CCTV Google on Fourth Avenue - Photo CC by-nd Hrag Vartanian

Google pourrait bien se faire prochainement taper sur les doigts par les gardiennes de la vie privée en Europe ! C’est en tout cas ce que croit savoir le Guardian, qui avançait il y a deux jours :

Le changement unilatéral de la politique de confidentialité de Google en mars dernier devrait subir dans les jours qui viennent les foudres des commissions européennes en charge de la protection des données.

Conditions générales de mystification

Écrites en petits caractères et dans un jargon peu accessible : ce sont les magnifiques "conditions générales ...

Dans le viseur : la drôle de tambouille opérée il y a quelques mois sur ses comptes utilisateurs. Google avait alors décidé de réunir en un bloc allégé les conditions d’utilisation (CGU) de ses différents services : YouTube, Gmail, Google+ et compagnie. Unifiant au passage les informations laissées par un même utilisateur sur les sites en question : historique de navigation, mails ou bien encore vidéos et chaînes favorites. Bref, tout.

À en croire l’argumentaire d’alors, cette rénovation permettait d’offrir plus de lisibilité aux utilisateurs, en instaurant une “expérience magnifiquement simple” à travers l’univers magique de Google.

Mais la Cnil ne croit pas vraiment au monde merveilleux des Googlenours, et levait déjà un sourcil circonspect face à ces changements, qui apparaissent surtout “magnifiquement simples” pour une utilisation bien plus fine et ciblée des données personnelles. Elle n’a pas hésité à tacler l’opération de Google dès son lancement, en mars dernier, évoquant son “inquiétude” et allant jusqu’à réclamer au géant américain de mettre ce chantier en pause :

[...] Au lieu d’améliorer la transparence, la formulation des nouvelles règles et la possibilité de combiner des données issues de différents services soulèvent des inquiétudes et des interrogations sur les pratiques réelles de Google. Avec les nouvelles règles, Google pourra suivre et associer une grande partie des activités des internautes, grâce à des produits comme Android, Analytics ou ses services de publicité.
[...]
La CNIL a envoyé une lettre à Google pour lui faire part de ces inquiétudes. Au regard des premières conclusions de cette enquête, la CNIL a réitéré, pour le compte du groupe des CNIL européennes, sa demande à Google d’un report de la mise en œuvre des nouvelles règles.

Face à ces inquiétudes partagées dans différents pays de l’Union, la Cnil annonçait dans le même temps avoir “été désignée par les CNIL européennes pour mener l’analyse des nouvelles règles de confidentialité de Google”. Réunis au sein d’un groupe de travail baptisé “Article 29″, ces gendarmes de la vie privée ont en effet pour ambition d’orienter la Commission européenne en matière de protection des données personnelles.

Toujours selon la Cnil, les premiers examens n’étaient pas bons et laissaient croire que Google ne respectait “pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en termes d’information des personnes concernée.” Une position alors vivement partagée par Viviane Reding, commissaire européenne en charge de la justice, qui lançait dans un entretien au Guardian :

Nous ne sommes pas en train de jouer à un jeu ici !

S’en était suivie une véritable partie de ping-pong institutionnel, fait de rencontres, de lettres [PDF] et d’envois de questionnaires, visant à élucider l’utilisation que fait Google de nos données. Et qui n’a pas permis à la Cnil de lever ses inquiétudes. En clair, c’était mal barré pour Google en Europe et la situation ne semble pas s’être arrangée avec le temps…

Toujours selon le Guardian, les Cnil européennes peuvent exiger de Google qu’il annule ces changements, bien que le scénario soit peu probable. “Ce serait comme vouloir ‘retirer les œufs de l’omelette’”, estime un avocat conseil du groupe de pression Icomp, présenté par le journal anglais comme “critique des politiques de Google”.

Contactée hier par Owni, la Cnil n’a pas souhaité faire de déclarations dans l’immédiat, précisant qu’une communication sur la question était prévue dans une semaine. Rendez-vous est donné le mardi 16 octobre 2012 à 10h30. De son côté, Google indique ne pas avoir reçu de “notification ou de message en ce sens”, et déclare ne pas avoir “de commentaire a partager.”

Vous vous réveillez un matin et constatez la disparition de la totalité de votre vie numérique !

Plus de mails, plus de contacts, plus de photos, plus de vidéos, plus de documents, plus de calendrier, plus de blog, plus de favoris, plus de flux RSS… tout, absolument tout, s’est évanoui !

De la science-fiction ? Non, un simple compte Google désactivé unilatéralement et sans préavis par la société.

En l’occurrence le compte de Dylan M. (@ThomasMonopoly sur Twitter) qui avait décidé peu de temps auparavant de tout faire migrer sur son unique compte Google. Compte sur lequel étaient attachés les nombreux services qu’offre la firme de Mountain View : Gmail, Picasa, Google Docs, Calendar, Reader, Blogger, etc.

Et ce sont donc ici sept années digitales qui partent en fumée d’un simple clic. Adieu données personnelles. Ce n’est alors pas uniquement votre identité numérique qui vacille, mais votre identité toute entière…

Cette triste ou effroyable histoire vraie est malheureusement riche d’enseignements. D’abord parce qu’elle peut arriver à n’importe quel possesseur d’un compte Google. Mais aussi et surtout parce qu’elle en dit long sur ce que nous acceptons tacitement lorsque nous décidons de faire confiance à ces “sociétés du nuage” en nous inscrivant, le plus souvent gratuitement, à leurs services en ligne. Et il va sans dire que Facebook, Twitter ou Apple ont, toutes, le droit d’en faire autant.

