Protection de la correspondance privée et loyauté des plateformes.

Le débat sur la “régulation des plateformes” (initié notamment par la Commission européenne en fin d’année dernière) a permi d’établir de nombreuses pistes de reflexion sur le “traitement des contenus illicites”, la “transparence des algorithmes”, la protection des consommateurs ou encore “l’interopérabilité des données”.

En France aussi, le “projet de loi pour une République numérique” aborde la question, et prévoit dès à présent la notion de “loyauté des plateformes”, sans négliger le “droit à la portabilité des données personnelles” (issu lui d’un autre règlement européen, sur la protection des données personnelles, et qui entrera en vigueur au plus tard en 2018).

Tout ceci est bel et bon, mais comme souvent dans le domaine numérique le diable se cache dans la sémantique: qu’est-ce qu’une plateforme ?

 

Le choix des mots

Dans la future loi française, sur inspiration des travaux du CNNUM, une plateforme est définie comme ceci:

 « Est  qualifiée d’opérateur de plateforme en ligne toute personne physique ou  morale proposant, à titre professionnel, de manière rémunérée ou non,  un service de communication en ligne reposant sur :
« 1° Le  classement ou le référencement, au moyen d’algorithmes informatiques,  de contenus, de biens ou de services proposés ou mis en ligne par des  tiers ;
« 2° Ou  la mise en relation de plusieurs parties en vue de la vente d’un bien,  de la fourniture d’un service ou de l’échange ou du partage d’un  contenu, d’un bien ou d’un service.

Pour la Commission Européenne, aux dernières nouvelles, il s’agit de services offrant des « interactions directes entre utilisateurs via des systèmes en ligne […] capitalisant sur l’économie des données grâce à des effets de réseau ».

Il suffit de lire ces définitions pour comprendre ce dont il s’agit : la loi française concerne d’abord les GAFAs puis les services dits “d’économie collaborative”, tandis que le texte européen ne concerne que les seconds. Dans les deux cas, les définitions tracent les contours de services existants pour ensuite chercher des moyens de les réguler, donc les lois qui résulteront de l’un comme de l’autre ne concerneront pas les futurs services innovants, qui créeront eux aussi des disruptions sociales qui dureront jusqu’aux textes suivants, encore et encore.

 

Des notions beaucoup trop strictes

Comme en effet faire entrer dans le cadre de ces définitions  trop étroites des concepts aussi variés que (sans volonté d’être exhaustif) :

  • Les régies publicitaires, qui pourtant auraient bien besoin d’un cadre réglementaire au moins en ce qui concerne le traitement des données personnelles, et alors que de plus en plus d’utilisateurs choisissent de ne plus afficher leurs messages publicitaires, ni que les contenus de ces messages soient encadrés,
  • Les systèmes de paiement en ligne, dont le nombre et la diversité peuvent amener à bien des dérives (comme par exemple le trop fameux “Internet+” activé par défaut et qui permet de payer d’un simple clic et trop souvent sans même le savoir),
  •  L’internet des objets, dont l’explosion au cours des prochaines années va fournir une masse d’informations personnelles sans équivalent à des entreprises qui agissent à ce jour sans aucun cadre réglementaire,
  • Les services de correspondance privée, la plupart du temps basés sur le modèle économique “données privées contre gratuité” mais qui mettent à mal le droit fondamental au secret de ladite correspondance privée.

On pourrait sans doute étendre très largement encore la liste de ce qu’on nomme “plateformes” dont il est difficile de dire ici si une régulation légale est nécessaire, ou même utile. Mais comment ne pas s’interroger sur le fait d’adopter des définitions qui ne permettront pas de le faire, si le besoin s’en faisait sentir ?

Une chose semble claire en tous cas : ce qui est traité dans le cadre européen et dans celui de la loi française ne sont pas “les plateformes”, mais un tout petit sous-ensemble de ces dernières. Pour être compréhensibles, ces textes devraient utiliser des termes moins génériques (“plateformes d’économie collaborative” pour le texte européen, “services de référencement et de classement et outils collaboratifs” pour la loi numérique française).

Au moins saurait-on de quoi on parle, car trop souvent ce terme de “plateforme” est nébuleux dans l’esprit du public et laisse à penser qu’on va réguler l’ensemble des outils d’échange en ligne alors que ce ne sera pas le cas.

