Le Web sous surveillance : quand Lopsi rencontre Hadopi

Le moins que l'on puisse dire c'est que la conception gouvernementale
de « l'Internet à la française » — comme le service public « à la
française » que l'on sait envié par le monde entier, copié mais jamais
égalé depuis Napoléon — et mis en texte par la loi Hadopi provoque
une nouvelle levée de boucliers. La loi tire son nom aux consonances
vaguement italiennes (addoppiare signifie redoubler) ou
américano-indiennes (la brique de terre crue séchée au soleil qui a
donné son nom au fameux éditeur de logiciels Adobe Systems, Inc.)
d'une nouvelle « haute autorité » — il n'y en a point de basse même
pour les basses oeuvres — la Haute autorité pour la diffusion des
oeuvres et la protection des droits sur Internet. La loi Hadopi est
dans la droite ligne du rapport Olivennes livré en novembre dernier à
l'Elysée par l'ex-PDG de la FNAC, rescapé depuis à la direction du
Nouvel Observateur. Après de très nombreuses réactions, le projet de
loi présenté au Conseil des ministres le 25 juin n'a gardé que le
titre moins sujet à controverse « Création et Internet » tout en conservant
l'essentiel de l'arsenal techno-répressif préconisé par le rapport
Olivennes.

Le point qui fait évidemment débat c'est, dans le cadre de la mission
de prévention et, éventuellement, de sanction du piratage des oeuvres
confiée à la Haute autorité, le recours à la « riposte graduée ». Mais
l'autre volet de sa mission, la régulation des mesures techniques de
protection et d’identification des oeuvres sous droits, semble à
l'examen tout aussi porteur de questions et de débats.

Depuis le rapport Olivennes on connaît bien l'ingénieux dispositif de
la riposte graduée. La rigueur et la précision du processus fait
honneur aux technocrates français. Postulat de départ, axiome
immarcescible : l'indépendance et l'impartialité de la Haute autorité
sont garanties. (Par qui ? Par quoi ? Quels recours ? Nous touchons là
aux mystères de l'Infaillibilité immaculée.) Implémentation retenue
pour ce postulat : au sein de cette Haute autorité, c’est la
commission de protection des droits, exclusivement composée de hauts
magistrats, qui prendra les mesures pour prévenir et sanctionner le
piratage. Les mesures en question constituent la fameuse riposte
graduée : façon Les Choristes — « Action ! Réaction ! » —, la
détection d'un piratage donnera lieu à des avertissements suivi
éventuellement de sanctions si le sujet ne se soumet à résipiscence
dans les délais.

Le premier avertissement délivré par les Commissaires de protection
des droits prendra la forme d’un message électronique et le second
d’une lettre recommandée, de façon à s’assurer que l’abonné a bien
pris connaissance du comportement qui lui est reproché. Si les
manquements persistent en dépit de ces deux avertissements,
l’internaute s’exposera à une sanction consistant en une suspension de
l’abonnement Internet pour une durée de trois mois à un an. La
commission pourra toutefois lui proposer une transaction comportant
une réduction de la durée de la suspension. En outre, le Commissaire
pourra, en fonction de l’usage, notamment professionnel, qui est fait
de l’accès au service de communication, recourir à une sanction
alternative à la suspension, sous la forme d’une injonction délivrée à
l’abonné de prendre des mesures de nature à prévenir le renouvellement
du manquement et à lui en rendre compte, le cas échéant sous
astreinte.

La CNIL, UFC-Que Choisir (« projet monstrueux conçu par les marchands
de disques, pour leur intérêt exclusif »), les députés européens, le
Conseil d'Etat, l'ARCEP, l'Association des services Internet
communautaires et hier encore
l'Association des Fournisseurs d'Accès et de Services à Internet
(Free, AOL France, Aricia, Azuria, Bouygues Telecom, DartyBox, Google
France, Kewego, Mana, Microsoft France, MySpace France, Neuf Cegetel,
Numericable, Orange, SFR et Telecom Italia) ont vite trouvé les deux «
bugs » évidents du texte pour étayer leur contestation.

Première question, qu'en est-il de la légalité et de la faillibilité
du dispositif de surveillance généralisée des réseaux numériques
nécessaire pour la détermination incontestable de l'oeuvre, de son
piratage et de l'auteur du piratage ?

