Au forum Informatique, Libertés et Vie Privée (Computers, Freedom, and Privacy, ou CFP), on ne lésine pas sur la pause déjeuner ; il y a de la nourriture pour tout le monde, les estomacs comme les cerveaux, et elle est de premier choix. C’est donc à l’heure du repas, voire de la sieste, que la session "Sécurité, vie privée : jusqu’où aller ?" cueille les participants. Malgré cet horaire défavorable, le débat fut, de mon point de vue, l’un des plus réussis de toute la conférence, au moins pour trois raisons.
Tout d’abord, les thèmes abordés sont appétissants. Accessible au débutant comme à l’expert, la discussion veut explorer les dossiers qui font se confronter, comme c’est souvent le cas, sécurité et vie privée. De plus, le format, très stimulant, ne permet pas le bavardage. Six sujets à traiter en quelques minutes, un question-réponse rapide entre les deux intervenants, et une modération immodérément efficace, pour profiter de chacune des soixante minutes de cette heure de débat. Enfin, les participants sont chevronnés et passionnants ; même si cela n’est pas une rareté à CFP, la qualité des speakers est à souligner. Daniel Solove, récemment auteur de Nothing to Hide: The False Tradeoff Between Privacy and Security ("Rien à cacher : pourquoi il ne faut pas choisir entre vie privée et sécurité"), enseigne le droit à George Washington University. Peter Swire, lui, a étroitement collaboré avec l’administration Obama   sur des thèmes aussi variés que la webcommunication ou les politiques économiques—il est, parait-il, surnommé "the Dean of privacy" ("le grand sage de la vie privée") dans les cercles autorisés.

Nous voilà donc prêts à attaquer six thèmes majeurs que l’on retrouve dans bien des séances proposées a CFP cette année—conçue comme une boîte à outils (et à idées), cette session nous offre des clés pour mieux comprendre tous les débats sur la sécurité et la vie privée.

Premier mythe à terrasser (c’est d’ailleurs l’objectif avoué des deux invités), la légende selon laquelle il faudrait choisir entre sécurité et respect de la vie privée (les américains appellent cela la "all-or-nothing fallacy"). Bruce Schneier, un des papes de la sécurité informatique dont le discours a enthousiasmé le public de CFP peu avant la clôture du forum, est connu pour sa dénonciation de la position d’une administration américaine, qui, depuis la tragédie 9/11, semble penser que le respect de la vie privée des citoyens est un luxe que l’on ne peut se permettre si l’on veut éliminer les ennemis la liberté.

On voit donc bien pourquoi les deux intervenants, américains tous deux, insistent sur l’absurdité de ce mythe ; il a dans leur pays des conséquences très pratiques. Le Patriot Act, adopté 50 jours après le 11 Septembre 2001, a réduit nombre de libertés individuelles   , officiellement pour protéger les Etats-Unis contre la menace terroriste. Pourtant, nos deux invités sont d’accord, on ne peut pas opposer respect de la vie privée et sécurité ; une société qui célèbre le droit de chacun à la maîtrise de son identité n’en est pas moins sûre pour autant.
Selon Daniel Solove, le vrai choix qui se présente à nous est plus subtil : voulons-nous un Etat policier sécuritaire, donc sans respect aucun pour la vie privée des individus, ou un Etat sécurisé dans lesquels des contre-pouvoirs et mécanismes de contrôle garantissent que l’impératif de sûreté n’emporte pas tout sur son passage ? Solove comme Swire préfèrent évidemment cette dernière option. Ils rejettent tous deux le mythe de l’alternative sécurité contre vie privée, n’en déplaise aux plus fervents supporters de la War on Terror. Peter Swire va même plus loin, arguant qu’en vérité, le primat de la sécurité porte en lui-même des contradictions. Ainsi les agences gouvernementales de sécurité intérieure américaines, comme le FBI ou la CIA, veulent-elle accéder à toutes les conversations téléphoniques du continent Nord-Américain ; mais en poussant cette idée plus loin, cela ne veut-il pas également dire que les communications de ces organisations devraient elles aussi être accessibles à la population, demande Swire ? Il voit donc là un moyen de renvoyer le paradigme policier à ses propres contradictions ; "le meilleur ennemi du sécuritaire à tout crin, dit-t-il, c’est encore plus de sécuritaire."

