Monsieur, merci d'être parmi nous. Vous êtes porte-parole de l'association La quadrature du net, fondée en 2008, qui vise à la défense des droits et libertés des citoyens sur Internet. Nous avons parlé de souveraineté numérique, mais M. de La Chapelle nous a mis en garde contre cette notion ; nous pourrions, en prenant la question à l'envers, parler de colonisation numérique dès lors qu'un Etat impose son droit hors de son territoire.

Il est très utile qu'une association comme la vôtre soit entendue. Nous vous écoutons, avant de vous poser quelques questions.

Merci pour cette invitation. C'est un honneur de se faire interroger sur ces sujets. Je voudrais faire observer qu'alors que le Sénat se penche sur le sujet de la gouvernance de l'internet, le Conseil d'Etat a annoncé qu'il consacrait son étude annuelle 2014 aux technologies numériques et aux libertés et droits fondamentaux. C'est peut-être le signe d'une prise de conscience politique.

Le mot « gouvernance » m'horripile. C'est une arlésienne qui resurgit depuis sa définition en 2005 par le Sommet mondial de la société de l'information : « l'élaboration et l'application par les États, le secteur privé et la société civile, dans le cadre de leurs rôles respectifs, de principes, normes, règles, procédures de prise de décision et programmes communs propres à modeler l'évolution et l'utilisation de l'Internet ». Mais le terme de « multistakeholderism », devenu une sorte de religion dans certains milieux de l'internet, m'irrite encore plus ! Il s'agit de termes creux, de mots-valises qui neutralisent le débat. Les vraies décisions ne se prennent pas à l'Internet Gouvernance Forum (IGF) créé en 2005, où se réunissent acteurs publics, acteurs privés, société civile. Google y a une voix, au même titre que les citoyens, alors que cette société n'a pas de carte d'électeur... Or les questions de gouvernance concernent tous les citoyens et les décisions qui ont un impact sont multiformes, multicercles et subtiles à percevoir.

Ainsi, les décisions d'ordre technique sont prises par l'IETF et le W3C, organes de standardisation, or elles ont un impact réel sur l'internet au jour le jour, sur la structuration du réseau (comme l'intégration des mesures techniques de restriction d'usage dans la norme html, discutée au W3C). On peut aussi évoquer les décisions d'ordre économique, comme la structuration d'internet sur le continent africain autour d'un accès quasiment exclusivement mobile. Enfin, des décisions politiques sont prises aux plans national, ou européen, mais n'ont jusque là jamais été prises à l'échelle mondiale.

Cette diversité de formes de prises de décisions, jointe à la diversité des acteurs, rend votre tâche ardue : il est difficile de faire un état des lieux objectif pour que le politique tente de peser sur cette fameuse gouvernance. Je voudrais d'abord présenter les menaces que nous avons identifiées, avant d'insister sur les valeurs à défendre.

Les menaces sont doubles : elles concernent à la fois les libertés sur internet et la structure du réseau. Ces menaces découlent pour certaines de décisions politiques : la Chine sélectionne les termes qui seront accessibles en ligne et impose aux entreprises de consentir à l'accès des autorités à leurs données, ce qui, à cette échelle, a un impact déterminant. Mais des dispositifs de censure se développent hors de Chine, du Pakistan ou de l'Iran, notamment dans les démocraties occidentales. Ainsi, la LOPPSI en 2009 a instauré une censure administrative, empêchant l'accès à des ressources qui continuent d'exister sur le réseau, au nom de la lutte légitime contre la pédopornographie, étendue ensuite à l'encontre des casinos ne payant pas leurs impôts en France, peut-être bientôt aux entreprises de divertissement et aujourd'hui au système prostitutionnel. Il s'agit souvent d'un renoncement du politique qui confie à des acteurs privés des missions qui relèvent de la police ou de la justice, au nom d'une prétendue auto-régulation voire d'une déontologie comme on le disait du temps du Forum des droits sur l'internet. Au nom de la lutte contre la contrefaçon, une société comme Youtube s'apparente à une justice privée : des robots chassent les images détenues par telle ou telle entreprise pour suspendre ces contenus voire le compte d'un internaute. Même s'il existe une exception au droit d'auteur pour parodie, cela n'a pas empêché la suppression de vidéos parodiques postées par la Quadrature du net à des fins politiques. Ainsi, par voie contractuelle et en lien avec les industries du divertissement, on admet une surveillance de plus en plus large. Ces mécanismes de censure privée peuvent même résulter de décisions politiques, comme cela aurait pu être le cas si la pression populaire n'avait pas étouffé les propositions de lois américaines antipiratage SOPA (Stop Online Piracy Act) et PIPA (Protect Intellectual Property Act) ainsi que le traité ACTA. On s'attend à ce que la future loi « création » annoncée par le Gouvernement qui devrait étendre les compétences du CSA sur internet, reprenant les conclusions du rapport Lescure, fonde une spécificité française autorisant les entreprises privées à se livrer à des missions de surveillance. Cette tendance lourde renforce le pouvoir de ces entreprises, ce qui est inquiétant.