Seconde question, l'abonné n'est pas forcément le pirate et vice-versa
! Foneros français, tenez-vous le pour dit, ou alors téléchargez
depuis les bornes WiFi aimablement mises en place par la Mairie de
Paris, par exemple, dans certains lieux publics. C'est la moindre des
politesses à rendre...

Le texte désamorce néanmoins partiellement cet épineux débat en
précisant que la mission des Commissaires de la protection des droits
n’est pas d’assurer une surveillance générale des réseaux numériques
ou des fournisseurs d’accès Internet. (Nous voilà rassurés !) Ils
agiront exclusivement sur saisine, pour le compte des ayants droit
dont les oeuvres auront été piratées, des agents assermentés des
organismes de défense professionnelle et des sociétés de perception et
de répartition des droits. Ce qui suppose évidemment que ces ayant
droits, ces agents assermentés et autres officines aient eu vent d'un
acte de piratage et en apportent les preuves incontestables : on se
demande avec intérêt comment ils pourront acquérir cette certitude
pour saisir la Hadopi !

Le texte prévoit que les sanctions prononcées pourront faire l’objet
d’un recours contentieux devant le juge. Le projet de loi durcit par
ailleurs la procédure judiciaire existante en permettant au tribunal
de grande instance d’ordonner, à la demande des titulaires de droits
sur les oeuvres protégées, des mesures de suspension, de retrait ou de
filtrage des contenus portant atteinte à un droit d’auteur ou un droit
voisin (par référé et plus par la procédure inspirée de la saisie
contrefaçon instaurée en matière de services de communication en ligne
par la loi du 21 juin 2004 pour la confiance dans l’économie
numérique).

Un autre éclairage sur la riposte graduée peut aussi être jeté si l'on
procède à une relecture plus fouillée du rapport Olivennes qui est à
son origine. Le 20 juin dernier, au milieu même de la tumultueuse
mêlée provoquée par le projet de loi, la startup AdVestigo
s'empressait de publier opportunément un communiqué de presse
affirmant qu’elle pouvait détecter et identifier la quasi-totalité des
contenus vidéo sur les réseaux peer-to-peer, bêtes noires de
l'industrie du disque et du film. Advestigo aurait ainsi atteint un «
taux de reconnaissance des différentes copies réellement disponibles
sur les réseaux de 97,9 % à 100 % selon les films considérés, avec 0.0
% de faux positifs ». Voilà fort à propos une technologie susceptible
d'intéresser les ayant droits et autres agents assermentés ! AdVestigo
a démarré en 2002, créée par deux docteurs chercheurs du CEA-LETI —
laboratoire du CEA implanté à Grenoble, le Leti est l’un des
principaux centres européens de recherche appliquée en
électronique. Le Leti est évidemment l'un des pourvoyeurs principaux
de propriété intellectuelle liée aux activités de défense nationale et
de sécurité intérieure. (L'un des fondateurs a, par exemple, travaillé
sur le traitement des images en temps réel sur des calculateurs
parallèles embarquée sur l'avion de combat Rafale.)

La société industrialise avec succès des travaux de recherche sur les
langages de programmation et les architectures matérielles pour les
traitements dits « data-parallèles ». Ses investisseurs sont Cap
Décisif, fonds de capital-risque amont en Île-de-France, I-Source, un
fonds de capital risque issu à l'origine de la CDC et de l'INRIA, et
EonTech un fonds d'investissement d'un groupement de banques
italiennes. AdVestigo avait été auditionné par la commission du
rapport Olivennes et sa caution technique est invoquée dans le texte
final du rapport de l'année dernière.

La Sacem et le STRJD (le Service Technique de Recherches Judiciaires
et de Documentation), qui s'est vu confier la police du réseau
Internet et la lutte contre toutes les formes de cybercriminalité,
sont déjà, sans surprise, utilisateurs du moteur de recherche
d'AdVestigo. On comprend que la startup soit pressentie pour fournir
le dispositif national déclencheur de la riposte graduée.

