent défenseur des libertés publiques. Les principes qu’il défend répondent intégralement à nos préoccupations aujourd’hui.
Grâce aux révélations d’Edward Snowden, nous réalisons aujourd’hui que le niveau de surveillance dans nos sociétés est incompatible avec le respect des droits de l’homme. Les poursuites judiciaires que subissent les opposants, les sources et les journalistes en sont la preuve. Nous devons réduire le niveau de surveillance, mais jusqu’où ? Où se situe exactement le seuil tolérable de surveillance que l’on doit faire en sorte de ne pas dépasser ? C’est le niveau au-delà duquel la surveillance interfère avec le fonctionnement de la démocratie : lorsque des lanceurs d’alerte comme Snowden sont susceptibles d’être condamnés.
Face à la culture du secret des gouvernements, le peuple doit compter sur les lanceurs d’alerte pour apprendre ce que l’État est en train de faire. Cependant, la surveillance intimide les lanceurs d’alerte potentiels, parce qu’elle est trop intense. Pour retrouver notre contrôle démocratique sur l’État, nous devons réduire la surveillance jusqu’à un point où les lanceurs d’alerte se sentent en sécurité.
Si ces derniers n’osent pas révéler les crimes, délits et mensonges, nous perdons le dernier lambeau de contrôle réel qui nous reste sur nos gouvernements et institutions. C’est pourquoi une surveillance qui permet à l’État de savoir qui a parlé à un journaliste va trop loin, au-delà de ce que peut supporter la démocratie.
L’utilisation de logiciels libres est la première étape dans la protection de nos vies numériques, ce qui inclut la prévention de la surveillance. Ces logiciels, par leur transparence, garantissent une bien meilleure sécurité.
Nous ne pouvons pas faire confiance aux logiciels non libres : la NSA utilise, et même crée, des failles de sécurité dans des logiciels non libres afin d’envahir nos ordinateurs. Ce n’est pas de la paranoïa, ce sont des faits avérés. Cependant, le logiciel libre ne protège pas notre vie privée dès l’instant où nous mettons les pieds sur internet.
Le journal Le Monde a révélé il y a six mois que la DGSE espionne les communications de tous les citoyens français, sans aucune loi pour encadrer cette action. J’y reviendrai.
Quand les gens reconnaissent que la surveillance généralisée atteint un niveau trop élevé, la première réponse est de limiter l’accès aux données accumulées. Cela ne corrige pas le problème, même en supposant que le gouvernement respecte la loi. Soupçonner un délit est un motif suffisant pour avoir accès aux données, donc, une fois qu’un lanceur d’alerte est accusé d’espionnage, enquêter sur ce suspect fournit une excuse pour avoir accès à l’ensemble des informations.
Le personnel chargé de la surveillance d’État a l’habitude de détourner les données à des fins personnelles. En janvier 2013, des policiers français ont révélé à des inconnus des informations concernant les antécédents judiciaires de plusieurs rappeurs, sur la foi d’un simple appel téléphonique. Pour un cas révélé au grand public, combien ont été dissimulés ?
Les données provenant de la surveillance seront toujours détournées de leur but, même si c’est interdit. Une fois les données accumulées et accessibles à l’État, il peut en abuser, donc en abusera.
J’espère vous convaincre de ce point fondamental : l’information, une fois collectée, sera utilisée à de mauvaises fins. Par un policier qui voudra surveiller son ex-femme, par un agent du fisc qui voudra se venger d’une entreprise, etc.
La surveillance totale, associée à des lois assez floues, ouvre la porte à des usages excessifs. Pour sécuriser le journalisme et la démocratie, nous devons limiter l’accumulation des données facilement accessibles à l’État.
Il faut renforcer la protection juridique explicite des lanceurs d’alerte. La loi actuelle, dont les groupes parlementaires écologistes ont été à l’origine, protège ceux qui dénoncent un risque grave pour la santé publique ou l’environnement. Il faudrait étendre cette protection à d’autres risques, tels que la surveillance de masse ou la fraude fiscale.
Toutefois, ces protections juridiques sont précaires : elles peuvent être abrogées, suspendues ou ignorées.
Pendant ce temps, les démagogues fourniront les excuses habituelles pour justifier une surveillance totale : toute attaque terroriste, y compris minime ou virtuelle, leur donnera cette opportunité. Ils argumenteront encore sur le fait que ceux qui n’ont rien à cacher n’ont rien à craindre. Si vous pensez réellement cela, je vous invite à diffuser sur internet l’intégralité de vos relevés de compte bancaire depuis dix ans, accompagnés de l’intégralité de vos relevés d’appels téléphoniques au cours de la même période.
Cela vous tente toujours ? Toujours rien à cacher ?