Exaspéré et désespéré, Dylan M. a conté sa mésaventure dans une longue lettre ouverte à Google, que vous trouverez traduite ci-dessous. Une lettre publiée sur… TwitLonger et non sur son blog, puisque ce dernier était sur Blogger et dépendait lui aussi de son compte Google !

De quoi faire réfléchir non seulement sur les pratiques du géant Google mais également sur le monde dans lequel nous avons choisi de vivre…

Je vous laisse, j’ai quelques sauvegardes urgentes à faire sur mon disque dur.

“Cher Google…”, Thomas Monopoly, 22 juillet 2011, TwitLonger

Cher Google,

Je voudrais attirer votre attention sur quelques points avant de me déconnecter définitivement de tous vos services.

Le 15 juillet 2011 vous avez bloqué la totalité de mon compte Google. Vous n’aviez absolument aucune raison de faire cela, même si votre message automatique me disait que votre système avait repéré une “violation”. Je n’ai en aucun cas violé les Conditions Générales d’Utilisation, que ce soit celles de Google ou celles spécifiques au compte, et votre refus de me fournir une quelconque explication ne fait que renforcer ma certitude. Et je souhaiterais vous montrer les dégâts que votre négligence a causés.

Mon compte Google était lié à presque tous les produits que Google a développés, ce qui veut dire que j’ai aussi perdu tout ce qui était dans ces comptes. Je venais aussi d’entreprendre de tout regrouper sur un seul compte Google. En fait, j’avais réfléchi à tout cela voici quelques mois et avais décidé que Google était une entreprise sérieuse et digne de confiance. Donc j’ai tout importé de mes autres comptes Hotmail, Yahoo…, dans mon unique compte Gmail. J’ai passé environ quatre mois à migrer lentement toute ma présence en ligne : comptes email, informations bancaires, documents professionnels, etc., dans cet unique compte Google, l’ayant déterminé comme étant fiable.

“C’est quelque chose qui me dépasse complétement”

Cela correspond, en termes d’informations, à environ 7 années de correspondances, plus de 4800 photographies et vidéos, mes messages Google Voice, plus de 500 articles enregistrés dans mon compte Google Reader pour mes études (lorsque j’ai fermé mon compte Reader d’origine pour tout regrouper dans mon unique compte portant mon nom, j’ai ré-enregistré plusieurs centaines d’articles et de flux moi-même, à la main, un par un dans ce nouveau compte, celui que vous avez fermé et dont j’ai maintenant perdu tous les articles). J’ai également perdu tous mes favoris, ayant utilisé Google Bookmarks.

J’avais migré mes favoris d’ordinateur à ordinateur pendant peut-être 6 ans, environ 200, et je les ai finalement tous envoyés sur Google Bookmarks, content d’avoir trouvé une solution pour les migrer et content de me préserver de leur perte. J’ai aussi perdu plus de 200 contacts. Nombreux sont ceux pour lesquels je n’ai pas de sauvegarde. J’ai aussi perdu l’accès à mon compte Google Docs avec des documents partagés et des sauvegardes de fichiers archivés. J’ai par ailleurs perdu l’accès à mon calendrier. Avec cela, j’ai perdu non seulement mon propre calendrier personnel avec des rendez-vous chez le médecin, des réunions et autres, mais j’ai aussi perdu mes calendriers collaboratifs que j’avais créés et pour lesquels plusieurs heures de travail humain ont été nécessaires, des calendriers communautaires qui sont maintenant perdus.

Aucun de ces calendriers n’était non plus sauvegardé. J’ai également perdu mes cartes Google Maps sauvegardées et mon historique de voyages. J’ai perdu mes dossiers de correspondances médicales et diverses notes très importantes qui étaient attachées à mon compte. Mon site web, un compte Blogger pour lequel j’ai acheté le domaine via Google et que j’ai conçu moi-même, a été aussi désactivé et perdu. Pensez-vous réellement que je ferais sciemment quelque chose qui mettrait en péril autant de données personnelles et professionnelles ? Au fur et à mesure que les jours passent, je suis certain que je vais prendre connaissance d’autres choses que Google a détruites dans la désactivation injustifiée de mon compte. Je suis seulement trop en colère en ce moment pour réfléchir correctement et tout passer en revue. Pourquoi quelqu’un confierait-il quoi que ce soit à “l’informatique dans les nuages” après ce que j’ai traversé ? C’est quelque chose qui me dépasse complétement.

Je voudrai aussi préciser que je suis en fait un client payant, au point que j’ai acheté mon domaine via Google et j’ai aussi acheté de l’espace de stockage supplémentaire.

J’aimerais attirer votre attention sur d’autres éléments : je suis en ce moment en train de soumettre ma candidature pour les études supérieures. Je recevais occasionnellement des courriels de professeurs et d’autres personnes que je n’attendais pas et dont je n’avais pas les coordonnées. Ceci entraînant qu’en plus de mes amis et de ma famille à l’étranger ou des gens qui ne pouvaient pas me joindre autrement, ces personnes recevront maintenant un message de Google leur signalant que mon adresse électronique n’existe pas. Et j’ose imaginer que certains d’entre eux n’auront pas le temps de trouver d’autres moyens de contacter un candidat à qui ils faisaient une faveur en faisant le premier pas.