Constatons que la loi Hadopi, issue laborieusement
d'un an de sourdes tractations et de lobbying intensif selon certains,
arrive décidément en conjonction parfaite avec la préparation de la
future loi d'orientation et de programmation pour la performance de la
sécurité intérieure, dite Lopsi 2. (Mais où donc le législateur
va-t-il chercher tous ces noms ?) La crispation entre les partisans de
la ligne dure et leurs opposants se cristallise autour de trois
chantiers lancés par Lopsi : le fichier Périclès, énième et plus
récente forme du mythe du fichier de rapprochement total entre
affaires criminelles pour lutter contre tout type de délinquance —
selon des événements récents liés à la délation de cyberdissidents,
Google et Yahoo! sont déjà parfaitement équipés pour ça ! —, la
limitation ou non du pouvoir des juges d'instruction à accéder aux «
lieux de pouvoir » comme les ministères et les services secrets, et
surtout la permission à l'avenir de l'introduction de « chevaux de
Troie » informatiques dans les ordinateurs des citoyens. Cette
captation informatique et sonore (sont aussi visées les écoutes
téléphoniques) sera possible avec l'aval d'un juge mais sans le
consentement des intéressés.

Et cela au moment même où, le 18 juin, la Suède vote une nouvelle loi
autorisant un organisme civil, chapeauté par le ministère de la
Défense, à mettre en place de grandes écoutes des communications de
tous ses citoyens. Sans parler du programme des douanes américaines
vivement critiqué par Bruce Schneier, ou du projet de loi similaire à
celui voté en Suède discuté en Allemagne. L'arsenal français projeté
par Lopsi n'a donc plus rien a envier à celui des grandes démocraties
éprises de la liberté de la presse comme la Chine, la Birmanie, la
Corée du nord, l'Irak, la Tunisie, etc. Patients et charitables
lecteurs, il est temps de s'intéresser d'urgence à Freenet, PGP,
TrueCrypt, Entropy, Tor, Omemo, autres OFFSystem...

Surveillance privée, motivée par des ayant droits et des agents
assermentés d'officines de gestion de droits, et surveillance
publique, versée à la doctrine au nom d'un idéal sécuritaire, se
rejoignent donc parfaitement dans l'avatar moderne du Panopticon de
Bentham dont la métaphore, annoncée par Foucault, menace aujourd'hui
de s'appliquer au Web.

Eben Moglen moderne ouvrier à la trôle

Quel choix plus judicieux de l'OW2 pour recevoir à Paris Eben Moglen que celui de l'étroite cour chargée d'histoire donnant sur le Faubourg Saint-Antoine, « le cratère d'où s'échappa le plus souvent la lave révolutionnaire » ! Eben Moglen, avocat et professeur de droit, est avec Richard Stallman l'artisan des dernières évolutions de la GNU Public Licence (GPL) qui aboutirent à la publication de la version 3, dernière en date. Et de la tension entre système légaux et règles corporatistes, dont il est abondamment question dans la GPL v3, il y a bien longtemps que ce quartier du Paris ouvrier en abritait les querelles ! Autorisés par Louis XI à travailler librement dans dans le domaine à l'époque de l'abbaye Saint-Antoine, chassissiers, charpentiers de la grande et de la petite cognée, huchiers et ébénistes se regroupèrent en une vibrante communauté. Les règlements de la corporation, datant de 1290, furent assouplis en 1657 par Colbert pour « libérer la croissance » dirait on aujourd'hui, avant d'être resserrés et durcis en 1740, dans un esprit du temps pas très éloigné de celui qui prévaut actuellement, « pour oster les fraudes, les décevances et les mesprentures du mestier » ; leur disparition formelle fut l'oeuvre de Turgot à partir de 1776. Ce qui n'empêcha pas les explosions populaires ultérieures, incendies et pillages en 1789, barricades en 1830 et 1848, après le licenciement des Ateliers nationaux — déjà les méfaits rampants de la mondialisation, vous dis-je —, et en 1851 pour protester contre le coup d'état du prince-président. À proximité immédiate donc de la trôle de naguère, tuée par la fabrication en série, entre la Fontaine Trogneux et l'enseigne disparue du « Soldat Cultivateur », Eben Moglen présentait magistralement cette réédition moderne des débats séculaires qui avaient soulevé les passions du quartier parisien.

L'élaboration de la GPL V3, dixit Mogen, fut, comme pour les réglementations d'antan, un processus à la fois social et politique même s'il ne s'est pas manifesté par des pillages, des incendies ou des barricades. (Quoique, si l'on veut bien compter les modes « virtuels » de manifestations sur le Web...) Et en premier, la GPL v3 essaye de s'éloigner du caractère très centré sur le droit du copyright américain qui avait présidé à la GPL v2. Pour l'anecdote, Eben Moglen raconte que lors de multiples rencontres avec les autorités européennes de Bruxelles celles-ci sont systématiquement revenues sur l'usage du langage statutaire (issu du glossaire du copyright américain), et exigés que paragraphes et parties soient titrés et numérotés successivement à partir de 1. Autant ces premières exigences ont-elles été satisfaites rapidement, la dernière, cependant, devait heurter au plus profond le mysticisme éclairé de Stallman qui ne saurait envisager d'autre numérotation que celle, comme en C, qui ne commence par 0 ! La GPL v3 a donc été conçue pour être « transnationale » et compatible du mieux possible avec les législations locales : pour ce faire elle s'interroge sur comment « donner la permission » plutôt que sur « imposer des restrictions ». Une première conclusion se dégage alors : l'interprétation de la GPL v3 peut dépendre du droit local (souvent national).

