La sécurité est à la base de la pyramide de Maslow : d’après le célèbre psychologue, nous avons un besoin naturel de sécurité et d’ordre général à assouvir pour garantir notre survie physique, et avec elle notre santé mentale. La théorie de Maslow veut que l’on s’appliquera en priorité à assouvir les besoins de la base de la pyramide, et, par conséquent, on aura tendance à rechercher un environnement sûr avant de s’atteler à réfléchir au droit du numérique. Puisque nous nous adonnons à cette dernière activité, un syllogisme de base nous conduit à déduire que nous sommes en sécurité, n’est-ce pas ? Pas si sûr…
La cyber-insécurité, virtuelle mais bien réelle
La numérisation de la société touche tous ses pans : puisque nos relations professionnelles, sociales, économiques, voire même amoureuses (pour ce qui est de la rencontre en tout cas) se dématérialisent, il va de soi que les enjeux de sécurité suivent le même mouvement. Il est ainsi beaucoup plus risqué de perdre son téléphone portable que ses clefs. Pourtant, il est difficile de ressentir un besoin de sécurité numérique : vous êtes-êtes vous vraiment sentis en situation d’insécurité quand nous vous parlions de Spectre et de Meltdown ? Il est même possible que vous ne vous en souveniez pas, alors même que ces failles peuvent permettre à un pirate de contrôler entièrement votre vie virtuelle (qui est bien réelle, rappelons-le).
La multiplication des failles de sécurité peut tendre à banaliser l’enjeu : on passe d’une faille à une autre de la même façon que l’on apprend qu’une grève d’Air France va succéder à une grève de la SNCF. Pour ce qui est de la cybersécurité personnelle, le législateur semble avoir pris la mesure des enjeux, et adapte ou adopte des textes pour défendre les droits individuels sur Internet : le piratage, la contrefaçon, l’usurpation d’identité, l’escroquerie sont autant de délits en ligne qui ont leurs pendants numérique ou pour lesquels les qualifications classiques s’appliquent parfaitement. Par ailleurs, les amendes maximales du RGPD sont applicables aux failles de sécurité, puisque la sécurité est l’un des principes de base des traitements de données personnelles – c’est pourquoi on peut lire que Facebook risque une amende de 1,6 milliards de dollars.
Au-delà des armes autonomes, la cyber-guerre
Nous en parlions il y a quelques mois, le développement technologique permet de se poser des questions sur les armes autonomes. Beaucoup plus actuels, les enjeux de cybersécurité sont également internationaux, depuis que l’on constate que le fameux soft power américain a ses équivalents russes et chinois, par le biais de l’influence des élections et des piratages en série. La géopolitique se joue désormais principalement en ligne, et il est aussi important de posséder une armée physique qu’une armée numérique. On se souvient ainsi de Stuxnet, qui pointait déjà dès 2010 l’importance de la guerre numérique : 8 années, soit une éternité, ont passé depuis et les risques se sont multipliés comme autant de petits virus informatiques.
Pourtant, les initiatives sur le sujet sont rares et ne semblent que peu efficaces. Le droit international public, déjà difficile à mettre en œuvre quand il s’agit de règles sur la guerre tangible, devient un vrai casse-tête pour le monde numérique. Les accusations de piratage se multiplient sans qu’il n’y ait de suites, et cela est probablement heureux puisque les suites en question seraient vraisemblablement trop matérielles. L’Union européenne a bien tenté d’adopter une directive sur le sujet, mais sa mise en œuvre pratique risque d’être compliquée : comment s’assurer que l’ensemble des opérateurs respecte les règles de sécurité minimales, à moins d’effectuer de coûteux audits réguliers ? Il n’y a bien que SAP pour le faire. In fine, il est assez évident que de vives passes d’armes ont lieu en ligne entre États, et ce dans l’ignorance quasi totale des citoyens. On ne sait s’il faut s’inquiéter de ne pas savoir plus ou si la connaissance nous ferait nous inquiéter encore plus.
Ce qu'on lit cette semaine
#cyberdéfense
#géopolitique
#Russie
#etquidd’installerunantivirus ?