J’aimerais attirer votre attention sur d’autres éléments : j’ai été ce que l’on pourrait appeler un supporter enthousiaste de Google en tant qu’entreprise. Étant un utilisateur de la première heure, on pourrait presque dire que j’ai été un apôtre du travail de Google. Google sortait ses produits prématurément, et je contribuais au feedback sur ces produits. Lorsque Google a réussi son coup politique en Chine en re-routant les serveurs vers Hong-Kong, j’ai applaudi et j’ai posté des articles à ce sujet sur tous mes réseaux sociaux, et j’ai fait la remarque, par ces mots, à plusieurs personnes que je connais : “ils l’ont fait avec classe et dignité”. J’ai également convaincu l’entreprise pour laquelle je travaillais de migrer vers Google Business Apps et d’utiliser les Google Apps pour à peu près tout. Je les ai aussi encouragés à acheter de l’espace de stockage avec Picasa pour construire notre base de données d’images. De plus, j’ai convaincu presque toute ma famille et mes amis d’ouvrir un compte Google ou Gmail dans les deux dernières années, et j’ai montré aux gens comment les utiliser et leur ai expliqué les bénéfices de Chrome sur les autres navigateurs. J’ai même des actions Google.

“S’il vous plait, aidez-moi, mon compte a été désactivé et je ne sais pas pourquoi !”

J’aimerais attirer votre attention sur d’autres éléments encore : je ne suis pas fâché que Google ait suspendu mon compte s’ils pensent qu’il a été corrompu, mais je suis absolument furieux qu’ils aient suspendu mon compte sans me prévenir, sans même me donner une raison, et sans me donner quelque moyen que ce soit pour le réactiver, et ensuite ignorer toutes mes tentatives de trouver un interlocuteur. Aucun autre prestataire de service Internet ne se comporte ainsi. Je comprends que Google ne puisse pas offrir de l’aide personnalisée pour chaque demande de ses utilisateurs, mais quand une société comme Google a pris une position de monopole sur des pans entiers de l’Internet, elle a le devoir de se montrer responsable envers leurs clients quand des évènements comme ceux-ci arrivent. J’ai utilisé tous les forums d’aide : en vain. Et cela n’a fait que me mettre davantage en colère. Je ne vais pas prendre la peine de citer toutes les conversations absurdes que j’ai eues, elles sont trop nombreuses et elles vont seulement me rendre de plus mauvaise humeur.

La goutte d’eau qui a fait déborder le vase, c’est quand un “top contributeur” a déplacé le fil de la discussion du forum d’aide initial sur lequel je postais vers un autre forum sans ma permission. Puis, quelques jours plus tard, un autre “top contributeur” a laissé un message indiquant que le fil se trouvait dans le mauvais forum et a fermé la conversation, m’empêchant dorénavant au même titre que n’importe quelle autre personne d’y participer ou de faire des progrès. Les forums d’utilisateurs ne sont pas des sources d’information contrairement à ce que pense Google. Et la seule fois qu’un employé de Google a contribué dans mon fil, cela a été pour dire que ma question n’était pas posée dans le bon forum, et pour me dire que j’aurais dû poster dans le forum où je l’avais initialement placé. Cela s’est produit quand j’ai reposé sans arrêt les mêmes questions. En voici un exemple :

- Moi : S’il vous plait, aidez-moi, mon compte a été désactivé et je ne sais pas pourquoi !

- Utilisateur 1 : Connectez-vous simplement au tableau de bord et faites quelque chose.

- Moi : Je ne peux pas, mon compte a été désactivé.

- Utilisateur 2 : Salut, je viens juste de voir votre post. Pouvez-vous vous connecter à votre compte et me dire ce que quelque chose dit ?

- Moi : Mais puisque JE VOUS DIS que JE NE PEUX PAS me connecter à mon compte !

- Utilisateur 1 : Ok, ne vous énervez pas, pouvez-vous faire quelque chose qui implique que je sois connecté ?

- Moi : Mais NON ! Je ne peux pas DU TOUT me connecter à mon compte !!!

Puis la conversation a été fermée par quelqu’un et j’ai abandonné, après 5 jours. Je comprends la philosophie qui est derrière les forums modérés par les utilisateurs eux-mêmes. Mais dans de nombreux cas, les problèmes sont hors de portée des autres utilisateurs. Je ne demande pas comment activer les émoticônes dans une signature Gmail ou comment modifier ma photo de profil. Mon problème est un problème grave pour lequel une voie de secours sérieuse devrait être disponible. Je pense mettre le doigt sur une critique valide des insuffisances de l’aide gérée par les communautés d’utilisateurs en ligne. Google a mis en place une gestion type Ferme des Animaux sur son site avec des utilisateurs qui pour la plupart sont bien intentionnés mais complètement incapables de prendre des décisions à un niveau administrateur ou d’offrir de l’aide à un tel niveau.

Et cela peut fonctionner en douceur aussi bien pour l’utilisateur que pour l’entreprise, du moment que l’entreprise reste impliquée et prend ses responsabilités quand la résolution d’un problème est entièrement hors de portée d’un autre utilisateur. Google ne fait pas cela.

“Comme dans un cauchemar kafkaïen”

Je me fiche qu’un service Google soit gratuit. C’est Google qui adopte l’approche : “Vous n’aimez pas ? Tant pis, de toutes façons c’est gratuit”. Gratuit ou non, tous les utilisateurs sont dans l’orbite de Google et c’est en nous montrant des publicités que Google a gagné ses milliards de dollars. Il n’y a pas d’autre société cotée en bourse et du niveau de Google qui ne propose pas un support simple et complet à ses utilisateurs.

En plus des forums, j’ai également rempli tous les formulaires et demandes que j’ai pu trouver, et tenté de contacter chaque bureau et même chaque personne dans les deux bureaux de Manhattan. Mais pas une seule personne n’a été capable de m’aider, ce que je trouve choquant et exaspérant comme dans un cauchemar kafkaïen. Un employé m’a même répondu qu’il ne savait pas ce que je devais faire, ajoutant : “Honnêtement, je n’utilise même pas Google” !

