You can’t do that online anymore!

Des cookies ou de l’argent

Depuis le 1er avril 2021, nous voyons certains sites Web en France proposer de nouvelles conditions d’accès à leurs contenus, comme par exemple Allociné :

On pourrait résumer le choix offert à l’internaute comme étant le suivant :

  • soit l’internaute accepte le traçage de ses activités en ligne au profit de l’éditeur du site et d’un ensemble de partenaires de celui-ci et accède ainsi au contenu du site ;

  • soit l’internaute refuse ce traçage et paye alors 2 euros par mois pour accéder ainsi au contenu du site ;

  • soit l’internaute refuse ce traçage et ne souhaite pas ou ne peut pas payer 2 euros par mois et il n’accède alors pas au contenu du site.

Ce choix est proposé pour le site Allociné mais également pour d’autres sites, y compris des sites publiant des contenus de journalistes professionnels probablement. Je ne me suis pas amusé à recenser qui avait décidé de suivre cette pratique.

Cette nouvelle pratique (qui coïncide avec les nouvelles règles de la CNIL) a suscité immédiatement des réactions outrées ; certains s’érigeant contre celle-ci de manière assez radicale, allant jusqu’à pousser la comparaison avec le trafic d’organes (car, oui comme il est de coutume, il s’agit d’abandonner toute nuance sur Twitter).

Je trouve pourtant que l’apparition de cette nouvelle pratique est, peut-être, une bonne chose – un pas dans une bonne direction. Mais avant de tenter de voir pourquoi, examinons rapidement ici en quoi consistent ces réactions outrées. En effet, celles-ci reposent généralement sur deux ensembles d’arguments. Le premier regroupe des arguments d’autorité et consiste à dire que cette pratique ne serait pas licite ou qu’elle serait contraire à l’esprit de la loi. Le second est que cette pratique serait inacceptable, car elle ferait du droit au respect de la vie privée un droit réservé aux riches auquel les pauvres ne pourraient prétendre.

S’agissant du premier argument, d’ordre juridique : ceux qui brandissent cet argument sont la plupart du temps, quelque part à gauche de ce graphique.

Représentation humoristique de l’Effet Dunning-Kruger

En réalité, aujourd’hui, la licéité de cette pratique fait débat.

La CNIL penche vers une interprétation restrictive qui voudrait que cette pratique soit la plupart du temps considérée illicite (elle a voulu en faire sa doctrine officielle en publiant des « lignes directrices » qui ont été considérées comme invalides par le Conseil d’État). D’autres considèrent que cette pratique est licite, sauf dans certains cas (par exemple s’il s’agit d’un service essentiel ou monopolistique ? Voir les conclusions du rapporteur public en charge de l’affaire précitée au Conseil d’État si le cœur vous en dit). La question n’est aujourd’hui tranchée ni par le législateur européen (comme en atteste la gestation toujours pas terminée du règlement ePrivacy qui est le texte couvrant directement la question en complément du RGPD), ni par les juges (aucune interprétation de la Cour de justice de l’Union européenne précisément sur cette question, quant au Conseil d’État il n’a pas jugé sur le fond non plus).

Sans aller dans le détail (l’objet de ce billet n’est pas de faire une analyse juridique ou de donner la primeur d’une consultation – j’ai mon avis sur la question et j’ai été amené à conseiller plusieurs clients sur ce type de pratique), on peut donc dire que la question reste ouverte et qu’il s’agit d’une zone grise. Ceux qui affirment de manière péremptoire que c’est illicite et que c’est une évidence, font donc preuve soit d’ignorance soit de mauvaise foi.

Sur un plan plus juridico-politico-philosophique, cette pratique pose aussi la question de la marchandisation et/ou valorisation des données ainsi que la question corollaire de la « propriété » des données à caractère personnel. Question on ne peut plus intéressante, mais sur laquelle il faudrait dédier bien plus que ce rapide billet écrit vite-fait à l’occasion d’un trajet en train. Je me bornerai à dire que, entre la question de la marchandisation du corps humain ou de la GPA, d’une part, et celle de la valorisation des données, d’autre part, il y a tout de même un certain fossé. Et que, non, vendre ses organes et vendre ses données, ce n’est pas la même chose. L’atteinte est d’une autre nature.

S’agissant du second type d’arguments, il faudrait s’opposer à ces pratiques, car ce serait inégalitaire.

Si je comprends bien cette posture : il faut s’opposer à toute forme de traçage, y compris si celle-ci n’est pas intervenue à l’insu de la personne et donc, finalement, il faudrait que dans tous les cas chaque individu paye les 2 euros par mois, sans aucune distinction. Il faudrait donc limiter les options possibles à : tu payes ou tu n’accèdes pas au contenu.

