Par le jeu des services gratuits proposés par les géants américains d'Internet, ceux qu'on appelle les GAFAM, nos données personnelles peuvent être transférées et exploitées sur des serveurs situés sur le sol américain. Suite à l'affaire Snowden, Maximilian Schrems a porté plainte contre Facebook en 2013. Il vient d'obtenir gain de cause en octobre dernier. En parallèle de cet arrêt «historique » de la Cour de Justice Européenne, il est bon de rappeler que nous pouvons devenir acteur de notre sécurité et maîtriser nos données de connexion. C'est tout l'intérêt du projet de la Brique Internet, ou comment nous réapproprier, de façon simple et tout à fait concrète, le réseau des réseaux...

Le 25 juin 2013, dans la foulée des révélations d'Edward Snowden sur le programme PRISM et la surveillance de masse organisée par la NSA, un juriste autrichien porte plainte contre le transfert de ses données par Facebook vers les Etats-Unis. La plainte est déposée devant le tribunal de commerce de Vienne contre la filiale irlandaise de la société de Mark Zukenberg, là où Facebook a son siège européen. Au vu des agissements de la NSA, Maximilian Schrems considère que les pratiques en usage aux USA ne garantissent pas aux citoyens européens une protection suffisante des données à caractère personnel. Or l'accord « Safe Harbor » signé en 2000 par la Commission stipule l'inverse.


Des excès considérables
Le commissaire européen saisi de la plainte considérant qu'il n'était pas tenu de procéder à une enquête, Maximilian Schrems porte l'affaire devant la Haute Cour de Justice. Elle va estimer que, si la surveillance électro-nique et l’interception des données à caractère personnel transférées depuis l’Union vers les États-Unis répondaient à des finalités nécessaires et indispensables à l’intérêt public, les révélations de Snowden démontraient a contrario que la NSA et d’autres organes fédéraux avaient commis des «excès considérables». Toujours selon la Haute Cour, les citoyens de l’Union ne disposeraient d’aucun droit effectif à être entendus. La supervision des actions des services de renseignement serait effectuée dans le cadre d’une procédure secrète et non contradictoire. Une fois les données à caractère personnel transférées vers les États -Unis, la NSA et d’autres organes fédéraux, tels que le Federal Bureau of Investigation (FBI), pourraient accéder à ces données dans le cadre de la surveillance et des interceptions indifférenciées qu’ils pratiquent à grande échelle !


Safe Harbor invalidé
Or, pour que ces interceptions de communications électroniques puissent être considérées comme conformes à la Constitution, la preuve devrait être rapportée que ces interceptions présentent un caractère ciblé, que la surveillance de certaines personnes ou de certains groupes de personnes soit objectivement justifiée dans l’intérêt de la sécurité nationale ou de la répression de la criminalité et qu’il existe des garanties adéquates et vérifiables. Et force est de constater, conclut la Haute Cour, qu'il existe à ce sujet « un doute sérieux ». Pour la cour, la surveillance exercée par les agences de renseignement américaines et révélée par les documents Snowden rend donc caduc l'accord Safe Harbor. Elle considère que la mise à disposition des données personnelles des Européens aux agences de renseignement américaines porte « atteinte au contenu essentiel du droit fondamental au respect de la vie privée » et que les internautes européens ne disposent « d'aucun recours pour s'opposer à l’uti-lisation de leurs données personnelles aux Etats-Unis ».


Un nouvel accord d'ici fin janvier 2016
Si l'arrêt de la Cour a une dimension « historique », elle s'inscrit dans un processus. Interrompre les flux de données entre l'Europe et les USA (cela concerne plus de 4000 entreprises) est inenvisageable. C'est pourquoi le G29 (le groupe qui réunit les commissions nationales de défense de la vie privée donc la Commission Belge) demande à tous les Etats membres européens d'engager au plus vite les discussions avec les autorités américaines afin de trouver « les solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux ». Il s'agit, selon le G29, d'offrir des garanties fortes aux citoyens européens via un nouvel accord actuellement en négociation. Safe Harbor 2.0, c'est son nom, est attendu au plus tard avant la fin du mois de janvier 2016 : « Si aucune solution satisfaisante n'était trouvée avec les autorités américaines, les autorités de protection s'engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées ». En attendant, les transferts qui s'opéreraient sur la base juridique de Safe Harbor sont illégaux. Seuls les autres dispositifs juridiques existant (clauses contractuelles types préparées par la Commission européenne à destination des sous-traitants et règles internes d'entreprises) peuvent fonctionner.

 

Fournisseur d'Accès Internet associatif
Quelles que soient les avancées de Safe Harbor, la question de la surveillance étatique et de l'exploitation des données personnelles à des fins commerciales reste cruciale. C'est ici que des initiatives comme celle de la Brique Internet prennent tout leur sens. Laurent Peuch est une figure très connue dans le monde des hackers. Après avoir très largement contribué au développement du mémoire politique au sein de la Quadrature du Net, il lancera l'initiative Nurpa (Net Users' Rights Protection Association) en Belgique « pour avoir un rôle comparable à la Quadrature ». Laurent Peuch suit de très près une autre initiative, celle d'une bande de copains, en France, qui vont décider de devenir fournisseurs d'accès Internet associatif.

