Accueil > 2012 > juillet > Objectif : « hacker » la CNIL
Objectif : « hacker » la CNIL
Jean Marc Manach | bugbrother.blog | vendredi 20 juillet 2012
dimanche 22 juillet 2012
Objectif : « hacker » la CNIL
Jean Marc Manach | bugbrother.blog | vendredi 20 juillet 2012
Objectif : "hacker" la CNIL. Pas son site web, mais l’institution, en tant que telle, son fonctionnement, ses objectifs, ses moyens & méthodes, parce que "la loi, c’est comme le code, on peut la « hacker »".
Longtemps, je me suis borné à documenter -et donc aussi critiquer- la novlangue de certains de ses "commissaires politiques" (majoritairement de droite), à commencer par l’ex-président de cette "autorité indépendante" en charge de la défense de nos droits "informatique et libertés", sorte de Nicolas Hulot de la vie privée.
Le vent a tourné. La CNIL est en train de changer. Et il serait bon de la "libérer", de la "décoincer", de sorte qu’elle cesse de se contenter de nous faire peur, en nous expliquant comment nous sommes surveillés (sur Internet ou ailleurs), sans nous expliquer comment nous en protéger (voir Internet : quand l’Etat ne nous protège pas), tout en bornant, essentiellement, son expertise au seul domaine juridique, intervenant donc généralement après coup, quand les dommages sont avérés.
Si vis pacem para cnillum
La nouvelle présidente de la CNIL m’avait proposé de l’aider à organiser un PrivacyCamp, sorte de "non-conférence" dont l’objectif était de mettre en contact des gens de la CNIL avec des hackers, des geeks et (donc) des professionnels, utilisateurs & amateurs éclairés de l’informatique et d’Internet, afin de voir ce que l’on pourrait faire ensemble, de sorte d’améliorer la défense, et la promotion, de nos droits "informatique et libertés".
L’objectif était aussi de "faire la paix" entre les défenseurs des libertés sur le Net et les "gardiens du Temple" de la CNIL, souvent perçus -hélas- comme très éloignés des problèmes, et des combats, menés par les premiers. De mon côté, j’avais donc proposé de hacker la CNIL afin de l’aider à expliquer aux gens comment protéger leur vie privée, et sécuriser leurs données (voir aussi le compte-rendu de la CNIL, ainsi que les vidéos et compte-rendus de ceux qui y ont participé).
Ce qui m’a le plus surpris, lors de ce PrivacyCamp, fut de découvrir à quel point les employés de la CNIL vivaient cette rencontre comme un "bol d’air", et à quel point ils semblaient engoncés dans des problématiques juridico-administratives, institutionnelles (et politiques), et à quel point le fait de rencontrer des gens, hackers et internautes, qui se battaient concrètement, pied à pied, pour la défense de nos droits informatique et libertés, les faisaient respirer, et leur redonnaient l’impression de pouvoir agir concrètement sur la vie des gens...
Il est interdit d’interdire le Net
Dorothée Barba, animatrice du 5/7 de France Inter cet été, m’a invité à causer de la vie privée sur Internet, et plus particulièrement de la CNIL (qui vient de rendre public son rapport 2011), ainsi que de mon livre, "La vie privée, un problème de vieux cons ?" (cf le résumé que j’en avais tiré, Les « petits cons » parlent aux « vieux cons »).
Une des choses qui semblent avoir marqué Dorothée Barba est le parallèle que je fais entre ce que nous vivons aujourd’hui, en terme de liberté d’expression, et ce qui s’est passé avec la libération sexuelle dans les années 70, et le combat des féministes (voir aussi les interviewes que j’avais accordé à Article X1 : « Internet ne tue pas les indiens : il en crée ! », et à Geek Politics : « La défense des libertés sur Internet aura un impact similaire à la libération sexuelle »).
De même que le port d’une mini-jupe ou le fait de bronzer les seins nus ne sont pas des incitations au viol, l’exposition ou l’affirmation de soi sur les réseaux ne saurait justifier l’espionnage ni les atteintes à la vie privée.
3 questions à... Jean-Marc Manach
La Direction des Études, de l’Innovation et de la Prospective de la CNIL, créée pour "être au cœur des débats de société", m’a elle aussi interviewé (.pdf), en marge de son compte-rendu du "premier PrivacyCamp en Europe" auquel elle m’avait proposer de participer, dans le 3e numéro de sa lettre d’information consacrée à l’innovation et à la prospective, qui vient de sortir.
Je n’y évoque pas explicitement ce projet de "hacker (décoincer) la CNIL", parce que ce n’était pas l’objet, ni l’endroit, mais je suis triste de voir que nombreux sont ceux qui pensent que la CNIL ne serait qu’un rouage du système, qu’elle ne protégerait pas tant les gens que les institutions, alors qu’elle a été pensée, et créée, pour nous défendre et nous protéger.