 

L’exemple de Caliopen

Prenons l’exemple particulier de la correspondance privée, qui concerne Caliopen (projet qui veut permettre d’aggréger au sein d’une interface unique l’ensemble de nos correspondances privées tel que email, messages privés reçus via Twitter, Facebook, Linkedin et autres Snapchat, Whatsapp… de manière à donner à l’utilisateur la capacité de connaître le degré de confidentialité de chacune de ses conversations et d’adapter ses échanges en conséquence) au premier chef.

Il ne fait aucun doute que ce domaine de la correspondance privée en ligne est en pleine révolution : de Snapchat à Whatsapp, de Gmail aux annonces récentes de Allo et Duo, il ne se passe guère de temps entre les annonces de nouveaux outils d’échanges privés. Aucun doute non plus sur le fait qu’une garantie de “loyauté” de ces outils est fondamentale, puisque leur raison d’être relève du droit fondamental au secret de la correspondance privée, que la “transparence des algorithmes” qui lisent nos courriers est fondamentale, que leur “interopérabilité” devrait être la norme, et que le “droit à la portabilité” de nos propres conversations ne devrait souffrir d’aucune limite.

Et pourtant, que savons-nous des algorithmes que Google utilise pour définir qu’un courrier est “indésirable”, que conservent ces services de nos échanges quand nous les effaçons, qu’en est-il du secret de la correspondance quand nous ignorons quels éléments sont fournis aux régies publicitaires qui se nourrissent  du contenu de nos lettres ?

Un très grand nombre d’utilisateurs (près d’un milliard de comptes actifs) font confiance à Google pour dire si un courrier est légitime ou s’il doit être classé comme “indésirable”. Et même s’il existe toujours la possibilité d’aller vérifier le contenu de ces derniers, le risque est toujours là de voir l’algorithme décider pour nous sans qu’on sache comment, ni pourquoi. Accepterions-nous que la Poste décide de ne plus nous apporter tel ou tel courrier sans nous dire pourquoi, même si elle le gardait à disposition pour vérification ?

La France se dote précisément d’une obligation de transparence des algorithmes utilisés par les services publics. Mais rien n’est prévu pour les services commerciaux, et même si on peut le comprendre lorsqu’il est question de secrets industriels, on touche dans cet exemple au droit fondamental au secret de la correspondance : il semble donc légitime qu’au moins les principes qui guident de tels choix soient publics, même quand ils relèvent d’un contrat commercial.

Il en va de même concernant l’utilisation de nos échanges les plus privés pour permettre une publicité ciblée: là encore, accepterions-nous que la Poste ouvre nos courriers pour savoir ce dont nous parlons et nous envoie des publicités de commerçants locaux mieux adaptées, selon elle, à nos besoins ? Et sinon, et même si cela devait impliquer la fin du modèle économique “données privées contre gratuité du service” (dans le strict cadre de la correspondance privée), serait-ce un si grand mal ? C’en est un, en tous cas, de ne pas se poser la question, et de se l’interdire en restreignant à ce point le cadre de la régulation.

Allons plus loin : selon quels critères un petit service d’email peut-il s’interfacer avec un des grands silos ? Dans quelles conditions un Gmail, un Yahoo ou un Outlook refuse-t-il les emails venus de tel ou tel ? Comment garantir que, demain, ces services ne se refermeront pas sur eux-mêmes en considérant que la masse de leurs utilisateurs leur permet d’ignorer toute interopérabilité ? Aujourd’hui déjà des grands silos comme Outlook.com demandent aux plus petits services de s’enregistrer pour pouvoir s’interfacer avec lui, et Gmail de respecter ses règles pour que les messages entrants ne soient pas classés comme du spam.

Les grands silos gèrent près de 4 milliards de comptes emails actifs (études Alinto et Radicati Group), soit la très grande majorité du courrier électronique. Une situation d’oligopole qui pourrait au moins faire l’objet d’une analyse un peu sérieuse alors qu’elle touche à un droit fondamental, et qui pourrait nécessiter un tant soit peu de régulation, là encore, pour garantir l’ouverture à des services tiers et un respect accru des standards d’interopérabilité.

Comment s’assurer, enfin, que notre courrier privé restera disponible si, un jour, un de ces services décidait de fermer ? Comment une identité numérique aussi essentielle qu’une adresse email peut-elle être soumise au seul bon vouloir d’une plateforme commerciale, sans aucune garantie de pérennité ?