Si les lois limitant l’accès aux données sont supprimées, ce sera comme si elles n’avaient jamais existé. Des fichiers couvrant des décennies seront du jour au lendemain exposés aux abus de l’État et de ses agents. En revanche, si nous arrêtions de ficher tout le monde, ces fichiers n’existeraient pas et il n’y aurait pas moyen de les analyser de manière rétroactive.
J’entends aussi souvent dire que les citoyens sont les seuls responsables, puisqu’ils diffusent eux-mêmes leur vie privée. Effectivement, la première protection contre la surveillance généralisée est de ne pas donner volontairement ses données personnelles. Une bonne règle de conduite est de ne publier que ce que vous accepteriez de voir dans un journal. Par souci de votre vie privée, vous devez éviter les logiciels non libres car ils donnent la maîtrise de votre informatique à d’autres, qui par conséquent vous espionnent probablement.
Toutefois, les mesures de protection individuelle les plus rigoureuses sont encore insuffisantes pour protéger votre vie privée. Lors de nos communications avec d’autres, lors de nos déplacements à travers la ville, notre vie privée dépend des pratiques de la société.
Nous devons imposer le respect de la vie privée à chaque système.
Si nous ne voulons pas d’une société de surveillance totale, nous devons envisager la surveillance comme une sorte de pollution de la société. Il nous revient de limiter l’impact de chaque nouveau système numérique sur la surveillance, comme nous limitons l’impact des objets manufacturés sur l’environnement.
Les compteurs électriques intelligents, comme le Linky, sont paramétrés pour envoyer régulièrement à EDF des données concernant la consommation de chaque client. Cette implémentation repose sur une surveillance généralisée, mais n’est nullement nécessaire. EDF pourrait aisément calculer la consommation moyenne d’un quartier en divisant la consommation totale par le nombre d’abonnés, et l’envoyer sur les compteurs. Chaque client pourrait ainsi comparer sa consommation avec la moyenne de ses voisins au cours de la période de son choix. Mêmes avantages, sans la surveillance.
Il nous faut intégrer le respect de la vie privée à tous nos systèmes numériques, dès leur conception. Il faut diminuer la surveillance par les entreprises. Nous devons repenser entièrement les systèmes numériques pour qu’ils n’accumulent pas de données sur leurs utilisateurs. Si les entreprises ont besoin de détenir des données numériques sur nos transactions, elles ne doivent être autorisées à les garder que pour une période dépassant de peu le strict minimum nécessaire.
Le financement de nombreux sites repose sur la publicité ciblée, par le biais du pistage des actions et des choix de l’utilisateur. C’est ainsi que d’une pratique gênante, la publicité, nous basculons dans un système de surveillance qui nous nuit. Les achats sur internet se doublent toujours d’un pistage des utilisateurs. Nous devons interdire formellement ce pistage sans rapport direct avec l’activité commerciale.
Le recueil de données personnelles par les sites comporte un autre danger, celui que des pirates s’introduisent, prennent les données – y compris celles qui concernent les cartes de crédit – et les utilisent à de mauvaises fins. Voilà la définition d’un pirate, chers collègues. Ce n’est pas quelqu’un qui partage une chanson avec ses amis.
Il faut diminuer la surveillance de nos déplacements. Beaucoup de systèmes de transport en commun utilisent une puce électronique. Ces systèmes amassent des données personnelles. De plus, tous les voyages associés à une carte sont enregistrés. L’un dans l’autre, cela équivaut à un système de surveillance à grande échelle. Il faut diminuer cette collecte de données. Aujourd’hui, la RATP permet de ne pas être tracé, mais il faut payer un supplément.
Il faut diminuer la surveillance de nos télécommunications. Les fournisseurs de services internet et les compagnies de téléphone enregistrent une masse de données sur les contacts de leurs clients. Ces données sont conservées sur de longues périodes. Et il s’avère que la DGSE collecte en masse les coordonnées géographiques des téléphones mobiles.
Les communications non surveillées sont impossibles là où le système crée de tels fichiers. Leur création doit donc être illégale, ainsi que leur archivage. Il ne faut pas que les fournisseurs d’accès internet et les compagnies de téléphone puissent garder cette information très longtemps, sauf décision judiciaire leur enjoignant de surveiller une personne ou un groupe en particulier.
Cette solution n’est pas entièrement satisfaisante, car elle n’empêchera pas concrètement un gouvernement de collecter toute l’information à la source – ce que fait le Gouvernement français avec les compagnies de téléphone. Il nous faudrait faire confiance à l’interdiction par la loi. Cependant, ce serait déjà mieux que la situation actuelle, où la loi applicable n’interdit pas clairement cette pratique. Nous reconnaissons qu’un minimum de surveillance est nécessaire.