Après avoir exploré tous les canaux possibles pour obtenir de l’aide, j’ai finalement été contacté tout à coup par un employé de Google qui a vu par hasard mes protestations sur Twitter, un service que j’ai utilisé suite à l’absence complète de support à la clientèle de Google. Il a dit qu’il allait essayer de contacter des personnes chez Google pour m’aider à restaurer mon compte. Après plusieurs échanges d’emails avec lui, il m’a rapporté qu’il avait parlé à quelqu’un de chez Google qui lui a dit que mon compte avait été désactivé, sans lui dire pourquoi. Il a essayé d’expliquer que ça devait être une erreur, mais ils ne pouvaient pas se l’expliquer eux-mêmes.

Alors Google, voici autre chose à laquelle je voudrais que vous réfléchissiez. L’un de vos propres employés est allé vers vous pour moi et vous a indiqué que vous aviez désactivé mon compte par erreur, et votre réponse a été : “non, on est presque sûr que non”. Votre propre employé a dit : “écoutez, j’ai parlé à cette personne et je pense qu’une erreur a été faite, vous devriez revérifier ou lui parler”. Et à nouveau, votre réponse a été “non, on est presque sûr”. Alors, posez-vous la question, quelqu’un comme moi qui a vu son compte être désactivé se lancerait-il dans une telle campagne vociférante et bruyante pour parler à quelqu’un de chez Google afin de leur expliquer qu’une erreur a été commise et que des années de données importantes ont été détruites, quelqu’un comme moi qui aurait volontairement mené des activités illégales sur son compte ferait-il cela ? Vous avez seulement besoin de bon sens pour répondre.

D’autres éléments : J’ai eu des comptes Hotmail, Yahoo, AOL et Compuserve et jamais l’un de ces comptes n’a été désactivé. Lorsque l’une de ces entreprises pensait que mon compte était compromis, elle m’en a averti et j’ai changé mon mot de passe. Pourquoi Google ne m’a-t-il pas notifié, à l’adresse email alternative que j’ai fournie à l’inscription, avant de prendre la décision de désactiver mon compte ? Cela me laisse perplexe. Si vous dites que j’ai violé certaines Conditions Générales d’Utilisation c’est votre droit, et dans ce cas il est justifié de résilier mon compte. Mais je vous demande maintenant un minimum de preuves de cette violation.

Concernant toute violation, je veux être tout à fait clair : je n’ai causé aucune infraction aux Conditions Générales d’Utilisation. Si Google pense que quelque chose a été fait de mon côté, je les défie de me dire ce que c’est. Je n’ai d’aucune façon violé de Conditions d’Utilisation, c’est un fait. Je voudrais signaler que quelques jours avant que mon compte ne soit désactivé j’obtenais des messages d’erreur quand j’essayais d’accéder à Google.com via Chrome. Je sais que je ne suis pas la seule personne que je connais à qui cela est arrivé. Mes amis et membres de ma famille utilisant Chrome obtenaient des messages d’erreur en essayant d’accéder à Google.com. Je pense que c’était des avertissements de redirections ou de certificat du site. J’ajoute que mon compte Google Plus se comportait de façon étrange lui aussi avant la désactivation de mon compte. Mais je lance des vérifications antivirus régulièrement et je n’ai jamais eu de virus. Une quelconque “violation perçue” est une méprise de la part de Google, ceci aussi est un fait.

La menace Google

Vous avez coupé mes moyens de communication, perturbé ma vie personnelle et professionnelle, détruit de larges parties de mes données personnelles et professionnelles, m’avez accusé de quelque chose sans me dire de quoi, avez bloqué toute communication directe avec mon accusateur, et ne m’avez donné aucune possibilité de faire appel de cette décision ou de parler à quelqu’un des faits connus dans cette affaire. Cette entreprise se dirige vers une voie très, très menaçante, si elle continue ainsi.

Plusieurs appels ont été faits à l’ONU pour que l’accès à Internet, aux communications essentielles et aux services d’information deviennent des Droits de l’Homme. En Grèce, en Espagne, en France et en Scandinavie, cela a déjà été accordé. Ce ne sera pas long avant que des lois ne soient mises en place concernant les comptes personnels utilisés pour accéder à ces services de communication et d’information, et des lois régulant la sauvegarde des informations personnelles contenues dans ces comptes, comme les correspondances. Il est impardonnable qu’une entreprise telle que Google, qui fait tant de déclarations sur les bonnes pratiques dans les domaines de la communication et de l’information, n’ait pas pris d’elle-même l’initiative et ait à la place choisi de traîner les pieds tant qu’elle n’y est pas contrainte par les gouvernements.

Les entreprises comme Google profitent des lois actuelles et écrivent dans leurs Conditions Générales d’Utilisation des choses telles que :

…vous accordez à Google le droit permanent, irrévocable, mondial, gratuit et non exclusif de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout Contenu que vous avez fourni, publié ou affiché sur les Services ou par le biais de ces derniers.
(NdT : Tiré directement de la version française)

Ces conditions ne sont pas viables et je ne doute pas qu’elles seront modifiées à un moment ou à un autre à l’avenir. De nombreux grands médias, tel que le Washington Post, ont déjà commencé à scruter Google et d’autres entreprises qui ont choisi d’imposer de telles drastiques conditions à leurs clients. Voir Google agir de la sorte est infect et inexcusable.

