CAIRN.INFO : Matières à réflexion

16 juin 2013. Glenn Greenwald et un certain nombre de journalistes de presse du monde occidental commencent à publier des extraits de documents top secret révélant le programme de surveillance systématique des réseaux mis en œuvre par la National Security Agency (NSA), principale agence de renseignement américaine. À l’origine de ces fuites se trouve un jeune informaticien travaillant pour Booz Allen Hamilton, prestataire de service extérieur pour la NSA : Edward Snowden. « Je crois qu’en ce moment historique, le plus grand danger pour nos libertés et notre mode de vie dérive des pouvoirs omniscients des États, et du fait qu’ils ne soient contraints que par des documents politiques », déclare-t-il quelques jours plus tard (Gellman, 2013).

2Cet article se propose de donner un aperçu des différents enjeux et débats qui font que l’on peut – aujourd’hui et depuis juin 2013 – qualifier Edward Snowden d’« homme-controverse » sur les questions de surveillance et de vie privée sur les réseaux. À la fois révélateur de pratiques à la légalité pour le moins douteuse et catalyseur de l’indignation citoyenne, Snowden a été capable de mobiliser de nombreux publics sur des enjeux en apparence techniques, et de provoquer une redéfinition à la fois de ce qui constitue un « lanceur d’alerte » et d’une « menace à la sécurité nationale ». Presque deux ans après ses premières révélations, et alors que se joue en France la partie délicate autour du projet de loi sur le renseignement, il ne semble pas exagéré de dire que Snowden a ouvert une nouvelle ère de controverse autour des questions de vie privée et de surveillance à l’âge du numérique. Il a notamment dévoilé à quel point ces questions sont étroitement liées non seulement au droit national et international, mais aussi aux choix de conception et de développement de l’architecture technique sur laquelle reposent nos services Internet, et à la gestion, de la part du secteur privé, des infrastructures qui les sous-tendent (DeNardis, 2012). Il a montré à quel point ces questions, jusque-là restées relativement aux marges de la théorie et de la pratique d’une gouvernance d’Internet fortement institutionnalisée, demandent, aujourd’hui plus que jamais, l’attention de la société civile organisée et des « simples » citoyens. Et il leur a fourni, au passage, des nouveaux leviers de mobilisation basés sur l’information (Milan, 2014).

Révélateur des « liaisons dangereuses » de l’Internet

3Quand Snowden fait éclater au grand jour, documents top secret à la main, le modus operandi de l’agence de renseignement américaine, l’une de ces révélations en particulier suscite l’indignation. La NSA serait en train d’intercepter discrètement les connexions entre les puissants centres de données appartenant à Google et Yahoo !, permettant à l’agence de renseignements de collecter les données personnelles des utilisateurs alors qu’elles circulent sur les réseaux de ces entreprises. En réponse, les ingénieurs de Google réagissent en promettant le chiffrement de ces connexions afin d’éviter « par la technique » toute intrusion future ; Yahoo ! fait une déclaration similaire. Les hauts dirigeants de Microsoft font quant à eux savoir non seulement qu’ils mettront en œuvre des mesures de sécurité semblables, mais qu’ils sont sur le point d’ouvrir des « centres de transparence » qui passeront au crible la plus grande partie du code source de leurs logiciels, à la recherche de back doors installés à leur insu par des agents liés au gouvernement. Sur le site reformgovernmentsurveillance.com, huit acteurs majeurs de l’industrie des technologies de l’information américaine – d’habitude en compétition farouche les uns avec les autres – s’unissent pour demander un renforcement de la transparence des activités gouvernementales et une modernisation des lois relatives à la surveillance.

4Les déclarations enflammées de Mark Zuckerberg ou de Marissa Mayer [1], plaidant leur engagement en faveur de la vie privée et une plus grande transparence, ne suffisent cependant pas à restaurer la confiance des utilisateurs/citoyens envers les géants américains du cloud. Cette confiance est ultérieurement mise à l’épreuve lorsque des nouvelles révélations s’accumulent, explorant les « liaisons dangereuses » (et formelles) entre nombre d’entreprises du secteur des technologies de l’information et la NSA ; la surveillance massive de contenus qui se passe sur le territoire américain et à ses frontières, avec d’importantes implications pour la surveillance internationale [2] ; les tentatives délibérées de la part du service de renseignement américain d’affaiblir dès leur naissance les standards cryptographiques. En novembre 2013, le New York Times publie un document qui liste spécifiquement, parmi les missions de la NSA, celle d’« influencer le marché mondial des technologies d’encryptage » au moyen de relations commerciales avec des entreprises qui développent et implémentent des produits de sécurité informatique (Risen et Poitras, 2013).

