Supprimer les VPN, lever l’anonymat sur Internet… Pourquoi nos politiques proposent-ils des idées irréalistes ?
1 octobre 2023 à 08:21 par Stéphanie Bascou
Pourquoi des députés ont-ils proposé de supprimer les VPN ou de lever l’anonymat à l’occasion du projet de loi SREN ? Outre les méconnaissances technique et juridique déplorées par des spécialistes, ces deux idées seraient un savant mix de plusieurs éléments : l’absence d’auditions d’experts, une culture du compromis inexistante, la volonté de se faire un nom… le tout mettant en danger nos libertés fondamentales.
« C’était le concours Lépine de l’idée la plus clivante ». Ces dernières semaines, les propositions destinées à « mettre fin au Far West du numérique » se sont multipliées à l’occasion du projet de loi SREN (visant à sécuriser et à réguler l’espace numérique) en discussion à l’Assemblée nationale. Face à plusieurs cas tragiques de suicides d’adolescents victimes de cyberharcèlements, certains députés ont proposé, dans des amendements au projet de loi, des mesures chocs comme lever l’anonymat qui régnerait sur le Web ou supprimer les VPN… Ces mesures, irréalisables techniquement ou dangereuses du point de vue de nos droits fondamentaux, ont suscité la levée de boucliers de défenseurs des libertés fondamentales. Des informaticiens ont pris soin de déconstruire une à une ces propositions, déplorant des idées déconnectées des réalités, comme chez nos confrères de France 3.
« Quand on dit que ce qui est interdit dans le monde physique doit l’être dans le numérique. C’est trop simple, trop lapidaire et pas nuancé », a martelé en commission le député MoDem Philippe Latombe, mardi 19 septembre. Et si la majorité de ces idées a finalement été retirée des amendements du projet de loi, la question demeure : pourquoi les Parlementaires sont-ils allés vers le « trop simple » et techniquement irréalisable, voire peu souhaitable ?
Le monde de l’Internet libre contre le monde de l’Internet régulé
Premier constat : ce n’est pas la première fois que ce type de mesures — aux objectifs plus que louables, mais décorrélés de la façon dont fonctionne le Web — finissent sur la place publique. Oui, il faut tout faire pour mettre fin au cyberharcèlement, et oui, il faut protéger davantage les mineurs. Mais le problème est que « les députés (sont) toujours aussi nuls sur les lois numériques », regrette ce blogueur anonyme, le 19 septembre dernier.
Lors de la loi Avia (2020) ou la loi Hadopi (2009), des débats similaires ont eu lieu. « À chaque fois que vous avez une nouvelle loi sur Internet, il y a deux mondes qui s’affrontent : le monde d’un Internet libre et celui d’un Internet régulé », commente Eric Barbry, avocat associé du Cabinet Racine. « Entre les deux, il y a ceux qui essayent des voies pour réguler le tout dans des conditions satisfaisantes. Mais vous ne pouvez pas empêcher une frange de la classe politique de vouloir aller le plus loin possible et donc amener vers l’interdiction de l’anonymat » en ligne, ajoute l’avocat spécialisé en droit du numérique.
Le rapporteur du projet de loi et député Renaissance Paul Midy a ainsi défendu l’idée d’associer un compte d’un réseau social à une identité numérique, prônant « la fin de l’anonymat au profit du pseudonymat ». Le système fonctionnerait sur le même principe qu’une plaque d’immatriculation. Pourtant, l’anonymat n’existe pas sur le Web : les enquêteurs parviennent toujours à retrouver les auteurs de cyberharcèlement ou de menace de mort, même si cela prend souvent bien trop de temps.
Le député Renaissance Mounir Belhamiti a, de son côté, défendu l’idée de supprimer les VPN alors qu’ils sont très utilisés, par les policiers, les journalistes, les ingénieurs en cybersécurité ou les entreprises. Dans certains pays, les VPN sont un moyen de contourner la censure sur le Web. Face au tollé, ce parlementaire a finalement rétropédalé. D’autres mesures contenues dans le projet de loi, comme le bannissement des cyberharceleurs des réseaux sociaux, se heurtent aussi à la faisabilité technique, car cela reviendrait à obliger les plateformes à surveiller activement le fait que tel internaute ne se recrée pas de compte. Mais alors, pourquoi avoir émis de telles idées ?