Et je m’inquiète réellement de l’avenir de la dissidence sociale et politique qui devra se battre pour exister dans l’œil du cyclone formé par les réseaux sociaux et l’actuelle politique de Google. Un climat dans lequel la Responsable de la Vie Privée chez Google, Alma Whitten, a encensé YouTube comme un moyen pour les activistes politiques de poster du contenu de manière anonyme. Quelques mois plus tard, une nouvelle décision interne éliminait tranquillement toute possibilité de publier anonymement.

“J’ai toujours été un apôtre et un fidèle de Google. Aujourd’hui c’est terminé.”

Je tiens aussi à mentionner qu’en aucun cas je n’ouvrirai un autre compte Google.

Comme je l’ai déjà dit, j’ai toujours été un apôtre et un fidèle de Google. Aujourd’hui c’est terminé. Je vais en finir avec les Google Apps qu’utilise mon entreprise et laisser tomber tous les autres produits Google que j’utilise, même les services comme Google News que je consultais auparavant plusieurs fois par jour. J’étais même sur le point de remplacer mon iPhone par un téléphone tournant sous Android. Au lieu de cela, je vais dépenser la même énergie que je consacrais à encenser Google à dénoncer cette entreprise que je considère désormais comme extrêmement nuisible et aux pratiques honteuses. Je vais écrire à mon sénateur, vendre mes actions et contacter ma banque à propos de l’argent que j’ai versé pour le domaine et l’espace de stockage qui sont à présent inaccessibles. Je vais faire pression sur Google par tous les biais possibles pour qu’ils m’expliquent ce qu’ils ont perçu comme une violation de leurs Conditions d’Utilisation. Ces conditions que Google nous présente lors de l’ouverture d’un compte : “Google se réserve le droit de clore votre compte à n’importe quel moment, pour n’importe quelle raison, avec ou sans préavis” ne sont pas des termes défendables (pour certains points, je pense qu’un tribunal pourrait conclure que ces termes sont inacceptables).

Google est une entreprise à qui les gens confient de nombreuses données personnelles dont ils dépendent fortement. C’est pourquoi Google doit fournir la preuve de ce qui cause la désactivation d’un compte. Une fois de plus, on ne peut pas prendre l’argent des gens et avoir un monopole sur des pans entiers de l’Internet sans montrer un minimum de responsabilité vis-à-vis de ses clients. J’ose espérer que Google sera forcé de fournir un moyen de récupérer ses données personnelles telles que sa correspondance ou ses contacts lors de la fermeture d’un compte.

Le fait que pour le moment Google n’offre pas cette option lorsqu’il désactive arbitrairement le compte d’un utilisateur ne fait qu’ajouter l’insulte aux dommages causés.

Quand je pense à tout le business que j’ai fait faire à Google, à tout l’argent que j’ai apporté à cette entreprise, à tous les gens que j’ai convertis de Yahoo ou d’Hotmail, à tous les prêches que j’ai faits envers Android, à tout le travail que j’ai consacré à la souscription de mon entreprise à Google Apps, ça me met en rage et je regrette tout ce que j’ai fait. Et je vais faire tout ce qui est humainement possible pour défaire toutes ces actions, ainsi que pour mettre Google sous pression pour qu’elle devienne une entreprise plus responsable.

Honte à vous et à vos associés ainsi qu’à vos employés qui tolèrent de telles pratiques d’entreprise déplorables, déshonorantes et répréhensibles !

Traduction Framalang : Marting, Slystone, Siltaar, Juu, Padoup et Goofy.

Illustrations Cc FlickR: tangi_bertin, gabrielsaldana, psd, dullhunk

Image de Une © Fotolia

La déclaration écrite 29, qu’est-ce que c’est ?

Le texte, dit déclaration 29 (PDF) a été déposé le 19 avril dernier, à l’initiative de Tiziano Motti et d’Anna Zaborska, deux députés européens du PPE (Parti chrétien-démocrate), le groupe le plus important au Parlement.

Il comporte deux points :

- le premier propose la création d’un Système d’Alerte Rapide Européen (SARE), soit un moyen coordonné entre les États membres pour combattre la pédo-pornographie et le harcèlement sexuel.

- le second “invite le Conseil et la Commission à mettre en œuvre la directive 2006/24/CE en l’étendant aux moteurs de recherche pour contrer avec rapidité et efficacité la pédo-pornographie et le harcèlement sexuel en ligne”.

Étendre la conservation des données aux moteurs de recherche

La directive 2006/24/CE à laquelle il est fait référence, concerne la conservation des données. Elle a été adoptée au cours de la législature précédente, après une forte pression du Conseil, et malgré une opposition de la Commission des Libertés civiles. Elle exige que les fournisseurs d’accès Internet (FAI) et opérateurs de téléphone conservent, pendant une période allant de six mois à deux ans, des données permettant notamment d’identifier la source, la destination, la date et la durée d’une communication. Cela concerne uniquement des données techniques. En aucun cas cela porte sur le contenu des communications.

Dans quelles conditions, pour lutter contre la pédo-pornographie, cela pourrait être “étendu” aux moteurs de recherche ? La déclaration 29 est plus qu’imprécise. Elle n’indique ni la nature, ni les conditions de conservation de ces données. Contactés par nos soins, les auteurs de la déclaration, Tiziano Motti et Anna Zaborska, n’ont pas donné suite.

Quelles sont les conséquences d’une telle déclaration ?

Une déclaration écrite n”a pas d’effet législatif direct. Mais, quand elle est adoptée, elle indique la position officielle du Parlement européen sur le sujet. Elle est un signal important envers la Commission.