Catalyseur d’une réaction européenne ?

5Si le processus de révision de la jurisprudence européenne en matière de vie privée n’a sans doute pas commencé avec l’affaire Snowden, celui-ci a joué un rôle important dans la mise au premier plan, notamment en Europe, de la thématique privacy by design, ou « protection de la vie privée dès la conception », principe techno-juridique selon lequel toute technologie exploitant des données personnelles doit intégrer la protection de la vie privée dès sa conception et s’y conformer tout au long de son cycle de vie (Cavoukian, 2010). Face non seulement aux révélations d’une surveillance généralisée, mais aussi à la possibilité que celle-ci soit menée en coopération au moins partielle entre le gouvernement américain et les géants de l’Internet – très fortement perçus, à leur tour, comme « américains » –, l’Europe connaît une forte mobilisation pour soutenir une position européenne forte en matière de protection de la vie privée (Musiani, 2015).

6En particulier, l’argument selon lequel les Européens « ne sont pas maîtres de leurs données », qui revient régulièrement dans les médias depuis la création en 1995 de la Directive européenne 95/46/EC sur la protection des données personnelles, présente de nouvelles dimensions. Des discussions aussi sensibles que décisives s’engagent entre l’Union européenne (UE) et les États-Unis sur le « safe harbour », l’accord qui régit les transferts de données personnelles vers les entreprises américaines qui y adhèrent, ainsi que sur le « umbrella agreement » qui concerne les droits des citoyens européens lors de la transmission de données dans le cadre de procédures judiciaires. La question de l’échange des données se pose également dans le cadre du Partenariat transatlantique de commerce et d’investissement (Transatlantic Trade and Investment Partnership, TTIP), l’accord commercial en cours de négociation entre l’Union européenne et les États-Unis, qui vise à éliminer les barrières commerciales dans de nombreux secteurs économiques afin de faciliter l’achat et la vente de biens et de services entre l’UE et les États-Unis [3].

7Après neuf mois d’enquête sur l’affaire Snowden, le Parlement européen demande quant à lui l’accélération de la négociation sur la protection des données, la suspension de la décision safe harbour ainsi que de l’accord Terrorist Finance Tracking Program (TFTP, échange de données financières en matière de lutte contre le terrorisme). La résolution du Parlement en relation avec ces enjeux appelle, notamment, à la création d’un « habeas corpus numérique » [4]. Et bien sûr, les retombées des révélations de Snowden impactent les négociations sur le projet de Règlement de protection des données en Europe [5]. Ce texte, qui devrait remplacer la Directive sur la protection des données 95/46/EC, est explicitement reconnu par l’Europe comme une nécessité face aux « défis de la mondialisation et des nouvelles technologies » [6] et, depuis Snowden, se lie étroitement à la controverse autour de la « souveraineté numérique » européenne (Halpin, 2008).

8Un des nœuds du débat concerne la promotion, de la part de l’Europe, de stratégies de protection de la vie privée qui soient « vraiment » alternatives. Face à la domination des clouds centralisés, dont les fermes de serveurs sont très souvent hébergées sur le territoire américain, certains acteurs mettent en avant le souhait que l’« indépendance technologique » de l’Europe, envisagée comme partie intégrante de son habeas corpus numérique (Hunt, 2014), comporte des solutions P2P et décentralisées, plutôt que de considérer comme alternative la promotion… du cloud centralisé européen.

