Bien avant le début de l’année 2020, « l’année zéro » de la Covid-19, les efforts pour préserver les droits numériques et le débat public concernant les droits fondamentaux (que les nouvelles technologies pourraient piétiner) étaient loin d’être une priorité pour les citoyens.

Après huit mois d’une pandémie sans précédent de mémoire récente, le débat sur l’utilisation des technologies de surveillance (pour prévenir et réduire la propagation des coronavirus) et sur nos droits numériques en général (droit à la vie privée et à la protection des données personnelles, notamment), n’est toujours pas aussi populaire et profond qu’il devrait l’être. Même si dans de nombreux pays d’Extrême-Orient, démocratiques ou non, l’acceptation d’un État de type « Big Brother » est généralisée, en Europe, les diverses formes de résistance ont récemment été ébranlées : principalement en raison de craintes quant à la sécurité des personnes (autrefois à cause du terrorisme, maintenant à cause de la santé), ou d’une ignorance et d’une lassitude à ce sujet, plutôt que d’une réelle prise de conscience.

Au cours d’une interview avec Equal Times, Diego Naranjo, Responsable des politiques de l’ONG européenne European Digital Rights (EDRi), une organisation qui regroupe 44 associations de défense des droits humains et des droits numériques sur le continent (bien qu’elle compte également certains membres aux États-Unis et ailleurs dans le monde) a partagé certaines des mesures qui nous protègent ou que nous pouvons prendre afin d’éviter la violation de nos droits fondamentaux dans le domaine du numérique, en partant du Règlement général sur la protection des données (RGPD) mis en place il y a tout juste deux ans.

À l’heure actuelle, cette organisation (qui défend les droits et les libertés dans les environnements numériques, tant au niveau de la protection des données que de l’accès à l’information et de la liberté d’expression) s’interroge sur la nécessité et la proportionnalité de nombreuses mesures proposées et improvisées par certains gouvernements (qui vont de l’utilisation de drones pour observer le respect des quarantaines aux passeports d’immunité). Par ailleurs, elle s’interroge également sur la sécurité des données collectées, leur échéance, la manière dont elles ont été obtenues et traitées, si elles seront utilisées à d’autres fins et avec qui.

Dans un contexte de pandémie tel que celui que nous connaissons actuellement, comment concilier la surveillance numérique avec les valeurs sur lesquelles repose l’Europe ?

Constatez-vous davantage de discussions aujourd’hui qu’avant le mois de janvier, les responsabilités de tous les acteurs impliqués dans le processus sont-elles claires, tout comme les questions telles que la nécessité, la proportionnalité, la transparence, la légalité et les garanties d’une telle surveillance ?

La pandémie a renforcé la nécessité de discuter de la surveillance qui était déjà en place (reconnaissance faciale, rétention de données, etc.) avec la nouvelle réalité qui, d’une part, a poussé (au moins dans sa phase initiale) les gouvernements à contrôler davantage la population pour des raisons de santé, mais parfois avec des mesures disproportionnées. Nous avons réagi rapidement en procédant à une analyse de ce qu’il ne fallait pas faire. Heureusement, il semblerait au moins que la Commission européenne en ait pris note et que les recommandations à l’intention des États membres aient été très bonnes. Il incombe désormais aux États de les mettre en œuvre correctement.

D’autre part, l’industrie s’est empressée de se poser comme les « sauveurs » de cette crise et de consolider sa domination grâce à davantage d’argent public et en essayant de s’imposer comme l’option « sûre » en temps de pandémie, ce que Naomi Klein a révélé dans toute sa crudité. Pour l’instant, nous avons résisté aux pires tendances « privatisatrices » et pro-surveillances. Il convient maintenant d’avancer dans la conquête de nouvelles libertés et de ne pas céder en quelques mois les avancées que nous avions mis des années à décrocher.

Dans de nombreux communiqués, vous soulignez que les mesures actuellement prises pour combattre la pandémie — Big Data et systèmes d’intelligence artificielle, notamment —, dans un contexte de contrôles et d’oppositions limités, vont façonner notre avenir.

Pouvez-vous nous indiquer les éléments qui vous inquiètent tout particulièrement ?