Or, d’ici septembre, la commissaire aux Affaires Intérieures, Cécilia Malmström, doit justement évaluer la façon dont la directive sur la conservation des données a été transposée. Cela pourrait être suivi d’une révision du texte avant fin 2010. À noter que Cécilia Malmström est également l’auteur de la proposition de directive “relative à l’exploitation et aux abus sexuels concernant des enfants et à la pédo-pornographie”, qui vise notamment à instaurer un filtrage des contenus au niveau des FAI.

Si la déclaration 29 requiert le nombre suffisant de signatures, la Commission pourra en tenir compte dans son évaluation. Pour être adoptée, une déclaration écrite doit être signée par la moitié des membres inscrits, soit 369 signatures. À ce jour, la déclaration en a recueilli 324. Il est donc très vraisemblable qu’elle soit bientôt adoptée. À moins qu’il y ait un vaste mouvement de retrait.

“Malhonnête intellectuellement”

Le fait d’étendre la directive sur la rétention des données aux moteurs de recherche est totalement occulté dans les différents supports utilisés pour inciter les eurodéputés à apposer leur signature à la déclaration 29. La communication est uniquement basée sur la création du Système d’Alerte (SARE), ce à quoi beaucoup d’eurodéputés adhèrent.

En effet, ceci n’est pas mentionné dans le texte de présentation de la déclaration (PDF), disponible sur un site Internet dédié et curieusement intitulé “smile29″. Il ne l’est pas plus ni sur les plaquettes distribuées au sein du Parlement européen, ni dans les mails envoyés aux eurodéputés.
“Ce point sur l’extension de la rétention des données n’est indiquée nulle part sur les prospectus distribués à l’ensemble des députés et sur le site smile29, ce qui est malhonnête intellectuellement”
nous indique l’euro-députée Françoise Castex (S&D) qui, depuis, a retiré son nom de la liste des signataires.

De plus, dans le texte même de la déclaration (PDF), le nom de la directive n’apparaît pas ; elle est simplement référencée par son numéro (“directive 2006/24/CE”), sans préciser ou rappeler de quoi il s’agit.

“Nouvelle brique à la société de surveillance”

La semaine dernière, le sujet a fait du bruit en Suède. Alertés sur la teneur réelle de la déclaration 29, des euro-députés ont réagi publiquement.

“Cette proposition ajoute une nouvelle brique à la société de surveillance, écrit Christian Engström, du Parti Pirate, sur son blog. Si cette déclaration est adoptée, Mme Malmstrom va rajouter de l’essence sur le feu. Elle pourra poursuivre sa croisade contre un Internet libre et ouvert sous la bannière de la pornographie enfantine.”

Avec Lena Ek (ADLE), il a adressé une question écrite à la Commission à ce sujet.“L’UE n’a pas le droit de fouiner dans ce que les gens recherchent en ligne. Le droit à la vie privée est la pierre angulaire d’une société libre”indique Lena Ek dans un communiqué de presse.

Parallèlement, des eurodéputés ont annoncé le retrait de leur signature, et exhorté leurs collègues à faire de même. Ainsi, Cecilia Wikstrom (ADLE) a envoyé un mail expliquant comment elle avait été induite en erreur. Elle dit avoir retiré sa signature et invite ses collègues à la suivre. “Cecilia Wikstrom est un exemple clair de la façon dont les députés ont été trompés. Quand elle a été contactée à ce sujet, elle a expliqué ne pas avoir eu connaissance d’avoir fait quelque chose destiné à renforcer la directive sur la conservation de données, et a immédiatement retiré sa signature” explique le bloggeur suédois Marcin de Kaminski.

Selon le site DN, neuf eurodéputés suédois auraient déjà fait marche arrière. Et le mouvement a commencé à se rependre au sein du Parlement européen. Dans un mail intitulé “Warning about written declaration on paedophiles (no 29)” que nous nous sommes procurés, l’allemand Alexander Alvaro (FDP) soutient l’appel de Cecilia Wikstrom, et appelle, à son tour ceux qui auraient signé la déclaration “sans avoir connaissance du problème mentionné” à retirer leur signature.

“Le fait d’accéder, en connaissance de cause”

Comme dit plus haut, la commissaire Cécilia Malmström, en charge de la directive sur la conservation des données, est également l’auteur de la proposition de directive (PDF) pour lutter contre la pédo-pornographie. Outre l’article 21 visant au filtrage de contenus sur Internet, un autre article, le 5, dit : “Le fait d’accéder, en connaissance de cause et par le biais des technologies de l’information et de la communication, à de la pédo-pornographie est passible d’une peine privative de liberté maximale d’au moins un an.”

Reste à comprendre le sens et la portée de : “le fait d’accéder en connaissance de cause”. Nous avons posé la question au bureau de Cécilia Malmström qui n’a pas donné suite. Selon Cédric Manara, professeur de droit à l’EDHEC : “cela a pour objet de viser celui qui cherche des contenus sensibles, pas celui qui tomberait dessus par hasard”.

Au regard de la déclaration 29, on peut donc se demander si cela pourrait concerner la saisie de mots-clés explicites dans un moteur de recherche.

L’atteinte aux droits fondamentaux au nom de la pédo-pornographie

Si l’objectif est bien la conservation des mots-clés, cela porterait directement atteinte aux libertés fondamentales des internautes. Tout comme le filtrage prévu par la directive, et sur lequel le Contrôleur européen de la protection des données (CEPD) a émis un avis très critique quand à son impact “sur les droits fondamentaux à la vie privée et à la protection des données” (lire article).