« On se croit expert du numérique parce qu’on a un compte TikTok »
« La majorité des gens, nos politiciens sont dans ce cas-là, se croient plus ou moins experts de l’usage des outils numériques parce qu’ils s’en servent, ou parce qu’ils ont un compte TikTok », souligne Benjamin Bayart, militant pour les droits numériques et cofondateur de la Quadrature du Net. Mais « cela ne veut pas dire qu’ils ont compris comment ça marche, ni ses effets sur la société. Quand on change les outils avec lesquels les humains communiquent, on change la façon dont la société se fabrique », ajoute-t-il. « Sans parler du fait qu’en plus, techniquement, ils ne comprennent rien à la manière dont fonctionnent les ordinateurs. C’est ce qui fait qu’ils se disent “on va interdire les VPN” sans avoir la moindre idée de ce à quoi ça touche », poursuit-il.
« La plupart des experts de ces questions avec qui je me suis entretenu m’ont tous dit qu’ils n’avaient pas été auditionnés (par les députés, ndlr), ou qu’ils n’avaient jamais fait partie des débats. Donc je me demande en fait sur qui on s’est appuyé pour émettre ce genre de propositions », s’interroge Tariq Krim, ancien co-président du Conseil du numérique, entrepreneur et initiateur du mouvement Slow Web.
Les députés ne sont pas censés être spécialistes de tout. Mais lorsqu’ils doivent prendre des décisions, en particulier dans des domaines qu’ils ne maîtrisent pas, il est généralement attendu qu’ils s’appuient sur des experts du sujet en question. Mais même quand ces auditions ont lieu, le bât blesse. « Les parlementaires devraient s’adresser aux chercheurs qui travaillent sur ces sujets depuis des années. Ils devraient éviter tous ceux qui ont des choses à vendre, comme la première startup qui passe et qui dit “regardez j’ai la solution qui va super bien marcher dans le Web3, je crois qu’elle va permettre d’identifier tout le monde” », tacle Laurent Chemla, informaticien et cofondateur de Gandi. Même son de cloche pour l’avocat en droit du numérique Alexandre Archambault, qui décrit un législateur qui « n’auditionne que les proches ou les gens qui sont d’accord avec lui ».
« La France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout »
Les juristes semblent aussi avoir manqué à l’appel, puisque les députés sont repartis d’une page blanche, alors qu’ils étaient censés, avec ce projet de loi, transposer un règlement européen, le DSA (« Digital Services Act » ou règlement européen sur les services numériques). Ils auraient dû se cantonner à des dispositions à la marge, comme nommer les autorités nationales de contrôle. Imposer davantage d’obligations aux réseaux sociaux ou aux plateformes du Web, « cela relève (désormais, depuis le DSA) soit exclusivement de la Commission européenne, soit du pays d’établissement (le pays dans lequel une entreprise a son siège européen, souvent l’Irlande pour les géants du numérique) – donc la France peut dicter des choses à Copains d’avant et Doctissimo, mais c’est tout », résume Maître Alexandre Archambault. Ces deux plateformes ont leur siège social en France.
Cela ne veut pas dire que le « DSA soit gravé dans le marbre. La Commission européenne dit simplement : si on veut améliorer la protection des mineurs ou mieux lutter contre les contenus haineux ou la désinformation, mettons-nous autour d’une table et voyons comment améliorer les choses – mais au niveau européen. Mais si chaque pays le fait en ordre dispersé, chacun dans son coin – comme le fait la France – c’est intenable », ajoute-t-il. C’est le sens « *d*es observations très sévères de la Commission européenne du 2 août dernier, qui visent directement le projet de loi SREN ». L’auteur de ces observations, Thierry Breton, le commissaire européen au Marché intérieur , dit en substance : « vous ne pouvez pas contraindre les entreprises du Web à davantage d’obligations que ce que le droit européen prévoit. Ce n’est ni fait ni à faire, ça participe à la fragmentation du droit de l’Union, on s’y opposera. Et là, vous avez nos parlementaires qui n’en tiennent pas compte et qui sont dans une fuite en avant », poursuit Maître Archambault, déplorant « une nouvelle loi de circonstances, dictée par l’émotion ».