Le “droit à la portabilité” de la loi Numérique et du règlement européen est un pas dans la bonne direction, mais encore très restreint puisque limité à la récupération de son courrier lors de la fermeture d’un compte, par exemple, sans garantir un accès permanent à sa correspondance privée hors des écosystèmes fermés des grands silos. Un peu comme si nous étions contraints d’aller lire nos lettres en papier dans un local de la Poste, avec pour unique choix le droit de les emporter ailleurs lors d’un déménagement.

Il semblerait pourtant légitime d’aller plus loin en obligeant à l’ouverture d’une API (qui pourrait être définie par un standard) permettant d’accéder à sa correspondance privée sans limitation et depuis n’importe quel service tiers, tel que Caliopen par exemple, pourvu que l’utilisateur en décide ainsi. Et là encore, si une telle obligation devait porter atteinte à un choix de modèle économique, il faudrait peser ce risque face à l’importance du droit fondamental ainsi protégé.

En situation d’oligopole, la concurrence seule ne peut répondre à ces questions. Et d’autant moins dès lors que l’inscription et l’usage de ces silos est un pré-requis quasi obligatoire, associé à l’utilisation d’un téléphone portable, à l’utilisation d’un navigateur ou à l’utilisation d’un système d’exploitation spécifique : l’utilisateur se trouve nécessairement limité dans ses choix.

Que se passera-t-il quand un outil tel que Caliopen sera déployé sur des instances de taille assez conséquentes pour gêner le modèle fermé des grands silos ?

Il est déjà arrivé que Twitter, par exemple, interdise purement et simplement l’accès de ses API à des outils tiers : s’il est possible d’admettre de telles limitations dans le cadre de l’espace public (timeline) d’un compte Twitter, serait-ce admissible en ce qui concerne l’accès aux messages privés ?

Et même sans aller jusqu’à imaginer ce type de fermeture totale, dans quelle mesure la limite de requêtes (rate limit) des grands services est-elle une entrave à la concurrence des nouveaux entrants, dès lors que des tarifs publics d’accès à leurs API  quand celle-ci existe ce qui n’est pas toujours le cas  relèvent du secret industriel ?

Encore une fois, il semblerait légitime que, quand on pose des principes tels que la protection des données personnelles d’une part, et de leur portabilité d’autre part, et en regard du droit au secret des correspondances, les moyens d’accèder à ces données soient publics, tant en termes techniques qu’économiques.

Et rappelons que ce n’est là qu’un petit exemple de ce que les régulations envisagées laissent totalement de côté.

 

Contre-proposition

Sans doute aurait-il mieux valu adopter une définition beaucoup plus large, quitte à remonter aux trois catégories que proposait déjà l’AUI (Association des Utilisateurs de l’Internet) au siècle dernier, et qui chacune relèverait d’un cadre réglementaire spécifique:

– Le FAI (Fournisseur d’Accès à Internet) relève de l’ordonnance n° 2011-1012 du 24 août 2011 et sera soumis au futur règlement européen sur la Neutralité du Net, il n’a aucune responsabilité sur les contenus qui transitent par ses services,

– le FHI (Fournisseur d’Hébergement) relève de la loi n° 2004-575 du 21 juin 2004 (LCEN) et bénéficie d’une responsabilité limitée sur les contenus qu’il héberge dès lors qu’il n’exerce aucun contrôle, classement ou choix de nature éditoriale sur ceux-ci,

– le FSI (Fournisseur de Services) enfin, qui remplacerait avantageusement la notion de “plateforme” et dont la responsabilité civile et pénale serait pleine et entière, soumise à une régulation beaucoup plus fine, voire au cas par cas comme l’envisage d’ores et déjà la Commission Européenne. Cette catégorie, très large, engloberait tous les intervenants “non techniques”, de l’éditeur de contenus jusqu’à l’indexeur, quitte à faire de chaque cas une étude spécifique pour en envisager le cadre réglementaire.

En oubliant ce terme ambigu de “plateforme”, qui fait oublier ce dont il est réellement question lors de débats qui sont pourtant d’une importance cruciale pour notre avenir numérique commun, le cadre réglementaire serait beaucoup plus souple, plus à même de répondre y compris à des catégories non encore inventées, et traitant de grands principes plutôt que de cas particuliers dont l’existence n’est peut-être que temporaire.

Laisser une réponse