Le hack du parti démocrate américain ? C’est eux. Les fake news sur Facebook ? C’est eux. L’accès à l’OIAC (Organisation pour l’Interdiction des Armes Chimiques) en cours d’enquête sur les attaques chimiques en Syrie ? C’est eux. Le ransomware qui empêcha un aéroport et le métro à Kiev en Ukraine de fonctionner ? C’est eux. Le piratage de l’Agence Mondiale Anti-dopage ? Hé oui, c’est encore eux. Qui ? Les Russes. C’est à tout le moins ce qu’affirment haut et fort une partie des Anglos comme une des saxons à l’occasion de la réunion des ministres de la défense des pays de l’OTAN. Une première dans l’échiquier géopolitique mondial. Si l’on peut douter que tout soit vrai, l’on doutera tout autant de l’effet du coup de com’.
#cyberdéfense
#techindustry
#espionnage
#micropringles
P’tet bien que oui, p’tet bien que non. Il s’agit là, pour l’instant, de la seule véritable affirmation dont nous puissions être sûr concernant la potentielle plus grosse affaire d’espionnage industrielle conduite par un gouvernement étranger que l’industrie de la tech américaine ait connu. Le journal Bloomberg a en effet sorti un reportage évoquant la possibilité que la gouvernement Chinois ait implanté une micropuce dans les cartes mères fabriquées par Supermicro, l’entreprise qui équipe de nombreuses fermes de serveurs aux US. Les A de GAFAM, Supermicro, le gouvernement chinois mais aussi américain ont tous crié « Bloomberg menteur » à l’unisson. Difficile de trancher, car il y a à ce jour autant d’arguments d’un côté et de l’autre. Si ça n’est par la raison, il faudra le faire par la foi.
#automatisation
#travail
#revenuuniversel
#algorithme
#lemeilleurdesmondes
A working class hero is something to be : à l’ère des bullshit jobs et de l’IA, et si l’auto-automatisation était le nouveau moyen privilégié d’une réappropriation du pouvoir économique (et partant politique) par les salariés ? Le caractère subversif de la méthode sonnerait presque déjà comme un indice fort en faveur de la thèse : mettre à profit des compétences personnelles en programmation pour automatiser sa charge de travail sans en avertir son employeur, et ainsi récupérer pour soi de longues heures de temps libre, voilà qui a de quoi choquer, ou à tout le moins soulever de vrais dilemmes éthiques, comme le souligne cet article. Au-delà d’une réflexion sur les causes qui nous ont amenés là (atomisation des tâches et des responsabilités, perte de sens du travail dans l’organisation…), et sur les solutions que d’aucuns ont pu suggérer d’y apporter (revenu universel), la question centrale est en effet ici celle de la juste répartition de la plus-value issue de l’automatisation du travail : il faut bien constater, en effet, que le système économique et légal actuel tend à permettre sa captation intégrale par l’employeur (la dévolution ab initio des droits sur le logiciel au profit de ce dernier n’étant qu’une illustration en ce sens), ce qui explique que tant d’employés interviewés ici aient déployé des efforts considérables pour garder le secret sur leur petit algorithme. Pourtant, ceux-là même indiquent qu’ils seraient prêts à partager ce secret avec leurs collègues, si les bénéfices étaient véritablement collectifs. Indépendamment de tout argument de “justice sociale”, il y a donc à tout le moins pour le manager avisé une idée à retenir, et peut-être, plus radicalement, de nouvelles formes de salariat à inventer.
#républiquenumérique
#légistique
#transparence
#retoursurlefutur
La loi pour une République Numérique, dite “loi Lemaire”, c’était il y a deux ans déjà ! On louait alors les audaces d’un texte résolument tourné vers la transparence, la dématérialisation et l’ouverture des données pour favoriser tout à la fois les ré-utilisations innovantes, la confiance des usagers dans l’administration et l’accès au droit et à l’information pour les personnes les plus fragiles. Que reste-t-il, aujourd’hui, de nos amours ? Pas grand-chose en vérité, hélas : plusieurs avancées majeures de la loi République Numérique ont été perdues en chemin, soit que les décrets d’application n’aient jamais été publiés, soit que les dispositions légales elles-mêmes aient été supprimées. Ainsi du droit à la portabilité des données des consommateurs, dont on ne saura jamais vraiment, à vrai dire, s’il eût été d’application plus large que celui du GDPR. Ainsi également de la curieuse dérogation au principe de transparence des algorithmes publics pour la plateforme ParcoursSup, ou encore du rétropédalage relatif à l’open data des décisions de justice, que nous évoquons plus en détail ci-après dans cette MAJ. De deux choses l’une, en somme : à reprendre ainsi d’une main ce qui avait été donné de l’autre, au gré des changements de gouvernement, il est clair qu’on ne favorise pas la confiance des citoyens dans la pérennité de la règle de droit ; d’autre part, quand ce détricotage résulte en une vraie régression sur les objectifs de transparence et d’accessibilité initialement promulguée, on en viendrait presque à se demander si le futur n’était pas mieux avant.