Ce qui nous inquiète globalement, c’est la normalisation des mesures extraordinaires. Depuis plusieurs décennies, des caméras de sécurité sont installées dans nos rues et autres espaces publics. À l’époque, l’excuse était un mélange de sécurité citoyenne générale (la crise économique a augmenté certains types de délits liés à la pauvreté comme les vols) à laquelle on a ajouté l’utilité antiterroriste. Nous sommes désormais confrontés à la réutilisation de ces mêmes caméras pour la reconnaissance faciale sous prétexte de vérifier qui porte un masque ou non, les enfants disparus ou toute autre idée. L’objectif ultime est le contrôle et l’objectif à court terme est le financement public des industries privées de surveillance.

Si la surveillance publique et privée venait à se poursuivre ou à s’intensifier, les prochaines luttes contre les nouvelles mesures de coupes budgétaires sociales, le changement climatique, la justice raciale et la défense de la démocratie seraient affaiblis par un système où tout est enregistré et où beaucoup préféreraient rester silencieux et chez eux plutôt que de voir leur emploi précaire ou leur assurance maladie mis en péril par leur participation à des mouvements de résistance.

Au-delà de la crise sanitaire, où se concentrent vos efforts dans le domaine de la vidéosurveillance et des technologies de reconnaissance faciale ?

Nous souhaitons garantir l’existence d’activités déclarées libres de toute surveillance ; que l’utilisation de ces systèmes au niveau local soit interdite, même si elles ne sont pas en service. Plus concrètement, nous pensons aux lieux d’accès public : non seulement les places, les rues, mais aussi les espaces tels que les gares ou les centres commerciaux.

Au niveau national, nous nous efforçons de faire adopter des lois qui l’interdisent également. Nous souhaitons également que l’UE, si cela devait s’avérer nécessaire, lance des procédures d’infraction contre les États membres pour violation des droits fondamentaux, car il s’agit de mesures imposées qui ont un impact sérieux sur la vie privée et sur les libertés d’association et de manifestation et qui ne sont ni nécessaires ni proportionnées par rapport aux objectifs qu’elles tentent d’atteindre.
La réussite minimale [de ces efforts] est qu’aucun autre système supplémentaire ne soit mis en place ; et que ceux qui existent déjà soient éliminés.

Si leur utilité devait être prouvée de manière indiscutable, quel serait alors le problème ?

Même s’ils se révélaient utiles à certaines fins, cela ne signifie pas qu’ils soient nécessaires ou proportionnés. Il serait très utile de disposer d’une caméra dans chaque foyer afin de prévenir la violence contre les femmes, mais nous comprenons que ce ne serait pas proportionnel, que ce serait une atteinte à la vie privée.

En réalité, nous avons tous quelque chose à cacher, donc cet argument ne fonctionne pas. En fait, même si vous n’avez « rien à cacher », là n’est pas la question. Il s’agit plutôt du fait que vous devez pouvoir vivre en liberté et ne pas être soumis à un regard qui vous surveille constamment et qui sait avec qui vous vous réunissez, dans quels bars vous allez et avec qui, quels syndicats vous fréquentez, si vous faites grève ou non et avec qui, etc. C’est donc un monde dystopique que nous devons éviter, et pourtant, j’observe actuellement une normalisation de la surveillance de masse. Il y a cinq ou dix ans, nous nous inquiétions tous de ce qui se passait en Chine. Aujourd’hui, la Slovénie, l’Allemagne, le Royaume-Uni, les Pays-Bas, la Grèce, la France, la Hongrie, l’Italie et la Suède utilisent la reconnaissance faciale (et beaucoup plus que nous ne le pensions). Sans le moindre débat public à son sujet.

Dans le cas de la Serbie, à Belgrade, les caméras qui étaient déjà installées dans les rues sont désormais utilisées pour la reconnaissance faciale grâce à des technologies chinoises et pour couronner le tout avec des patrouilles de policiers chinois dans les rues (phénomène lié aux nombreux ouvriers chinois qui travaillent sur des projets bénéficiant d’investissements chinois).

Le développement de la 5G et de l’intelligence artificielle se heurte à des questions éthiques qui diffèrent d’un pays à l’autre, d’un continent à l’autre et d’une organisation ou entreprise à l’autre, pourquoi vous intéressez-vous à ce débat ?