Cependant nous explique Cédric Manara : ” les libertés fondamentales peuvent faire l’objet d’exceptions pour la protection de valeurs supérieures, par exemple pour protéger l’ordre public. Dans ce cadre, la lutte contre la pédo-pornographie peut ainsi justifier certaines mesures restrictives de libertés fondamentales.” Et de poursuivre : “le problème est que, depuis plusieurs années, on met toujours en avant la lutte contre la pédo-pornographie pour montrer que certaines pratiques sont possibles afin de chercher ensuite à les étendre tous azimuts”. Selon lui : “on cherche à provoquer des mesures de filtrage ou de blocage pour des raisons exceptionnelles et impérieuses (en mettant en avant la protection des enfants et des valeurs fondamentales), et un jour venu on dit : ça existe pour ces contenus-ci, on doit donc pouvoir les étendre à ces contenus-là”.

Instrumentalisation et glissement

Ce glissement, sous couvert d’assimilation et d’instrumentalisation, n’est plus à démontrer. Par exemple, en 2008, Jérôme Roger, représentant de la Société Civile des Producteurs de Phonogrammes en France, expliquait à PC Inpact:“les solutions de filtrage qui pourraient être déployées à cette occasion [lutte contre la pédo-pornographie, ndlr] devraient faire l’objet d’une réflexion à l’égard des contenus, dans le cadre de la propriété intellectuelle”.
Plus récemment, dans les colonnes du New York Times, Bono (U2) lançait : “Nous savons par le noble effort de l’Amérique pour stopper la pédo-pornographie, sans parler de l’effort ignoble de la Chine pour réprimer la dissidence en ligne, qu’il est parfaitement possible de suivre le contenu”, mettant au même niveau le combat contre la pédo-pornographie, la censure chinoise et le droit d’auteur.

Pour Jérémie Zimmermann, porte-parole de la Quadrature du Net : “Qu’il s’agisse de “protection” des artistes ou de l’enfance, la ficelle est la même : instrumentaliser un argument émotionnel fort pour justifier d’aller vers toujours plus de contrôle du réseau et des communications entre individus. Hadopi, Loppsi, ACTA, rapport Gallo, etc., c’est une seule et même offensive contre un Internet ouvert et libre.”
Sur le même sujet :
- Loppsi : Le Sénat opte pour un filtrage sans juge
- L’autorité européenne de protection des données critique le filtrage

—

Image CC Flickr Laughing Squid

À lire aussi : Une association de victimes de pédocriminels s’élève contre le blocage des sites ; La pédopornographie au secours des majors

Après voir rappelé qu’il ne remet pas en cause la nécessité de mettre en place “des mesures adéquates pour protéger les enfants contre de tels abus”, il émet de vives critiques sur le projet de filtrer des sites Internet. Notamment sur son impact “sur les droits fondamentaux à la vie privée et à la protection des données”. Tout en soulignant que cette position n’est pas spécifique à la lutte contre la pornographie enfantine en ligne, “mais à toute initiative visant à la collaboration du secteur privé à des fins de répression”.

Le blocage des sites Internet selon la directive

Pour rappel, la proposition de directive, de la commissaire européenne Cecilia Malmström (Affaires Intérieures), prévoit le “blocage de l’accès aux sites internet contenant de la pédo-pornographie”.

L’article 21 impose ainsi aux États membres de prendre “les mesures nécessaires pour obtenir le blocage de l’accès par les internautes sur leur territoire aux pages Internet contenant ou diffusant de la pédo-pornographie”. De manière assez floue, il indique que “des garanties appropriées sont prévues, notamment pour faire en sorte que le blocage de l’accès soit limité au strict nécessaire”.

Pour mettre en place le blocage, il propose deux mécanismes: un système placé sous l’ordre d’autorités judiciaires ou policières compétentes ou bien des actions de la part des fournisseurs d’accès Internet (FAI) sur une base volontaire de code de bonne conduite et de lignes directrices.

Autorité judiciaire ou policière a minima

La critique du contrôleur est sévère. A l’examen de ce texte, il s’interroge sur les critères et conditions conduisant à une décision de blocage. Il indique que : “s’il peut soutenir des actions menées par la police ou les autorités judiciaires dans un cadre juridique bien défini, il a de sérieux doutes quant à la sécurité juridique de tout blocage opéré par le secteur privé”.En clair : le blocage des sites peut être envisagé sous le contrôle d’une autorité judiciaire ou policière. Pas sous celui des FAI ou d’une seule autorité indépendante.

A noter qu’en France, dans le cadre de la Loppsi, les députés ont adopté en janvier dernier un amendement du député UMP Lionel Tardy qui impose l’intervention du juge à la notification par l’autorité administrative aux FAI de la liste noire des sites à bloquer. Mais il y a quelques jours, en Commission des Lois du Sénat, le sénateur et rapporteur UMP Jean-Patrick Courtois a déposé un amendement visant à supprimer l’accord préalable du juge.

Conséquences sur la protection des données à caractère personnel

Le CEPD se dit aussi préoccupé par la surveillance des réseaux. “La surveillance et le blocage peuvent impliquer différentes activités telles que scruter Internet, identifier les sites illicites ou suspects et bloquer l’accès aux utilisateurs finaux, mais aussi la surveillance du comportement en ligne des utilisateurs finaux qui tentent d’accéder ou de télécharger de tels contenus”.Et, selon le contrôleur, si chacune de ces pratiques implique la mise en place d’outils au degré d’intrusion différent, toutes ont “des conséquences sur la protection des données, comme les données à caractère personnel”. Et ceci vis-à-vis de toutes les parties concernées : les victimes, les témoins, les utilisateurs comme les fournisseurs de contenu.