Sur l’encodage et la sécurisation des données dans un contexte de mondialisation ("encryption and globalization"), Solove et Swire tombent de nouveau d’accord. L’arrivée des puissances émergentes, d’ordinaire reléguées aux seconds rôles, déstabilise l’Internet des pays pionniers, nous apprennent-ils. En effet, la question de l’encodage et de la sécurisation des données (quand elles sont envoyées d’un point à un autre d’un réseau informatique, et de l’Internet en particulier), qui nous préoccupait au milieu des années 90, est réglée depuis plus d’une décennie dans les pays les plus avancés. Mais, évidemment, l’Internet a ceci de fabuleux et de redoutable qu’il ne connaît pas de frontières ; le rôle croissant de l’Inde, de la Chine et de la Russie sur le réseau mondial peut-il compromettre nos données, sachant que ces pays appliquent des standards de cryptage   de l’information bien moindres que ceux que nous utilisons aujourd’hui ? Ce problème semble préoccuper les deux experts, qui soulignent que l’Inde limite le chiffrement des données à des niveaux insuffisants alors que la Chine se repose sur des algorithmes de cryptage dont la fiabilité laisse à désirer.
Mais la question de l’accès aux données se pose aussi à l’intérieur de nos frontières, comme on l’a vu plus haut. Solove et Swire ont un exemple en tête : aux Etats-Unis, les pouvoirs publics ont depuis fort longtemps eu recours à des techniques d’écoute pour les besoins de la protection civile, et rêvent d’un monde où les communications sur IP, comme les conversations par Skype, seraient aussi facile à espionner que le sont aujourd’hui les lignes fixes. Au-delà des complications techniques que cela engendrerait pour les prestataires de services   , ce changement requiert également une évolution de la loi relative à la coopération entre l’Etat et les entreprises de communication   .

Le troisième thème abordé n’oppose toujours pas nos deux intervenants, même s’il fait apparaître entre eux des différences d’approche sur un sujet capital : que faire de l’argument selon lequel quelqu’un qui n’a "rien à cacher" ne devrait pas se soucier de la protection de sa vie privée ? Dans ce domaine, les exemples comiques et les citations outrancières ne manquent pas ; on retiendra simplement que l’ancien PDG (et actuel dirigeant) de Google, Eric Schmidt, avait exprimé en Décembre 2009 sa conviction que "si vous avez fait quelque chose que personne au monde ne doit savoir, peut-être n’auriez-vous pas dû le faire." Cette remarque, qui pourrait sembler logique, avait valu au capitaine d’industrie les attaques et les moqueries de quantités d’observateurs. Bruce Schneier, dont on a parlé plus haut, avait déclaré à l’époque : "Préserver ma vie privée me protège des abus des puissants, même si je n’ai rien à cacher. Trop souvent, on veut opposer sécurité et préservation de la vie privée. Mais en fait, le choix qui nous est posé, c’est entre société libre et société surveillée qu’il se situe. Le régime de la peur, qu’il soit le résultat d’attaques extérieures ou des pressions constantes d’un Etat policier, cela reste le régime de la peur, cela reste une tyrannie. La liberté vraie, elle, c’est un Etat sûr, mais sans caméras à chaque coin de rue ; c’est la sécurité et la préservation de la sphère privée. […] Voilà pourquoi nous devons tout faire pour protéger notre sphère privée même si nous n’avons rien à cacher." Au passage, on note que cette citation répond aussi tout à fait aux questionnements évoqués plus haut, au sujet de la "all-or-nothing fallacy".