9Pourtant, à l’heure actuelle et dans le cadre des solutions traditionnelles, qui prévoient l’hébergement des données personnelles sur des serveurs appartenant aux entreprises, la question centrale pour la protection des données est de savoir où est localisé le serveur. Dans ce scénario, promouvoir une « alternative européenne » consiste à contraindre les géants du Net à localiser leurs serveurs là où ils collectent les données, ou alors à favoriser des hébergeurs européens – en faisant au passage l’hypothèse que les services de renseignement européens seraient plus respectueux de la vie privée que leurs homologues américains, chose qui, comme on l’a vu, est tout sauf certaine. Dans le cas de l’adoption de solutions P2P, les fermes de serveurs disparaîtraient ou se verraient fortement redimensionnées : la localisation des serveurs cesserait d’être le nœud central de la controverse.

Un moteur de controverses techniques, économiques, politiques et juridiques

10Dans ce contexte, Snowden a, par ses révélations, un puissant effet de « moteur » de controverse : celles-ci montrent à quel point les pratiques de surveillance généralisée des réseaux mises en œuvre par les agences de renseignement portent en elles des implications significatives pour les libertés civiques à l’ère du numérique – mais n’ont pas ou presque pas été discutées publiquement jusqu’alors, ou fait l’objet de recherches de consensus (Brevini, Hintz et McCurdy, 2013). Aux États-Unis, nombre de voix se lèvent pour affirmer qu’une stratégie qui impacte le public et le droit à la vie privée des individus de manière aussi significative mérite une discussion publique détaillée et prolongée ; le Congrès, le public et une grande partie des médias déplorent son absence. Celle-ci semble, par ailleurs, faire partie de la stratégie même des agences de renseignement (Laprise, 2015).

11Une autre couche de débats est constituée par la dialectique entre les dimensions nationale (états-unienne) et internationale des actions de Snowden. En effet, si les problèmes domestiques de l’approche de surveillance généralisée portent sur des questions de transparence et d’accountability dans une société démocratique, et sur la relation entre les citoyens et leur gouvernement, les controverses posées par Snowden à l’échelle internationale sont nombreuses et indirectes.

12Le public international montre notamment sa profonde préoccupation pour les implications des pratiques de la NSA vis-à-vis de la gouvernance de l’Internet dans son ensemble, et le rôle de facto prééminent que les États-Unis occupent dans ce domaine. En effet, de par les valeurs que sous-tend leur Constitution, solidement ancrées et soutenues jusqu’au paradoxe, les États-Unis se sont érigés de façon continuelle et indéfectible en champion de la liberté d’expression, de la libre association et de la liberté d’accès au cours de toute l’histoire de l’Internet (Abbate, 1999). La tension entre cette posture et les problèmes de vie privée liés à la surveillance généralisée laissent la communauté internationale de l’activisme pour les libertés numériques avec un sentiment de confusion et de trahison : comment le Département d’État américain peut-il contribuer au financement de nombre d’outils d’anonymisation des communications en réseau pour les activistes à travers le monde [7], et dans le même temps, avec la NSA, chercher à désanonymiser ces mêmes individus ou d’autres qui, dans d’autres pays et cultures, ont des objectifs semblables ou assimilables ? Les activités diplomatiques des États-Unis dans leur ensemble, et notamment leur légitimité de fondateur et principal « gestionnaire » de l’Internet, se voient sérieusement endommagées.

13Les mobilisations des publics se traduisent également en des mobilisations de marché(s), à l’échelle nationale américaine aussi bien qu’internationale. Comme on l’a vu, les géants du Web tels que Google, Yahoo ! et Microsoft expriment leur indignation face aux activités du renseignement américain et rendent explicite dans les stratégies d’entreprise leur manque de confiance, commençant à adopter et mettre en œuvre des standards de chiffrement en local. Les entreprises du secteur des technologies de l’information américaines s’aperçoivent bientôt, quant à elles, que nombre d’acheteurs étrangers sont moins intéressés par leurs produits, craignant que ceux-ci soient « compromis by design » ; entre-temps, elles se trouvent à déployer une quantité croissante de ressources destinées à garder un œil critique sur leurs propres employés et prestataires, quitte à ce que les plus talentueux d’entre eux ne deviennent la prochaine « menace interne ». Les révélations de Snowden remettent également en discussion les relations du gouvernement américain avec la communauté hacker mondiale, en causant notamment de nombreuses défections à des conférences internationales telles que DEF CON [8] ; les experts techniques qui ont rendu possibles les programmes de surveillance posent un regard renouvelé sur leurs propres activités et sur l’ethos de leurs employeurs.