Il y a donc distinction entre « l'état de fait », la « propagation » du code qui couvre tout ce qui n'en est pas l'exécution à proprement parler, qui relève d'un jugement technique d'une part et la « transmission » du code qui a trait à la permission effective de le recevoir et relève d'un jugement de droit local. Toutes les difficultés tournent ensuite autour d'une définition appropriée de la notion d'oeuvre. Doit-on considérer qu'une application résultant de liens statiques entre codes, dont certains sont sous le régime GPL, constitue une seule oeuvre ou non ? Et si l'édition de liens est dynamique à l'exécution comme en Java ? Les mêmes questions se posent pour les applications bâties sur une architecture orientée services qui distingue, par exemple, conteneurs et composants (que l'on songe aux serveurs d'applications, Beans, servlets et JSP), ou bien de services qui s'interposent entre application cliente et serveurs. Ces subtilités se composent avec le développement de nouvelles formes de livraison et d'accès au logiciel : hébergement propriétaire ou public, SaaS (Software As A Service), bientôt cloud computing.

Par ailleurs, la GPL a également ses variantes pour répondre à des besoins ad hoc de certains éditeurs et utilisateurs. Pour l'illustrer, Eben Moglen insiste sur le contraste entre la LGPL, qui ajoute de nouvelles permissions à la GPL, et l'Affero GPL (AGPL) qui, à l'inverse, ajoute de nouvelle restrictions à la GPL. Dans le premier cas la LGPL autorise l'édition de liens, pourvu que l'on puisse ré-exécuter cette édition de liens après une modification ultérieure de la partie du code applicatif sous le régime GPL v3 ; l'AGPL impose que le fournisseur de services basés sur un code sous régime GPL donne accès à ses utilisateurs au code source postérieurement modifié de la partie du code sous GPL v3. (Le contre-exemple est ici Google dont l'approche de la fourniture de services est propriétaire, alors que le repoussoir habituel de Moglen et Stallman reste le plus souvent Microsoft.)

D'autres sujets abordés par la GPL v3 masquent d'acrimonieux débats et des sourdes luttes d'influence entre les grands industriels du secteur. L'abandon des poursuites sur les brevets, par exemple, doit beaucoup d'après Moglen au radicalisme d'IBM et de HP sur le sujet de la brevetabilité du logiciel. La position de la GPL v3 sur le matériel — comment la « liberté » d'un logiciel s'étend-elle ou non aux autres terminaux et matériels sur lesquels il peut être amené à fonctionner ? — doit ici beaucoup au lobbying de Sun Microsystems en vue de protéger la source, considérable d'après Moglen, de revenus que représentent les licences Java pour les téléphones cellulaires. Le compromis offert par la GPL v3 repose sur une définition du « consumer device » (terminal ou appareil grand public), qui exclut les systèmes d'armes (!), les instruments médicaux, les réseaux sécurisés défense, etc. qui sont de facto exclus du champ de la GPL v3. Mais cette définition de l'appareil grand public est elle-même issue de la législation du droit de garantie aux USA : a-t-elle une valeur internationale ?

On le voit, il n'y a pas que dans le domaine de la programmation et du code que la complexité s'amplifie. Il faut envisager un temps où tout texte de code source et tout service Web devra être accompagné d'un meta-texte légal aussi complexe, voire plus, en décrivant le régime d'usage et les permissions et restrictions qui lui sont associées. (Pourquoi dès lors ne pas imaginer des compilateurs, des éditeurs de liens et des environnements de programmation intégrant directement un paramétrage légal en fonction des licences des différents composants logiciels développés et employés ? Un « Legal Studio 2009 », un « Safe Harbor Eclipse IDE », une option « -legalese » pour tous les compilateurs ? ) Où sera alors la valeur pour l'utilisateur, dans le code source ou dans le code légal ?