Sur le thème du "rien à cacher", il n’y a donc pas d’ambigüité pour les deux invités : cet argument doit disparaître, et le plus vite sera le mieux. Pour étayer son point de vue, Solove aborde un élément essentiel : la définition même de "protection de la vie privée". Contrairement à ce que l’on croit souvent, protéger sa vie privée n’implique pas seulement de cacher, de détruire, ou de soustraire des informations. Bien sûr, c’est une des dimensions du concept. Mais ce n’est pas la seule.
S’intéresser au profil des personnes ou des organisations qui ont accès à vos informations personnelles détenues par un tiers (par exemple, vouloir savoir quelles entreprises pourront piocher dans les renseignements fournis par votre page MySpace), cela relève de la protection de la vie privée.
Contrôler son image (par exemple, refuser que son portrait soit affiché sur tous les "4 par 3" du village, même si la photographie en question est publique), cela relève de la protection de la vie privée   .
Ne pas avoir à donner une raison quand on achète tel ou tel ouvrage sur le terrorisme ou la pédophilie, cela relève de la protection de la vie privée.
En somme, l’argument du "rien à cacher" ne peut absolument pas s’appliquer à tout ce que le concept de protection de la vie privée recouvre. Swire acquiesce, et renforce la thèse de Solove en abordant la question différemment. En termes d’engagement politique, il est souvent difficile de dire que l’on a "rien à cacher" : par essence, la publicité des opinions politiques est un risque, nous dit-il. Mais Eric Schmidt ne semble pas voir qu’imposer la logique de la transparence absolue à l’engagement citoyen, c’est peut-être tuer la démocratie.

Avec le quatrième sujet de la session, on commence à voir des différences d’opinion pointer entre les deux invités. La question est en effet provocatrice : les réseaux sociaux, qui permettent à la fois la création de mouvements citoyens (évidemment, l’exemple des "révolutions arabes" est dans toutes les têtes) et le fichage des individus au profit d’entités privées ou gouvernementales, sont-ils une avancée pour les libertés publiques ? Il est bien sûr impossible de répondre de manière tranchée, aujourd’hui, tout au moins, puisque nous n’avons que quelques années de recul sur ces phénomènes complexes. La discussion s’oriente donc vite vers le marketing politique sur Internet, question sur laquelle, une fois n’est pas coutume, on a de nouveau affaire à un dilemme : comment concilier l’exigence de respect de la vie privée de chacun (en l’occurrence, du droit à l’utilisation d’Internet sans être constamment sollicité par des partis en quête de soutiens et de votes—voilà encore un éclairage sur la définition du concept de vie privée) et l’impératif de libre expression d’organisations politiques dont les prérogatives sont défendues, aux Etats-Unis, par le premier amendement à la Constitution ? C’est un débat ou les spécificités de chaque pays importent énormément, et pas seulement en matière juridique.

En France, la tenue des primaires socialistes et écologistes a récemment éveillé les soupçons de l’administration, et notamment ceux de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Aux Etats-Unis, les détenteurs d’une ligne téléphonique sont autorisés à enregistrer leur numéro sur l’équivalent d’une liste rouge ("do-not-call" ; littéralement, "ne pas appeler") pour ne pas avoir à subir les sollicitations intempestives de télé-marketeurs toujours plus agressifs et toujours mieux informés. Peut-on alors envisager un modèle similaire pour l’Internet, notamment avec le système "do-not-track" ? Daniel Solove, très remonté contre les stratégies communicationnelles des campagnes politiques d’aujourd’hui, et notamment contre les " Robocalls, " ces messages enregistrés et très souvent malhonnêtes qui se multiplient chaque été précédent une élection aux Etats-Unis. Pour lui, il faut légiférer, et en finir avec ces intrusions qui, sur la forme comme sur le fond, nuisent au débat démocratique. Comment ces pratiques vont-elles évoluer une fois associées à la puissance de l’Internet et aux milliards de données personnelles qu’on peut y glaner, si le législateur ne prend pas les choses en main, se demande Solove ? Dans le public, et du côté de Peter Swire, on semble plus fermement attaché à la célébration du principe de liberté d’expression, quasi-absolu pour les entreprises politiques aux Etats-Unis.