Tout d’abord, cet argument part du présupposé que, dans les faits, seuls les plus aisés prendront l’option 2 euros par mois et auront ainsi un véritable choix de prendre l’option d’être tracés. En pratique donc, les plus pauvres n’auraient pas de véritable choix et seront dans l’immense majorité prêts à accepter d’être tracés plutôt que de ne pas accéder à un contenu.

Il faudrait commencer, déjà, par interroger ce présupposé. Est-ce réellement comme ça que ça se passe ? Je ne sais pas. Il faudrait étudier les pratiques pour le dire — sans données ni étude scientifique, ce présupposé relève parfois de l’idéologie. Ça n’a peut être rien à voir mais l’étude des habitudes de consommation de familles modestes montrent que toutes les dépenses ne sont pas toujours strictement « rationnelles » d’un point de vue purement économique « de bon sens » et que d’autres considérations peuvent rentrer en jeu… la rationalité peut être contre-intuitive pour ceux qui ne sont pas dans les mêmes situations, car en réalité la logique qui sous-tend certains choix économiques peut répondre à d’autres impératifs. Bref : [reference needed] comme on dit sur Wikipedia.

Je pense, ensuite, que le facteur qui joue le plus est probablement la facilité d’accès. À mon avis, la plupart des gens seront prêts à cliquer « accepter », parce que c’est plus simple que de sortir sa carte bancaire pour entamer un abonnement. En d’autres termes, on n’a pas beaucoup avancé sur la question du micropaiment et du financement de la création sur le Web depuis Hadopi et les discussions liées aux licences globales et autres expérimentations (Flattr en v1, etc.).

La question de déterminer dans quelle mesure le niveau de moyens serait une variable avec un réel impact sur le choix opéré reste donc entière.

Si les gens se préocuppent si peu d’être tracés continuellement qu’ils ne sont même pas prêts à s’abonner ou effectuer un micro-paiement pour accéder à un contenu qu’ils consultent régulièrement : le problème est ailleurs.

Il serait enfin sur cette question intéressant de mettre en perspective avec les coûts d’accès à l’information avant le Web. Quel est le prix d’une copie d’un journal quotidien en moyenne ?


Produire de l’information a un coût. De nombreuses entreprises se sont tournées vers l’industrie de la pub en ligne et ses promesses de ciblage efficace, de conversion des prospects, etc. Les éditeurs et certains médias (dont l’activité consiste à vendre de l’espace disponible) sont donc devenus les fers de lance de cette industrie (dont l’efficacité n’est d’ailleurs toujours pas démontrée - la pub n’est pas une discipline scientifique).

Ne peut-on pas voir d’un bon œil l’apparition de cette voie pécuniaire, qui propose de revenir à une monnaie d’échange bien classique ? Qui sait, et si l’innovation sur le paiement pour l’information en ligne pouvait ouvrir de nouvelles voies de financement qui montreraient leur efficacité et rapporteraient plus que l’industrie de la pub en ligne ? Il me semble plus intéressant d’explorer ces voies pour trouver des solutions conciliant respect de la vie privée et financement de l’information de qualité. L’éclatement de la bulle des technologies de pub ciblées et son système de traçage à grande échelle n’est peut être pas bien loin…

Censure de la loi Avia

Le Conseil constitutionnel vient de rendre sa décision sur la loi visant à lutter contre les contenus haineux sur internet, adoptée par le Parlement sur proposition de Madame la députée Laetitia Avia.

Cette décision pose deux difficultés.

La première tient au fait que la censure est quasi-totale. On peine donc à déterminer ce qu’il en reste. La seconde tient à cette interrogation : comment un texte de loi peut-il en arriver là ? Le Conseil d’État s’était pourtant penché sur la question en 2019.

2017-06-18

Les Exégètes Amateurs

Données sur le net : tous suspects

À l’occasion des actions engagées en faveur des droits au respect de la vie privée et à la protection des données personnelles, j’ai pu contribuer à la rédaction de cette tribune. Réaction à la position des autorités françaises face à la justice européenne, ce texte esquisse aussi brièvement ma critique de la société de suspicion généralisée — l’une des principales raisons de mes engagements avec « les Exégètes ».
Read more/Lire la suite

openSSL

Hier, j'étais au loop avec Okhin pour refaire le chiffrement de mon serveur mail, que je viens de réinstaller (Kolab 3.4, Debian 8).

Voici quelques liens qui nous ont été utiles :

  • How to create a self-signed SSL Certificate

    Attention cependant, en suivant ces instructions on crée un certificat avec le flag CA false alors que pour utiliser un certificat autosigné sur Android, il faut absolument que le flag CA soit true (voir ci-dessous).

    Finalement, voici la commande qui m'a permis de faire le certificat, dans /etc/ssl/private/:

    openssl req -x509 -new -key totosh.ampoliros.net.key -out totosh.ampoliros.net.csr -days 730
    

    Cette commande remplace l'étape 2. L'étape 4 n'est donc pas nécessaire semble-t-il.