Un symbole de l’engagement « individuel » pour les libertés numériques ?

14L’impact économique indirect des révélations de Snowden, bien que secondaire dans le traitement médiatique de la controverse par rapport à la tension privacy/ surveillance, est donc une question de premier plan. Mais surtout, Snowden en vient à incarner fortement – de manière très « individualisée » autour de sa personne de lanceur d’alerte en fuite, mais en même temps très collective – la nécessité de rendre la surveillance des réseaux un enjeu « public », à la fois inscrite dans des dispositifs techniques complexes (et invisibles) et strictement reliée aux libertés civiles et politiques. À l’heure où la tension privacy/surveillance en réseau se matérialise avec force dans la vie des citoyens – et qu’elle fait prendre conscience aux citoyens de l’étendue de leur « impuissance collective » – Snowden en vient à représenter, paradoxalement, le pouvoir de revendication et l’autonomie de l’individu dont les libertés sont menacées.

15L’initiative de Snowden donne une forte dimension « pratique », controversée en termes d’espace public et de légitimité politique, aux débats techniques et juridiques de long cours sur les fondements épistémologiques et philosophiques du droit à la vie privée. Même au sein des sociétés occidentales, ce droit est en effet selon les cas associé à une kyrielle de significations et de valeurs (Le Métayer, 2013), qui incluent : la liberté de ne pas être surveillé dans certaines conditions spatiales ou matérielles, par exemple chez soi ; l’attente légitime qu’une communication entre individus qui satisfait certains critères soit limitée à ces individus ; la capacité à s’exprimer de façon anonyme ; et, plus récemment, le droit à l’oubli (Weber, 2011). Ce réseau de significations est à son tour contraint et interprété au moyen de plusieurs prismes sociétaux, économiques et techniques. Au cours des vingt dernières années – qui ont été par ailleurs les années de l’Internet commercial –, ces prismes ont évolué sous l’empreinte de dynamiques telles que la fin de la guerre froide, la montée en puissance de la mondialisation, la naissance et le développement du World Wide Web, l’impact de la loi de Moore [9] et une explosion sans précédent de l’innovation dans le domaine des technologies de l’information et de la communication. Le processus de création du droit, ainsi que la diplomatie, n’ont pas suivi le même rythme soutenu (Delmas-Marty, 2012).

16L’affaire Snowden, tout comme la plupart des controverses au croisement des technologies de l’information et de la communication, des données personnelles et de leur tutelle juridique, est à cet égard l’illustration du décalage important entre le monde reconnu par le droit et le monde des développements et détournements techniques qu’il cherche à réguler. D’un côté, les agences de renseignement jouent sur ce décalage à plusieurs égards : ce que le droit n’empêche pas, ou plus, de façon explicite est entendu comme permis ; là où le langage des dispositions juridiques est ambigu ou obsolète, il est interprété au sens le plus large ; là où les élus cherchent souvent des réponses simples à des questions complexes, les agences de renseignement proposent des réponses ambivalentes qui ont pour priorité la protection de l’efficacité de leurs méthodes.

17De l’autre côté, les citoyens du monde voient s’incarner en Snowden et ses documents secrets l’explicitation de ce décalage, la fragilité des standards de protection de la vie privée dont ils se croyaient bénéficiaires (au moins dans certains États démocratiques) et le manque de confiance qui doit désormais être le leur, non seulement envers un gouvernement étranger qui s’érige par ailleurs en défenseur des libertés universelles, mais envers leurs propres gouvernements qui ont été au mieux observateurs passifs, au pire participants actifs de ses activités de surveillance. Les mérites et les désavantages de l’implémentation d’un système qui viole, by design et de façon généralisée, le droit à la vie privée des individus n’ont pas fait l’objet de débats publics, ni n’ont été discutés par les représentants des citoyens dans les arènes appropriées : c’est cet enjeu intimement politique, de transparence et d’accountability, que Snowden met en relief au-delà des « faits de surveillance » en eux-mêmes.

« Ouvrir la boîte noire » ?