La thématique de l’éthique est fondamentalement dictée par le monde des entreprises. Ces dernières ne souhaitent pas parler de droits, parce que ces droits peuvent être exercés et défendus devant les tribunaux. Elles préfèrent plutôt parler d’éthique, car chaque entreprise, chaque pays, a la sienne. L’IA et les technologies ont un impact sur les droits de la personne (droit à la vie privée, protection des données, liberté d’association et de manifestation, liberté d’expression), raison pour laquelle nous nous devons de parler de droits et non d’éthique. En focalisant le débat sur l’éthique, on détourne l’attention des droits fondamentaux, ce qui constitue la priorité à nos yeux.

Nos représentants politiques sont-ils à la hauteur des enjeux ?

Les représentants ici à Bruxelles et dans les États membres craignent que nous prenions du retard, qu’il n’y ait pas assez d’innovation et que cela se répercute sur l’emploi. Toutefois, il est également vrai qu’il y a un recul en matière de diversité des opinions au sein de la société civile en général. C’est au cours des discussions sur le règlement sur la protection des données que ce problème s’est manifesté de la manière la plus claire : ceux d’entre nous qui préconisaient une réglementation plus stricte étaient une minorité ; c’était donc David contre Goliath (moins de 100 personnes contre une armée de lobbyistes). Si votre message est multiplié par 100, comme c’est le cas pour les entreprises, on entendra davantage ce message que celui des citoyens.

Dans les environnements numériques, à quel point devons-nous être à la fois méfiants, sur la défensive (limite paranoïaque) ou clairvoyants quant à l’utilisation qui sera faite de nos données ?

Que doit-on imaginer que l’on puisse en faire, par exemple, lorsque l’on utilise une application gratuite (dont le code source n’est pas ouvert) ?

Il n’est pas nécessaire de se projeter dans l’avenir, il faut se tourner vers le passé. En 2013, [Edward] Snowden a publié ses révélations et ce qui est clair, c’est que ce qui se développe actuellement n’est pas un système dystopique du futur, mais une sorte de machine à remonter le temps. L’idée est qu’il y doit y avoir une surveillance constante de toutes vos activités, tant en ligne que hors ligne. À qui vous parlez, les photos que vous téléchargez, où vous voyagez, ce que vous consommez, comment vous vous déplacez… Tout. Et ce, 24 heures sur 24… Ainsi, si un jour vous êtes un problème pour un certain gouvernement, il peut consulter cette « machine à remonter le temps » et repérer les erreurs. Parce que nous avons tous commis des erreurs dans notre vie, des choses que nous ne voulons pas révéler, des choses que nous ne voulons pas rendre publiques. L’idée est d’avoir un contrôle total, en attendant le jour où ils devront prendre des mesures contre quelqu’un.

Quelles sont les mesures qui peuvent nous protéger dans un tel scénario ?

Le Règlement sur la protection des données a constitué un pas en avant et a fait de l’Europe un leader mondial en matière de protection des données. Même si elle est européenne, la Convention 108 du Conseil de l’Europe peut être signée et ratifiée par n’importe quel pays du monde. Il faudrait pousser le plus grand nombre d’États à l’adopter à travers le monde. Il serait également utile que les États-Unis disposent de lois adéquates en matière de protection des données, de vie privée et de surveillance, ce dont ils ne disposent pas à l’heure actuelle.

Toutefois, à un niveau personnel, vous pouvez également prendre des mesures (en plus de vous battre pour des réglementations qui vous protègent) : chiffrez tous les appareils, utilisez certains services, Signal au lieu de WhatsApp. Évitez Dropbox ; utilisez BitWarden (comme service de gestion des mots de passe) et privilégiez les logiciels gratuits lorsque c’est possible…

[De toute manière,] la sécurité n’est pas une cible que l’on atteint : c’est un processus. Il ne faut pas se fier aveuglément à toutes ces technologies : il faut être à même de les évaluer et de les analyser. S’il ne s’agit pas de logiciels libres à code source ouvert (« open source »), nous ne pouvons pas savoir s’ils font ce qu’ils nous disent. Ce que nous encourageons au niveau européen, c’est que les investissements publics soient orientés vers des applications et des logiciels libres. Une campagne menée par la Free Software Foundation Europe, l’un de nos membres, est intitulée « Public Money?Public Code! » (« Argent public ? Code public ! ») : cela résume très bien ce que nous voulons.

Rien de neuf dans le fait que les entreprises agissent avec un but de recherche de profits. Mais compte tenu des risques potentiels, quels sont les obstacles à la protection décente de nos droits ?