« La seule façon qu’ils ont d’exister, c’est de faire le pitre »
Mais alors, pourquoi avoir prôné ces mesures de suppression des VPN ou d’anonymat ? Chez la majorité des experts que nous avons interrogée, la même explication est donnée. Les Parlementaires se livreraient à « un concours Lépine des mesures les plus clivantes » parce que ce serait, pour eux, une façon de se faire un nom, regrette Maître Archambault. « La seule manière qu’ils ont d’exister, c’est de faire le pitre. En France, le pouvoir législatif est extrêmement faible, on l’a vu avec la réforme des retraites. Et donc les députés font n’importe quoi pour exister », abonde Benjamin Bayart. « D’autant qu’à l’Assemblée nationale, on ne cherche pas à trouver des compromis, comme c’est le cas au Parlement européen, où pour qu’un texte passe, il faut qu’on trouve un consensus entre plusieurs groupes. Ce qui veut dire que toutes les solutions un peu trop aberrantes vont être écartées, ce qui n’est pas le cas en France », ajoute-t-il.
Résultat, le rapporteur de la loi, Paul Midy, était peu connu jusqu’alors. Mais avec sa sortie médiatique sur la levée d’anonymat, il est passé dans tous les médias. Et cela a eu une conséquence : l’idée d’avoir à s’identifier avec une pièce d’identité pour utiliser les réseaux sociaux, comme celle de supprimer les VPN, ont été largement partagées. Et elles pourraient finir par infuser dans la société, s’alarme Laurent Chemla.
Pour le militant des libertés numériques, « on essaie de pousser des idées qu’on sait irréalisables pour amener petit à petit dans l’esprit du public l’idée qu’il faut effectivement réguler la parole publique, réguler les réseaux sociaux, empêcher les gens d’avoir une liberté d’expression totale. À force de répéter, depuis plus de 27 ans, qu’Internet est une zone de non-droit, on arrive à faire passer dans l’esprit du public que oui, c’est vrai, il y a un problème avec Internet, que ce n’est pas normal que n’importe qui puisse dire n’importe quoi. Donc il y a cette volonté de faire évoluer l’opinion publique vers plus de contrôle de la parole des citoyens, et pour ça, on va proposer des choses qu’on sait irréalistes, qui petit à petit amènent à ce type de propositions », analyse-t-il.
Car avec la technologie, il y a désormais une possibilité de traçage qui n’existait pas jusqu’alors, reconnaît Pierre Beyssac, porte-parole du Parti Pirate et cofondateur de Gandi. « Lorsqu’on établit une connexion réseau ou mobile, il faut savoir où est l’utilisateur. Il est donc tentant pour la police, qui connaît ce fonctionnement technique, d’exploiter cette technologie pour lutter contre le crime et la délinquance ». Mais ce n’est pas parce que cette possibilité existe qu’il faut l’utiliser.
Car « si on y réfléchit, cela reviendrait à vouloir rendre impossible tout ce qui pourrait être illégal sur internet », abonde Laurent Chemla. Or, « dans la vie réelle, ça n’est pas impossible de commettre des délits, ou des crimes, c’est puni a posteriori, mais ça n’est pas rendu impossible a priori, sinon on aurait une caméra derrière la tête de tous les citoyens en permanence », souligne l’informaticien. « Sur Internet, on a l’impression que toutes ces mesures (contrôle d’identité des internautes, suppression des VPN) ont un objectif : rendre tous les crimes, tous les délits, toutes les dérives impossibles a priori, et ça, c’est délirant, on ne peut pas faire ça », estime-t-il.
« On se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde »
Et si beaucoup comprennent l’argumentaire des policiers qui disent : « “si on ne nous laisse pas surveiller la population et accéder à toutes les données numériques auxquelles on peut accéder en surveillant les gens, ça rend les enquêtes plus compliquées”, il faut rappeler que dans la vie réelle aussi, les enquêtes sont compliquées », insiste Laurent Chemla. « J’avais regardé les chiffres sur les vols de bagnoles, il y a 6 % de résolution et 94 % de vols qui restent impunis. Et pourtant, on ne cherche pas à empêcher complètement les vols de bagnole en mettant des caméras dans tous les garages. Mais évidemment, vu que c’est numérique, on se dit, puisqu’on peut surveiller tout le monde, on surveille tout le monde », souligne-t-il.
On serait passé de « tout le monde est innocent jusqu’à preuve du contraire » à « tout le monde est coupable jusqu’à preuve du contraire », regrette Benjamin Bayart, au sujet par exemple de l’accès des mineurs aux sites pornographiques. « Au “il ne faut pas que les mineurs accèdent à du porno”, la seule réponse qu’on a, c’est : “il va falloir que la totalité des adultes prouvent qu’ils sont adultes à chaque clic qu’ils font” », note-t-il.