Mais si l'on a échappé au filtrage de masse, des atteintes à la neutralité du net se multiplient - nous les avons documentées depuis plus de cinq ans - quand des décisions d'opérateurs télécoms sont prises pour bloquer l'accès à certains services de vidéos ou prioriser certains flux ou quand les opérateurs s'entendent pour vendre des minutes de voix internationales plutôt que faciliter l'accès à la voix sur IP.

On voit aussi une tendance à contrôler les outils de communication. Les révélations d'E. Snowden montrent que la NSA consacre 250 milliards de dollars par an au programme Bullrun pour saboter les technologies de sécurisation de l'internet (protocoles et dispositifs physiques de chiffrement, routeurs, systèmes d'exploitation grand public...). De plus, depuis une quinzaine d'années, les logiciels fermés se multiplient, de même que les matériels fermés (dont on ne peut même pas enlever la batterie pour s'assurer qu'ils ne sont plus connectés aux réseaux), et les plateformes hypercentralisées dont le modèle économique est de savoir tout sur tous tout le temps. Et tout cela ne profite qu'à un seul pays, dont les facultés de surveillance sont utilisées pour pratiquer l'espionnage à échelle industrielle. Selon une étude récente de la New America Foundation, seuls 3 % des attentats terroristes ont été déjoué grâce à cette surveillance de masse.

Cette tendance à orienter les technologies pour plus de contrôle a eu un impact profond et silencieux jusqu'aux révélations l'an dernier d'E. Snowden. Il faut donc en finir avec le mythe du multi-acteurs et se concentrer sur les valeurs universelles à défendre sans compromis : libertés fondamentales, universalité de l'accès et de la capacité de participation, ouverture et maîtrise des technologies par les citoyens (logiciel libre, infrastructures décentralisées, chiffrement point à point), partage des connaissances... Sur ce fondement, le politique peut prendre des décisions et guider les comportements.

La gouvernance de l'internet ne peut qu'être l'affaire des internautes et des « trustees », qui sont des dépositaires de confiance et dont on peut se demander s'ils sont des acteurs privés ou publics et s'ils doivent interagir. Nous devons défendre l'internet comme le bien commun de ses utilisateurs : ce sont eux les « stakeholders » qui doivent être au centre, sous peine de transformer internet en instrument de contrôle.

J'ai bien entendu votre propos. Mais n'y aurait-il pas tout de même une singularité dans le traitement français et européen de ces problématiques ? Vous estimez que les citoyens doivent être au coeur du réseau, mais comment la valeur ajoutée sera-t-elle créée si l'on interdit aux entreprises de traiter leurs données, par exemple par des systèmes de cryptage privés ?

Pour ce qui est des institutions européennes, il faut d'abord réformer radicalement le Conseil ! La société civile est très peu représentée à Bruxelles, au contraire des grandes entreprises, notamment du secteur du divertissement. Leur influence se répercute ensuite sur chaque État membre, comme on a pu le voir avec l'évolution de la règlementation sur la copie privée. La commissaire européenne chargée de la société numérique, Mme Nelly Kroes, n'a pas particulièrement brillé dans l'audition qui a précédé sa nomination. Les engagements sur la neutralité du Net qu'elle y avait pris se sont traduits par un projet de règlement qui, en recherchant le compromis, ne satisfait personne. Aussi ne sait-on plus très bien aujourd'hui quel organe européen il faudrait privilégier ...

Le modèle économique actuel, qui repose sur des entreprises faisant l'objet d'une importante valorisation boursière, consiste véritablement à « tondre » les données des citoyens, dont la valeur va continuer d'augmenter avec leur affinement progressif. Cette approche n'est pas inéluctable dans la mesure où les utilisateurs en sortent perdants, ce dont ils finiront par s'apercevoir. L'article 20 de la dernière loi de programmation militaire va d'ailleurs contribuer à dégrader un peu plus leur confiance.

Il existe des alternatives à ce modèle dominant, que l'Union européenne devrait promouvoir. Les logiciels libres et l'architecture décentralisée nécessitent toutefois un accompagnement personnalisé. Il serait par ailleurs opportun d'adopter le nouveau règlement sur la protection des données personnelles. Une économie basée sur les services et respectueuse des libertés individuelles pourrait émerger et constituer un débouché majeur pour des entreprises situées sur nos territoires et respectueuses de ces valeurs.

Mais ne pensez-vous pas, comme l'a souligné un intervenant précédent, que Facebook n'aurait jamais pu être créé dans notre pays ?