Si ce qui profite le plus à des entreprises comme Google et Facebook, c’est la surveillance de toute la population qui utilise leurs services, elles continueront à le faire jusqu’à ce que nous leur disions que nous n’aimons pas cela et que ce n’est pas un système commercial acceptable dans une société démocratique.

Par ailleurs, la question des développeurs est curieuse. Récemment, nous avons publié un guide pour un développement Web éthique, car nous avons constaté que bien souvent, sans malveillance (parce que c’est la pratique habituelle et parce qu’ils sont gratuits) de nombreux développeurs Web insèrent Google Analytics et Google Fonts par défaut sur votre site Web. Pourtant, ces services assurent un suivi et une surveillance pour le compte de Google. Je pense qu’il s’agit d’un problème d’ignorance. Un travail d’information est nécessaire, mais, oui, cela fait partie du problème : les développeurs sont dans leur monde et ne songent pas à intégrer par défaut la protection des données et de la vie privée dans leurs conceptions, des principes fondamentaux pour nous.

En ce qui concerne Amazon et le stockage dans le « cloud », que devrions-nous tenir à l’œil ou du moins ne pas perdre de vue ?

L’une des propositions intéressantes de la Commission européenne est de créer une sorte de « cloud » européen pour concurrencer Amazon. Je ne pense pas que la création d’un Amazon européen, d’un Facebook européen ou d’un Google européen soit la solution, mais créer une souveraineté technologique dans le sens où nous pouvons contrôler — idéalement — publiquement qui traite nos données, qui finance ces algorithmes, qui a accès au stockage sur le réseau, est bon pour nous. Comparé à l’alternative où tout est entre les mains d’une société étrangère sur des serveurs dont nous ne connaissons pas vraiment la façon dont ils sont contrôlés ni qui y a accès. Or, il manque des moyens, des investissements. Un développement au niveau local et des États.

Les gens sont-ils conscients de cette nécessité ?

Il ne semble pas y avoir d’intérêt spécifique au-delà de la proposition de la Commission. Même pour nous, ce n’est pas une question fondamentale. Il y a d’autres thématiques prioritaires. Des projets tels que Gaia-X [présenté début juin] proposés en Europe ne nous apportent a priori aucun bénéfice sur le plan du respect des droits fondamentaux. Tout dépend de qui a accès à ces données, au cloud, à qui celles-ci appartiennent, etc.

En matière de neutralité du Net [le fait que les fournisseurs d’accès à Internet ne puissent pas arrêter ou bloquer le trafic de données en fonction de leurs intérêts, Internet étant dès lors considéré comme un service public], où en sommes-nous en Europe ?

C’est une bataille acharnée pour maintenir la neutralité sur le Net, et les entreprises de télécommunications sont particulièrement féroces (car mettre fin à la neutralité leur apporterait de nombreux avantages). En nous basant sur le règlement européen (RGPD), nous entendons que celui-ci interdit le manque de neutralité du Net en Europe, mais l’application dans les États membres est différente et dépend des régulateurs.

Il faut préciser clairement que cela n’est pas autorisé. Autrement, nous pourrions arriver à la situation que l’on connaît en Inde où il existe des pratiques de « Zero Rating » (« taux zéro ») : les gens ont un accès gratuit à Facebook sans dépenser pour la consommation de données, donc pour une grande partie de la population (la plus pauvre) en Inde, l’Internet se limite à Facebook. Autrement dit, le taux zéro restreint l’accès à Internet sous le prétexte trompeur de fournir un service gratuit.

Est-il utile qu’une certaine portion de la population ou que certains pays prennent toutes les mesures nécessaires pour garantir la confidentialité des données personnelles, alors qu’une autre partie importante va dans la direction opposée ?
Ne s’agit-il pas d’une tâche fastidieuse qui donne envie de jeter l’éponge ?

Au niveau européen, l’objectif est que les personnes soient protégées par défaut. Par exemple, si vous prenez un ascenseur, vous êtes protégé par défaut, et si l’ascenseur tombe, vous pouvez poursuivre la société qui l’a construit, celle qui l’entretient ou le propriétaire de l’immeuble de bureaux. Dans le domaine des technologies, cela devrait être la même chose : vous ne devriez pas être un pirate informatique ou un geek pour pouvoir utiliser l’Internet. Les protections des données et de la vie privée doivent être assurées par défaut dès la conception, et ce, afin que vous ne deviez pas penser à ce genre de choses.