« Par défaut, vous êtes suspect »
Comme nous vous l’expliquions en mars dernier, une autre proposition de loi (instaurant une majorité numérique et visant à lutter contre la haine en ligne), promulguée en juillet dernier, évoque, pour les sites pornographiques, la mise en place, pour s’assurer de la majorité d’un utilisateur, d’une solution technique – qui n’existe pas encore. Il s’agirait de passer par un tiers de confiance qui délivrerait un jeton et qui confirmerait la majorité de l’utilisateur au site en question, vraisemblablement à chaque connexion.
Problème : cela fait des mois que cette solution serait expérimentée, sans qu’aucun retour ne fuite. Seule nouvelle récente de cette « expérimentation » : Jean-Noël Barrot, le ministre délégué chargé du Numérique, a concédé à demi-mot que cela ne fonctionnait pas pour l’instant à 100 %. « Je ne dis pas que ça marche à plein tube », déclarait-il le 20 septembre dernier, chez nos confrères de Tech&Co. Pour beaucoup, la solution évoquée dans la loi et expérimentée connaîtra la même trajectoire que celle observée au Royaume-Uni et en Australie. Ces deux pays avaient aussi voulu mettre en place un contrôle d’âge similaire, avant d’y renoncer, faute d’avoir trouvé une solution qui fonctionne.
Or, avec un tel système, « il y a cette idée qui s’instille dans la tête des gens que c’est à vous de prouver que vous êtes innocent parce que par défaut, vous êtes suspect. Et il vous faut le prouver en permanence, pas le prouver une et une seule fois, mais le prouver tout le temps, tout le temps, tout le temps », répète Benjamin Bayart.
Alors comment faire pour éviter ce changement de paradigme et voir à nouveau ces propositions trop rapides et parfois dangereuses finir dans le débat public ? Comment préserver nos libertés, tout en luttant contre le cyberharcèlement et en protégeant mieux les mineurs ?
Pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que six ?
Côté Parlement, il faudrait redonner du pouvoir aux députés, avance Benjamin Bayart. Et que ces derniers fassent davantage de contrôle de l’action publique, comme d’autres pays le font, estime Maître Archambault. « Plutôt que de passer par des nouvelles lois, on fait des commissions d’enquête, en demandant par exemple pourquoi il y a 120 magistrats dédiés aux problématiques numériques à Berlin, alors qu’à Paris, ils ne sont que… six. Pourquoi il faut trois ans – soit une éternité – pour que les harceleurs de Mila ou de Hoschi soient condamnés, alors qu’elles ont la chance d’être entourées de bons conseils ? »
Que les politiques écoutent davantage les experts, que les médias couvrent plus les cas de condamnation de cyberharceleurs, et qu’il y ait bien plus de moyens alloués à la justice et à la prévention du cyberharcèlement font partie des pistes d’amélioration citées. Mettre en place de grandes campagnes nationales, comme on l’a fait avec l’alcool dans les années 80, où on est passé « de la répression à la prévention », est également mentionné.
Dans ce débat, il ne faut surtout pas perdre de vue nos droits fondamentaux
Il faudrait aussi pouvoir lever plus facilement l’anonymat en cas de harcèlement en ligne ou de propos injurieux ou diffamatoires, explique Maître Barbry. Il s’agit d’un point de procédure qui a son importance. « Pour la suppression des contenus, on a de plus en plus recours aux moyens proposés les plateformes en ligne, mais c’est très aléatoire et nettement insuffisant. Et avoir la possibilité d’identifier les personnes est devenu très compliqué. Or, le seul moyen de réparer un préjudice, c’est d’avoir quelqu’un en face de vous qui répond de ses actes », relève-t-il. La raison ? Un changement des règles qui impose désormais, quand on cherche à savoir qui est derrière un compte de cyberharceleur, de passer par une procédure accélérée au fond et non plus en référé. « La procédure est plus juste d’un point de vue procédural, mais bien plus longue et complexe pour les victimes », résume-t-il.
Pour Pierre Beyssac, il faut désormais accepter que « le monde d’aujourd’hui avec les réseaux n’est plus celui d’autrefois. Il faut essayer de trouver des solutions adaptées, en évitant de céder à la tentation d’utiliser la technologie pour réduire nos libertés », souligne l’informaticien à la tête d’Eriomem. « Notre vie de tous les jours étant de plus en plus appuyée sur ces réseaux, nos droits fondamentaux vont en dépendre de plus en plus », estime-t-il. « *I*l est donc essentiel de les défendre bec et ongle, et de *t*out faire pour ne pas se tirer une balle dans le pied, sur la société que l’on veut construire ».