En effet, mais cela est dû à la règlementation européenne. Suite à un procès, un étudiant autrichien a obtenu de Facebook la communication de 500 Mo de données qui auraient dû être effacées. L'affaire Prism montre que l'accord Safe Harbor a été violé. Facebook a été financé par des fonds de pension américains liés à la CIA ; c'est dire qu'il a été pensé comme un véritable instrument de renseignement.

Un informaticien toulousain, Emmanuel Benazera, a cherché à mettre au point un moteur de recherche décentralisé. Son projet, baptisé Seeks, n'a fait l'objet d'aucun soutien public, et se trouve quasiment abandonné. Il aurait pourtant pu aboutir à la création d'un instrument de recherche alternatif à Google.

Faut-il selon vous inscrire le principe de neutralité du Net dans la loi ? À quel niveau : national, européen ou international ? Que pensez-vous des propositions faites par l'Autorité de régulation des communications électroniques et des postes (Arcep) à ce sujet ? Et de celle de la commissaire Nelly Kroes ?

Vous avez évoqué des organismes comme l'IETF et le W3C, que vous avez qualifiés de techniques. N'y a-t-il pas cependant une mainmise des États-Unis sur leur fonctionnement ? Ne faudrait-il pas réviser les statuts de l'Icann pour lui donner davantage d'indépendance ?

Les politiques doivent défendre nos libertés fondamentales. Le respect de la neutralité du Net en fait partie ; ils doivent à ce titre la protéger absolument. Dans sa décision n° 2009-580 DC du 10 juin 2009, relative à la loi favorisant la diffusion et la protection de la création sur Internet, le Conseil constitutionnel a consacré la liberté d'accéder aux services en ligne comme une composante de la liberté d'expression. Défendre celle-ci, c'est également défendre l'innovation et la concurrence.

Les acteurs du secteur des télécoms ont changé de stratégie. Ils ont d'abord tenté de limiter les communications entre utilisateurs, puis ont cherché à obtenir de Google le paiement d'une contribution pour l'usage des réseaux et données. La formule Red de SFR, offrant 5 Go de communications mensuelles, ainsi qu'un usage illimité de You Tube, constitue un exemple de discrimination : l'accès à un éditeur de services spécifique est priorisé par rapport à l'accès au réseau Internet en général.

Certains pays ont inscrit la neutralité du Net dans la loi ; c'est le cas des Pays-Bas, de la Slovaquie ou du Chili. Les propositions avancées par la commissaire Nelly Kroes sont insuffisantes, et même contradictoires. Ainsi, le paragraphe 5 de l'article 23 de son projet de règlement interdit aux fournisseurs de services d'accès à l'Internet de ralentir, dégrader ou traiter de manière discriminatoire les contenus, applications ou services qu'ils acheminent, tandis que le paragraphe 2 les autorise à conclure des accords avec les fournisseurs de ces contenus, applications ou services les limitant à un niveau de qualité de service défini ou à une capacité dédiée. Aussi appelons-nous à supprimer cette disposition, et à tout le moins à la modifier.

L'Europe constitue la bonne échelle d'intervention pour ce qui est de la neutralité du Net, mais rien n'empêcherait notre pays de compléter son action. Le projet de loi annoncé sur les libertés sur Internet y pourvoira peut-être.

Les propositions émanant de l'Arcep sont intéressantes, mais la récente décision rendue par la justice américaine dans l'affaire opposant l'agence américaine de régulation des communications, la FCC, à l'opérateur Verizon, a montré que les géants du Net ne se laisseraient pas intimider par les autorités nationales. Le dispositif législatif américain n'a pas fonctionné car il était dépourvu de sanctions, preuve qu'une loi en ce domaine devrait impérativement être assortie de dispositions coercitives.

Les organes de standardisation de l'Internet sont étroitement encadrés par la NSA, sous prétexte de préoccupations techniques, comme cela a été le cas pour l'IPsec (Internet Protocol Security). Il faudrait donc davantage prendre en compte la nature politique de ces standards. La transparence est aujourd'hui assez forte sur leur procédure d'élaboration et de révision, mais ils ne sont pas immunisés contre un tel interventionnisme.

S'agissant de l'Icann, nous attendons avec impatience le logiciel libre et l'architecture décentralisée qui permettra de nous en débarrasser. Cette structure, dont l'activité est devenue commerciale, et qui centralise des ressources rares, n'est plus digne de confiance. Elle n'a pas réagi, par exemple, suite à la saisie par le gouvernement américain de plus de 70 noms de domaine, dont celui du site espagnol Rojadirecta.

GNUnet, un réseau informatique non centralisé et d'usage libre, est en plein essor. Le GNU Name System (GNS) pourrait remplacer à terme le système de noms de domaine (DNS), comme tend à le croire Louis Pouzin.

Nous vous remercions. Entendre La Quadrature du Net nous a paru nécessaire, et même indispensable, dans ce débat. Pour ma part, je serais prêt à affecter une partie de la réserve parlementaire au financement du projet de moteur de recherche alternatif que vous avez évoqué !