C’est encore le même souci de définition du concept de "vie privée" qui occupe les deux intervenants pendant leur échange sur le cinquième thème : l’influence d’un environnement numérique changeant sur le quatrième amendement à la Constitution   . Selon Daniel Solove, cet amendement, adopté en 1791, est notoirement inadapté aux réalités actuelles. En effet, depuis 1967 et l’arrêt Katz v. United States de la Cour Suprême, les protections du quatrième amendement ne sont garanties que si l’individu perquisitionné peut se prévaloir d’une attente raisonnable en matière de vie privée ("reasonable expectation of privacy"), par exemple se trouver à son domicile ou dans une cabine téléphonique. Tout le problème se situe dans la définition de cette " attente ", et compte tenu des pratiques de gestion des données dans l’ère numérique, mais aussi de la méconnaissance de ces mêmes pratiques par les utilisateurs, les protections salutaires contre une dérive policière de l’action de l’Etat garanties par le quatrième amendement sont largement remises en cause.

Enfin, Swire et Solove débattent de la réduction du volume de données (en anglais, "data minimization" ), un concept très en vogue chez les spécialistes, mais bien peu connu de l’Internaute moyen. Il s’agit en fait d’une idée très simple : pour éviter que des informations précieuses ne soient perdues, volées, ou vendues quand elles ne devraient pas l’être, la première des mesures à appliquer consiste à ne collecter que les données strictement nécessaires pour la conduite d’un projet ou d’une transaction spécifique. En clair, il est inutile de fournir le nom de mes enfants ou la liste de mes diplômes à un tiers qui propose de me vendre de la glace à la vanille ou un billet d’avion. La réduction du volume des données est une des bases du "respect de la vie privée par défaut" ("privacy by design"), qui stipule que la question de la protection des données se joue au niveau de l’architecture des systèmes de d’information. De la même manière que le risque sismique est pris en compte à chaque étape de la construction d’un bâtiment, cette théorie veut que les données personnelles soient protégées "à la source" par des systèmes qui se donnent justement pour objectif de segmenter l’information et qui fournissent un environnement favorable au respect des utilisateurs.

Même si ces grands principes semblent faciles à appliquer, la chute vertigineuse des coûts de stockage, mais aussi les progrès de l’agrégation des données, qui rend l’assemblage de toutes ces informations plus rapide et plus efficace, ne permettent pas à la "data minimization" et au "privacy by design" de s’imposer, ni dans les faits, ni mêmes dans les esprits des acteurs majeurs du commerce et de l’informatique—au plus grand dam de nos deux invités. En effet, comme l’explique Solove, la réduction du volume de données est bien plus un idéal, un état d’esprit qu’une véritable norme, quantifiable, mesurable, applicable. Et pour l’instant, les défenseurs de la vie privée restent sur leur faim.

Après cette heure de festin juridico-informatique, le public, repus, ne peut que saluer les prestations convaincantes des deux participants et se réjouir qu’une telle discussion ait pu inspirer les professionnels présents cette année à CFP. Il peut aussi se féliciter de l’intérêt que semblent porter quelques médias et personnalités politiques, dont quelques unes étaient présentes à la conférence, à ces questions cruciales.
Comment ne pas voir, toutefois, que les points de vues sur la question de la vie privée et de la sécurité sont multiples (légal, commercial, militaire, réglementaire, politique, citoyen, scientifique, …) et que les intérêts des différents acteurs sont bien souvent différents, si ce n’est opposés ? Comment ne pas voir, non plus, que la technicité et la complexité des débats sont des obstacles majeurs au consensus, et donc à l’action ? Comment ne pas voir, enfin, qu’arrivés à la 21ème édition du forum Informatique, Libertés et Vie Privée, il est regrettable que des questions de définitions conceptuelles posent encore problème ?

Cette session ne fut peut-être pas le repas annoncé en introduction ; parler d’un joli petit hors d’œuvre goûtu aurait été une métaphore plus heureuse. Espérons que les débats abordés par les deux invités, les prochaines éditions du forum CFP, et les efforts communs de toute une communauté d’académiques et de professionnels spécialisés aboutiront à un plat principal assez copieux pour leur donner la force d’affronter les nombreux défis présents et futurs en matière de vie privée et de sécurité. Il y a… du pain sur la planche !