Aussi, pour lui, cela pose la question de la légalité et de la compatibilité du traitement et de l’utilisation des données à caractère personnel en vertu des articles 6.1.b et 7 de la directive sur la protection des données. Selon le premier, les données à caractère personnel “doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités”.

Le second liste les seuls cas où le traitement de ces données est autorisé. Par exemple s’il est nécessaire à l’exécution d’une mission d’intérêt public ou au respect d’une obligation légale à laquelle le responsable du traitement est soumis.

Une même position quelque soit le contexte

A de nombreuses reprises, le CEPD rappelle avoir déjà émis dans de précédents avis des préoccupations similaires concernant le blocage et la surveillance des individus par les acteurs du secteur privé. Par exemple, par les FAI ou les titulaires de droits d’auteur.“Les questions de protection des données ont déjà été analysés par le CEPD dans différents contextes, en particulier celles liées à la lutte contre les contenus illicites” Et de citer un document de travail du Groupe 29 datant de 2005 sur les questions de protection des données liées aux droits de propriété intellectuelle. Un autre du 23 juin 2008 (PDF) sur la proposition d’un programme visant à la protection des enfants utilisant Internet et les autres technologies de communication. Et enfin celui du 22 février 2010relatif aux négociations de l’ACTA.

Concernant ce dernier, le contrôleur indique : “s’il ne fait pas de doute que la propriété intellectuelle est importante pour la société et doit être protégée, elle ne doit cependant pas être placée au-dessus du droit fondamental à la vie privée et à la protection des données.”

Sur le même sujet :
- Loppsi : Le Sénat opte pour un filtrage sans juge
– Filtrage : Instrumentalisation de la pédo-pornographie en Europe

La saga de notre chère Hadopi n’en finit plus de ne plus finir de rebondir avant, peut-être, rêvons-en en cette trêve des confiseurs, de finir de rebondir pour chuter. Nous savons que nous allons recevoir nos premiers emails en avril prochain, si tant est que l’usine à gaz réussisse à trouver son mode de fonctionnement… mais c’est sans compter sur la CNIL qui apporte pas mal d’objections à cette Haute Autorité en cette période bénie…

Il était une fois un simple décret d’application non commenté par la Commission Nationale de l’Informatique et des Libertés. Les excès de confiance gouvernementaux laissaient d’ailleurs totalement pantois les observateurs de la vie politique et people. L’objet de ce  décret se montrait en effet délicat : la protection des données personnelles. La CNIL,  à l’orée des fêtes de Noël 2009, décida de ne point donner d’avis sur un texte dont elle n’avait pas a priori eu connaissance. Et tout le monde le sait sur les terres de Politique : pas d’avis de la CNIL revient à bloquer la procédure de la vilaine Hadopi… La résistance de la Commission faisait plaisir à voir concernant cette loi liberticide contre laquelle l’Owni, la Quadrature du net et maints autres blogueurs, ont lutté ardemment.

Sortons du conte… La riposte graduée tant désirée par les pourfendeurs du Net en deviendrait presque comique si elle ne touchait aux fondements même des libertés de chaque internaute, au-delà, de chaque citoyen. La mise en application de cette potentielle loi s’avère elle-même graduée ! Par petites étapes. Accroupie dans l’ombre d’une presse qui, le vote passé, s’en est désintéressé. Nous sommes encore loin des 3000 lettres envoyées quotidiennement, des 1000 demandes de suspension d’accès que Dame Albanel avait en octobre 2008 requis lors des auditions de la commission qui devait donner le jour à Hadopi !

Les forceps auront été nécessaires pour aboutir à une querelle de procédure comme cela avait été le cas pour Hadopi 1, jugée anticonstitutionnelle. La Tribune révèle en effet que le décret concernant la protection des données personnelles n’ayant pas à ce jour l’aval légal de la CNIL, nulle application hadopienne n’est envisageable. Belle surprise ! La CNIL a demandé à ce que le texte (le décret « procédure ») lui soit transmis pour rendre son avis à partir de janvier prochain… Et il ne s’agit pas d’un deus ex machina… les troupes prézydentielles avait déjà été prévenues : “la CNIL devra être saisie pour avis du décret d’application relatif aux modalités de mise en œuvre par l’Hadopi des traitements de données personnelles des internautes faisant l’objet de mesures de suspension. Elle exercera son contrôle sur l’ensemble de ces traitements, conformément à ses missions“.

Dans ce contexte relativement délétère politiquement, contexte dont les citoyens ne sont que peu informés, les tensions électorales vont alors entrer en ligne de compte, et cette bataille procédurière pourrait éventuellement s’inviter dans le “débat”… Les régionales avancent à grands pas, les isoloirs rendront leur verdict et de façon quasiment concomitante la CNIL donnera son avis, sachant qu’elle dispose de deux mois pour se prononcer dès lors qu’elle aura le texte controversé entre les mains. Cependant, contrairement à ce que nous disions plus haut, cela pourrait bien arranger une grande majorité des partis politiques de n’avoir pas très clairement à se prononcer pour ou contre ce texte ou même d’avoir à en débattre derechef avant les élections…. L’avis de la CNIL sera donc probablement commenté par les formations politiques au lendemain du scrutin… Si tant est qu’elles en disent quelque chose… de pertinent. On aimerait presque avoir à nouveau l’avis de Sieur Lefebvre, tant celui-ci est prometteur.

Les pirates sont encore à l’abri quelques temps…dans les criques bercées de doux sons et films téléchargés. Les droits des journalistes sont encore a minima garantis… Attendons avril pour voir, au printemps, fleurir dans nos boîtes mails les premiers avertissements, les lettres recommandées par la feue ministre Dame Albanel et voulues à l’identique par Fred Mitterrand. /-)