18Depuis deux ans, les sociétés occidentales font les comptes avec les révélations de l’« homme-controverse » qu’a été, et que reste à ce jour, Edward Snowden. Pour les chercheurs et les praticiens de la gouvernance d’Internet, celles-ci ont une conséquence « épistémologique » à long terme. Elles montrent comment la gouvernance d’Internet se construit également, et peut-être principalement, au fil des dispositifs et des pratiques qui façonnent le réseau des réseaux au quotidien (Musiani, Cogburn, DeNardis et Levinson, 2015).

19L’omniprésence discrète de l’Internet d’aujourd’hui est faite de protections et d’atteintes by design aux droits des utilisateurs, de la formation de nouveaux collectifs, de marchés en construction ; elle se traduit notamment par la création de nouveaux instruments techno-juridiques pouvant assurer (ou entraver) la protection des libertés individuelles, et garantir l’existence ainsi que le progrès des arènes démocratiques. La sociologie des techniques et de l’innovation peut à cet égard fournir des clés de lecture de la gouvernance qui s’accompagnent à celles des sciences politiques et juridiques.

20Le vocabulaire de la sociologie des techniques et l’actualité de l’Internet et de sa gouvernance n’ont d’ailleurs jamais été aussi proches, alors que, dans le cadre des discussions sur le projet de loi controversé sur le renseignement en France, médias et députés s’interrogent sur les « boîtes noires » qui vont bientôt être placées à des endroits stratégiques du réseau des réseaux afin de déjouer la menace terroriste. Que sont-elles ? Qu’est-ce qui y sera programmé ? Quelles « petites mains de la société de l’information » (Denis et Pontille, 2012) en assureront le fonctionnement, en préviendront les abus, en décrypteront les faux positifs [10] ? « Ouvrir les boîtes noires » semble être l’un des grands défis à court terme de l’étude et de la pratique de la gouvernance d’Internet, et peu d’acteurs ont su le montrer dans un passé récent comme Edward Snowden l’a fait.

Notes

  • [1]
    Hauts dirigeants, respectivement, de Facebook et de Yahoo !
  • [2]
    Les méthodes de surveillance révélés par Snowden incluent, entre autres, une requête de données massives sur les pratiques téléphoniques des Américains, faite par la NSA à l’opérateur Verizon ; l’implémentation du logiciel XKeyScore, un outil de localisation basé sur les adresses email ; la localisation de millions de téléphones portables ; le programme MUSCULAR de mise sur écoute des câbles Internet sous-marins.
  • [3]
  • [4]
  • [5]
    Voir : <ec.europa.eu/justice/data-protection/index_fr.htm>, consulté le 30/07/2015.
  • [6]
    Ibid.
  • [7]
    Par exemple, Tor (<www.torproject.org/>).
  • [8]
    Voir <defcon.org>.
  • [9]
    La loi de Moore (qui relève en fait de la conjecture ou de la supposition/prévision) concerne l’évolution de la puissance/ complexité du matériel informatique. En 1965, Gordon Moore d’Intel constate que la complexité des semi-conducteurs dans les ordinateurs doublait tous les ans à coût constant depuis 1959, date de leur invention ; il postule donc la poursuite de cette croissance dans la même lignée. Cette prévision a été réajustée par la suite.
  • [10]
    Un faux positif est une erreur de jugement d’un programme de détection ; plus précisément, un résultat d’une prise de décision (par exemple ici d’un algorithme de classification automatique) suite à un choix de deux possibilités (positif et négatif), déclaré positif, là où il est en réalité négatif.
Français

Cet article donne un aperçu des différents enjeux et débats qui contribuent, depuis juin 2013, à qualifier Edward Snowden d’« homme-controverse » des questions de surveillance et vie privée sur les réseaux. À la fois révélateur de pratiques à la légalité pour le moins douteuse et catalyseur de l’indignation citoyenne, Snowden a été capable de mobiliser des publics entiers sur des enjeux en apparence technique, et de remettre en discussion des notions telles que « lanceur d’alerte » et « sécurité nationale ».