L'une des chevilles ouvrières de ce projet est Benjamin Bayart, qui anime le réseau FDN (French Data Network). Au départ, FDN est né de la volonté de fournir de l'accès associatif par les membres du réseau et pour les membres du réseau. « On ne parle pas d'abonné, mais de membre à part entière, qui ont un droit de regard sur l'organisation . En 2010, j'ai rencontré Benjamin aux rencontres du logiciel libre et lui ai demandé quand la FDN débarquerait en Belgique. Il m'a conseillé d'en prendre l'initiative. Je l'ai pris au mot : c'est ainsi que Neutrinet a vu le jour. A l'époque, Benjamin faisait beaucoup de conférences et le nombre de membres allait croissant. Pour ne pas perdre l'esprit humain du projet et continuer à fonctionner au sein de petites structures, il a décidé d'encou-rager la création d'autres FAI (Fournisseurs d’Accès Internet) associatifs et de lancer une fédération, la FFDN (Fédération French Data Network). Aujourd'hui, elle compte 26 associations et plus de 200 membres, dont Neutrinet ».

 

La brique Internet : communiquer de façon cryptée
Laurent Peuch : « Il y a plusieurs façons de fournir de l'accès Internet. On peut déposer ses propres câbles sur tout le pays, mais c'est hors de prix. On peut, cela s'appelle un contrat de collecte, louer cet accès à un opérateur existant, Belgacom par exemple. Mais cela aussi, cela coûte très très cher. La troisième solution est de ne pas s'occuper de l'infrastructure mais de fournir un service VPN, un tunnel chiffré, une connexion entre ta machine à toi et le serveur : c'est que fait la Brique Internet ». La brique Internet est un petit boîtier avec une antenne qu'il suffit de brancher sur une prise de courant et sur le port de la « box » de son fournisseur d'accès à Internet. Il va créer un réseau wi-fi : tous les appareils qui s'y connecteront communiqueront de façon cryptée. Laurent Peuch : « Le trafic entre ces briques et Neutrinet sera illisible, y compris pour le fournisseur d'accès Internet commercial, en qui on n'a pas forcément confiance. C'est particulièrement le cas en France où la loi renseignement permet de placer des boîtes noires chez les fournisseurs d'accès Internet ».


Un nom de domaine personnel
La brique permet également d'éviter les surveillances « commerciales ». Le boîtier est un véritable petit serveur Internet, qui donne accès à un nom de domaine. « Il suffit à l'utilisateur ou à l'association de choisir un domaine per-sonnel, celui qu'il veut : il suffit qu'il soit libre. Il pourra alors via une interface Internet extrêmement simple avoir accès à tous les services classiques qu'on utilise d'habitude, mais en alternative libre : courrier électronique, espace de stockage Cloud, traitement de texte, tableurs, blog, agenda. Le boîtier coûte 60 €, plus 8 € par mois pour les services d'auto-hébergement sécurisé. « Il s'agit d'un prix libre, avec un minimum de 8€. A terme, nous voudrions qu'il n'y ait plus de prix minimum ».
Neutrinet ne prend pas de marge sur le matériel. L'ASBL compte exclusivement des bénévoles. Laurent Peuch : « En tant que FAI, Neutrinet propose un service support. Tous les 3ème vendredi du mois, on organise à Bruxelles une réunion pour nos membres. Le paramétrage de la Brique est très très simple. Cela prend une demi heure environ. Au départ, la Brique vise le grand public. Nous sommes en train d'affiner la solution pour le secteur associatif, avec des applications comme la comptabilité, la gestion des membres, les aspects collaboratifs. Notre solution est intéressante pour les petites structures, jusqu'à une dizaine de personnes. Au-delà, les contraintes sont plus élevées : on peut alors s'adresser à des services comme Domaine Public ou Cassiopea, comme le font des structures comme la Zinneke ou Attac. A terme, nous voudrions que des structures identiques à Neutrinet se multiplent partout en Belgique afin de permettre une réappropriation citoyenne d'une partie du réseau, d'une partie de l'infrastructure qui compose l'Internet. C'est important car cela change complètement la relation de l'utilisateur. Chez Belgacom, tu es un numéro. Chez Neutrinet, tu es un membre à part entière, avec un droit de vote sur une structure en faveur de laquelle tu opères une délégation de confiance pour la prise en charge sécurisée de ton trafic Internet. C'est un peu un retour aux sources premières de l'Internet, où chacun maîtrisait ses propres données, pour ensuite partager des services et des ressources dans un esprit libre ».

 

 


Sources et infos
La carte des fournisseurs d'accès associatif : http://db.ffdn.org/
La Brique Internet : http://labriqueinter.net/
L'arrêt de la Cour de Justice Européenne : http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf
https://www.laquadrature.net/files/schrems-arret-de-la-cour.pdf
Le Groupe de travail 29  : http://ec.europa.eu/justice/data-protection/article-29/index_fr.htm
Le mémoire politique : https://wiki.laquadrature.net/Portail:M%C3%A9moire_Politique:M%C3%A9moire_Politique
Laurent Peuch : https://coderwall.com/psycojoker