#opendata
#décisionsdejustice
#loideprogrammationpourlajustice
#pluspersonnedansmesjugements
L’open data des décisions de justice a de l’avenir… derrière lui ? La question semble s’imposer, à présent que le gouvernement paraît s’être rangé du côté du Sénat dans la grande discussion de l’anonymisation de ces décisions. En passant d’une obligation des greffes de mener une “analyse du risque de ré-identification” des personnes qui y sont mentionnées (mécanisme prévu par la loi pour une République Numérique) à une obligation de supprimer systématiquement les “éléments permettant d’identifier” ces personnes (à tout le moins lorsque “leur divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage”), l’article 19 du projet de loi de programmation pour la justice fait en effet un pas significatif vers la position soutenue depuis plusieurs mois par la chambre haute, et du même coup inquiète ou du moins interroge : quels éléments exactement devraient être supprimés ? Quand on sait, depuis l’avis de référence du G29 en 2014, que l’anonymisation complète et irréversible est plus souvent un idéaltype qu’une réalité, les dispositions précités ressemblent au mieux à un vœu pieux, au pire à une vraie menace pour l’intelligibilité des décisions. Même pas de quoi faire plaisir au Sénat pourtant : la commission des lois de ce dernier a en effet amendé le texte pour en faire une obligation de “prévenir tout risque de ré-identification” – autrement dit, faire peser sur les greffes une responsabilité a priori quant à toutes les techniques de ré-identification dont pourraient disposer, aujourd’hui ou plus tard, les acteurs publics ou privés… On est là même au-delà d’une obligation de résultat, et en tous cas bien loin des conditions de possibilité d’un quelconque open data.
#secretdesaffaires
#ANSM
#médicament
#pourlopendataonrepassera
Première application “officielle” de la loi sur le secret des affaires, promulguée fin juillet dernier malgré bien des polémiques, et déjà un parfum de scandale : c’est qu’ici la notion sert de fondement à une autorité publique, l’Agence Nationale de Sécurité du Médicament (ANSM), pour refuser de communiquer en intégralité une autorisation de mise sur le marché dont copie était réclamée par plusieurs malades de la thyroïde. L’agence se fait ainsi gardienne du secret des affaires au bénéfice de la société Merck, productrice du médicament litigieux. La situation doit paraître d’autant plus ubuesque, à bien y penser, que cette agence, au même titre que l’administration dans son ensemble, est soumise aux règles de communication et de publication dites “loi CADA”, censée favoriser la transparence et partant la confiance des usagers dans l’action de l’administration publique. S’agissant de surcroît d’une affaire de santé publique selon ceux qui s’en prévalent, on ne peut donc que déplorer le choix de mobiliser ainsi le secret des affaires ; gageons que l’affaire, précisément, en l’occurrence, ne s’arrêtera pas là.
#consommation
#e-commerce
#tousprosaprèsnoëlchezgrandmère
Quelles conditions une personne physique doit-elle remplir pour être qualifiée de professionnel au sens du droit consumériste unioniste ? Dans le cadre d’un litige portant sur la conformité d’une montre d’occasion achetée sur une plateforme de vente, la CJUE, dans un arrêt du 4 octobre, a eu l’occasion de lister par obiter dictum un certain nombre de critères inter alia devant servir de guide-âne aux juridictions nationales pour apprécier, in concreto, la nature des activités des particuliers qui vendent leurs objets en ligne : être assujetti ou non à la TVA, la fréquence des opérations envisagées… Moins qu’une révolution de l’appréciation de la professionnalité, l’on saluera le refus de l’approche maximaliste et la marge de manœuvre laissée au droit national la qualification.
#IA
#techno-éthique
#cacophonIA
La volonté est unique mais les initiatives sont plurielles. L’on aura compris que, depuis un certain temps maintenant, l’ère est à l’éthique de l’IA. Partout, l’on voit émerger des organisations publiques nationales ou régionales, des groupes de travail d’industriels en individuel ou en collectif, des prises de parole de politiques ou de superstars de la tech. Tous enjoignent à avoir un développement maîtrisé de l’intelligence artificielle. Seulement, les dangers à combattre ne sont pas les mêmes, tout comme les moyens suggérés pour le faire et les intérêts qui animent l’écosystème de l’IA. Panorama de la divergence des forces en présence.