Mots-clés

  • surveillance
  • vie privée
  • réseaux
  • Snowden
  • controverse

Références bibliographiques

  • Abbate, J., Inventing the Internet, Cambridge, MA, The MIT Press, 1999.
  • Brevini, B., Hintz, A. et McCurdy, P. (dir.), Beyond WikiLeaks. Implications for the Future of Communication, Journalism and Society, Basingstoke, Palgrave Macmillan, 2013.
  • Cavoukian, A. (dir.), dossier « Privacy by Design : The Next Generation in the Evolution of Privacy », Identity in the Information Society, vol. 3, n° 2, 2010.
  • En ligneDelmas-Marty, M., « The Internet : Disrupting, Revealing and Producing Rules », in Massit-Folléa, F., Méadel, C. et Monnoyer-Smith, L. (dir.), Normative Experience in Internet Politics, Paris, Presses des Mines, 2012, p. 13-20.
  • En ligneDeNardis, L., « Hidden Levers of Internet Control : An Infrastructure-Based Theory of Internet Governance », Information, Communication and Society, vol. 15, n° 5, 2012, p. 720-738.
  • Denis, J. et Pontille, D. (dir), dossier « Les petites mains de la société de l’information », Revue d’anthropologie des connaissances, vol. 6, n° 1, 2012.
  • Gellman, B., « Code Name “Verax” », Washington Post, 13 juin 2013. En ligne sur : <www.washingtonpost.com/world/national-security/code-name-verax-snowden-in-exchanges-with-post-reporter-made-clear-he-knew-risks/2013/06/09/c9a25b54-d14c-11e2-9f1a-1a7cdee20287_print.html>, consulté le 31/07/2015.
  • En ligneHalpin, H., « La souveraineté numérique : l’aristocratie immatérielle du World Wide Web », Multitudes, vol. 35, n° 4, 2008, p. 201-213
  • Hunt, P., « A Digital Habeas Corpus for Europe ? », Shoeman.eu [en ligne], 17 jan. 2014. En ligne sur : <www.shoeman.eu/ep-digital-habeas-corpus-european-citizens/>, consulté le 31/07/2015.
  • Laprise, J., « Exploring PRISM’s Spectrum : Privacy in the Information Age », in Musiani, F., Cogburn, D., DeNardis, L. et Levinson, N. (dir.), The Turn to Infrastructure in Internet Governance, Basingstoke, Palgrave Macmillan, à paraître [2015].
  • En ligneLe Métayer, D., « Privacy By Design : A Formal Framework for the Analysis of Architectural Choices », CODASPY’13, San Antonio, 18-20 fév. 2013.
  • Milan, S., Social Movements and Their Technologies : Wiring Social Change, Basingstoke, Palgrave Macmillan, 2014.
  • En ligneMusiani, F., « Les architectures P2P : Une solution européenne originale pour la protection des données personnelles ? », Réseaux, n° 189, 2015, p. 47-75.
  • Musiani, F., Cogburn, D., DeNardis, L. et Levinson, N. (dir.), The Turn to Infrastructure in Internet Governance, Basingstoke, Palgrave Macmillan, à paraître [2015].
  • Risen, J. et Poitras, L., « NSA Reports Outlined Goals for More Power », The New York Times, 22 nov. 2013. En ligne sur : <www.nytimes.com/2013/11/23/us/politics/nsa-report-outlined-goals-for-more-power.html>, consulté le 31/07/2015.
  • Weber, R., « The Right To Be Forgotten : More than a Pandora’s Box ? », JIPITEC, n° 2, 2011, p. 120-130.
Francesca Musiani
Francesca Musiani est chargée de recherche au CNRS, chercheuse à l’ISCC, chercheuse associée à Mines ParisTech et membre de la commission « Droits et libertés à l’âge du numérique de l’Assemblée nationale.
Mis en ligne sur Cairn.info le 11/12/2015
https://doi.org/10.3917/herm.073.0209
Pour citer cet article
Distribution électronique Cairn.info pour CNRS Éditions © CNRS Éditions. Tous droits réservés pour tous pays. Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent article, de le stocker dans une banque de données ou de le communiquer au public sous quelque forme et de quelque manière que ce soit.
keyboard_arrow_up
Chargement
Chargement en cours.
Veuillez patienter...