    Ensuite, je copie totosh.ampoliros.net.csr vers /etc/ssl/certs/totosh.ampoliros.net.crt puis je configure mes services pour utiliser ce certificat ainsi que la clé privée générée à l'étape 1.

  • Je veux HTTPS

    Utilisé pour configurer Apache2.

  • Exemples de configuration Postfix de Benjamin Sonntag

    Sans oublier de générer dh2048.pem:

    openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048
    
  • Securing all Kolab Services

    Utilisé pour configurer Cyrus IMAPD.

Importer un certificat autosigné dans Android

Normalement, avec la commande openssl donnée plus haut, on génère un certificat autosigné acceptable pour Android.

On peut par exemple utiliser l'application CAdroid pour importer le certificat.

Si on est root sur l'Android, on peut aussi copier le certificat directement dans le système en passant par adb. C'est la solution que j'ai choisie.

Installing CAcert certificates on Android as 'system' credentials without lockscreen - instructions

(En passant: j'ai un bug sur CyanogenMod qui m'enmpêche pour le moment de modifier les paramètres de sécurité. Je suis donc passé par adb pour autoriser l'installation de sources autres que Google avec la commande: adb shell settings put secure install_non_market_apps 1.)

Décompilation d’un logiciel : état des lieux

Article écrit pendant mon stage d’élève-avocat chez Derriennic Associés :

Dans un arrêt du 18 mars 2015, la Cour d’appel de Caen a retenu que l’acte de décompilation d’une partie de Skype n’était pas constitutif du délit de contrefaçon, relaxant ainsi l’associé d’une société de sécurité informatique française qui voulait développer un système d’échanges d’informations sécurisé et fiable, interopérable avec Skype.

Lire la suite… (lemondedudroit.fr) ou Télécharger la version PDF

French Data Network contre le Gouvernement, acte 2

Après le dépôt de la requête introductive d’instance contre le décret LPM, c’est au tour du décret organisant le blocage administratif du Web. Nous voici donc à l’acte 2 du contentieux engagé par French Data Network, la fédération de fournisseurs associatifs d’accès internet et La Quadrature du Net contre le gouvernement.

La première requête a été envoyée le 18 février. La deuxième requête est partie aujourd’hui. Les deux documents seront bientôt publiés. Je laisse le soin à Benjamin de le faire, probablement sur le blog de FDN.

Mise à jour: recours LPM, recours blocage administratif

Samedi dernier, j’ai pu présenter notre action lors de l’assemblée générale de FDN. Pour ceux que ça intéresse, voici les diapos. Ils contiennent notamment une chronologie du contexte entourant chacun des deux décrets que nous avons attaqué, ainsi qu’une revue de nos principaux arguments.


Voilà donc trois mois bien remplis qui viennent de passer, depuis la publication du décret LPM. À ce moment-là, on ne se doutait pas que le Gouvernement nous préparait une déferlante de textes attentatoires aux libertés individuelles et à la vie privée.

Il est vrai que le contexte malheureux de ce début d’année n’y est probablement pour rien…

L’actuel projet de loi relatif au renseignement rend donc notre action d’autant plus importante !

– Bah, la vérité, la vérité…

– Bah, la vérité, la vérité… Qui peut dire ce qui est vrai et ce qui ne l'est pas, commandant ! Pour nous, l'essentiel, ce n'est pas la vérité, c'est la justice, non ?

Pierre Lemaitre, Alex (2011)

Il est juste que ce qui est juste soit suivi…

Il est juste que ce qui est juste soit suivi ; il est nécessaire que ce qui est fort soit suivi. La justice sans la force est impuissante, la force sans la justice est tyrannique. La justice sans force est contredite, parce qu'il y a toujours des méchants ; la force sans la justice est accusée. Il faut donc mettre ensemble la justice et la force et pour cela faire en sorte que ce qui est juste soit fort, ou que ce qui est fort soit juste.

La justice est sujette à dispute, la force est très reconnaissable et sans dispute. Ainsi on n'a pu donner la force à la justice, parce que la force a contredit la justice et a dit qu'elle était injuste, et a dit que c'était elle qui était juste. Et ainsi ne pouvant faire que ce qui est juste fût fort, on a fait que ce qui est fort fût juste…

Ne pouvant faire qu'il soit forcé d'obéir à la justice, on a fait qu'il soit juste d'obéir à la force. Ne pouvant fortifier la justice, on a justifié la force, afin que le juste et le fort fussent ensemble, et que la paix fût, qui est le souverain bien.

Pascal, Pensées (à vérifier)


Si vous êtes arrivé jusqu’ici, vous devriez consulter les archives.