Le fait qu’elle se mette à faire de la prospective, à venir "au contact" des internautes, des défenseurs des libertés et de la vie privée, et de ceux qui ont les doigts dans le code, m’incite à penser qu’on aurait tort de ne pas essayer de hacker décoincer la CNIL /-)
Pensez vous qu’il soit possible de protéger ses données sur internet, ou est-ce un combat perdu d’avance ?
Suite au "portrait" Google qu’avait fait la revue Le Tigre d’un internaute "anonyme", à partir des photos, vidéos et informations qu’il avait partager sur le web et les réseaux sociaux, un journaliste avait décidé de faire "mon" portrait Google. Je suis actif, en tant qu’internaute, journaliste et défenseur des libertés et de la vie privée, depuis plus de 10 ans. Et il n’a rien trouvé de sensible à mon sujet, comme quoi il est tout à fait possible de "protéger" ses données dès lors qu’on a compris que le web est un espace "public", et que toute information qui y est "partagée" ne relève plus de la "vie privée". A contrario, le concept de sécurité à 100% n’existe pas plus dans l’espace physique que sur Internet, tant pour nos ordinateurs (et donc nos correspondances privées, identifiants et mots de passe) que pour les données personnelles que les sites de commerce électronique ou administratifs nous obligent à leur confier. D’où l’importance, pour ces derniers, des notions de "dataminimisation" (on ne requiert que le strict nécessaire) et de "privacy by design" (inclure la protection de la vie privée dès la conception des services et applications), et bien évidemment de l’application de la loi. En l’espèce, force est de constater que bien peu de sites web ayant mal protéger les données personnelles de leurs utilisateurs sont sanctionnés, et encore moins poursuivis en justice.
Comment donner envie aux individus de faire attention à leurs données personnelles sans tomber dans des explications techniques trop complexes et sans être anxiogène ?
En faisant confiance aux utilisateurs, en les prenant pour des gens intelligents et responsables, et en arrêtant d’en avoir peur, mais également de leur faire peur. La majeure partie du temps, quand on parle de "sécurité informatique" ou de "vie privée" sur Internet, l’approche, et les discours, sont anxiogènes. A ce régime, on devrait aussi et surtout interdire aux femmes de s’habiller sexy ou de porter des bijoux. Le problème, c’est le voleur, le voyeur, le violeur ; or, on a hélas tendance à culpabiliser l’internaute, en lui expliquant que c’est compliqué, et/ou qu’Internet est truffé de dangers. Ce qui est infantilisant, et contre-productif. Daniel Kaplan a très bien résumé la situation en expliquant que "la valeur de la vie privée est de nous permettre d’avoir une vie publique". La gestion de sa vie privée n’est pas un "problème", mais ce qui nous permet d’apprendre à mener une vie publique. Et c’est aussi tout l’enjeu de ce qui se trame avec le web : nous devenons tous des personnalités publiques. Ce qui, je pense, est quelque chose de bien pour nos démocraties. La révolution sexuelle a notamment permis d’envisager (et d’enseigner) la sexualité autrement que sous le seul prisme de la fécondité, et des MST. L’évolution d’Internet permet notamment d’envisager (et devrait donc nous permettre d’enseigner) la liberté d’expression comme un supplément de démocratie : une chose est de voter (à bulletin secret) dans une urne transparente, un autre est de tabler sur la transparence pour promouvoir la démocratie...
REF : L’avenir de la vie privée est de la maîtriser
Que répondez vous quand on vous demande des conseils en lien avec les données personnelles ?
Soyons clairs : il est impossible de sécuriser son ordinateur, de même qu’il est impossible de se prémunir des cambriolages. Ce qui n’empêche pas de prendre certaines mesures pour l’éviter. La chercheuse américaine danah boyd, qui a beaucoup étudié les comportements des jeunes internautes, a moult fois expliqué qu’ils savaient bien mieux gérer leur vie privée sur le Net que ne le savent le faire leurs parents. Paradoxalement, le meilleur moyen de protéger ses données personnelles, c’est de s’exprimer et donc d’avoir une vie publique sur le Net. Parce que plus vous l’utilisez, plus vous apprenez à en maîtriser les usages, services et outils, et donc à contrôler les machines. Quand c’est la machine qui vous contrôle et vous dicte ce que vous pouvez faire, ou pas, vous déléguez le fait de protéger vos données. Or, on ne peut protéger que ce que l’on peut contrôler.
REF : Vie privée : le point de vue des “petits cons”
Vers une vie privée en réseau
Voir aussi :
Plus belle la vidéosurveillance
Je n’ai pas le droit de lire le livre que j’ai acheté
On ne peut pas mettre de barrières sur Internet
« Faites chier, vous avez encore ramené un mineur ! »
La liste des « gens honnêtes » qui voulaient ficher tous les Français
jean.marc.manach (sur Facebook & Google+) @manhack (sur Twitter)
Et pour me contacter, de façon sécurisée, c’est par là.
Voir en ligne : Objectif : « hacker » la CNIL