Mind Overflow

De la liberté dans le cyberespace

Vous ne le connaissez peut-être pas, mais Lawrence Lessig est une pointure en matière de droit constitutionnel et de droit portant sur la propriété intellectuelle.

Juriste américain,  professeur de droit à la faculté de droit de Harvard, auteur de plusieurs ouvrages (Code and other laws of cyberspace, L’avenir des idées, Free Culture, Remix: Making Art and Commerce Thrive in the Hybrid Economy), il est également le fondateur de l’organisation des Creative Commons, dont les licences permettent d’introduire une souplesse plus ou moins importante d’utilisation.

En 2000, il publiait Code is Law dans la revue mensuelle d’Harvard. Un article qui a maintenant dix ans d’existence au compteur, mais qui reste malgré tout très contemporain. Et si jusqu’à présent, seule la version anglaise était disponible, les traducteurs bénévoles de Framalang se sont activés pour proposer une version française du texte. Que j’ai décidé de reproduire ci-dessous, puisque la version française est publiée sous licence Creative Commons. La boucle est bouclée d’une certaine façon !

À chaque époque son ins­ti­tu­tion de contrôle, sa menace pour les liber­tés. Nos Pères Fondateurs crai­gnaient la puis­sance émer­gente du gou­ver­ne­ment fédé­ral ; la consti­tu­tion amé­ri­caine fut écrite pour répondre à cette crainte. John Stuart Mill s’inquiétait du contrôle par les normes sociales dans l’Angleterre du 19e siècle ; il écri­vit son livre De la Liberté en réac­tion à ce contrôle. Au 20e siècle, de nom­breux pro­gres­sistes se sont émus des injus­tices du mar­ché. En réponse furent élabo­rés réformes du mar­ché, et filets de sécurité.

Nous sommes à l’âge du cybe­res­pace. Il pos­sède lui aussi son propre régu­la­teur, qui lui aussi menace les liber­tés. Mais, qu’il s’agisse d’une auto­ri­sa­tion qu’il nous concède ou d’une conquête qu’on lui arrache, nous sommes tel­le­ment obnu­bi­lés par l’idée que la liberté est inti­me­ment liée à celle de gou­ver­ne­ment que nous ne voyons pas la régu­la­tion qui s’opère dans ce nou­vel espace, ni la menace qu’elle fait peser sur les libertés.

Ce régu­la­teur, c’est le code : le logi­ciel et le maté­riel qui font du cybe­res­pace ce qu’il est. Ce code, ou cette archi­tec­ture, défi­nit la manière dont nous vivons le cybe­res­pace. Il déter­mine s’il est facile ou non de pro­té­ger sa vie pri­vée, ou de cen­su­rer la parole. Il déter­mine si l’accès à l’information est glo­bal ou sec­to­risé. Il a un impact sur qui peut voir quoi, ou sur ce qui est sur­veillé. Lorsqu’on com­mence à com­prendre la nature de ce code, on se rend compte que, d’une myriade de manières, le code du cybe­res­pace régule.

Cette régu­la­tion est en train de chan­ger. Le code du cybe­res­pace aussi. Et à mesure que ce code change, il en va de même pour la nature du cybe­res­pace. Le cybe­res­pace est un lieu qui pro­tège l’anonymat, la liberté d’expression et l’autonomie des indi­vi­dus, il est en train de deve­nir un lieu qui rend l’anonymat plus dif­fi­cile, l’expression moins libre et fait de l’autonomie indi­vi­duelle l’apanage des seuls experts.

Mon objec­tif, dans ce court article, est de faire com­prendre cette régu­la­tion, et de mon­trer en quoi elle est en train de chan­ger. Car si nous ne com­pre­nons pas en quoi le cybe­res­pace peut inté­grer, ou sup­plan­ter, cer­taines valeurs de nos tra­di­tions consti­tu­tion­nelles, nous per­drons le contrôle de ces valeurs. La loi du cybe­res­pace – le code – les supplantera.

Ce que contrôle le code

Le code élémen­taire d’Internet est consti­tué d’un ensemble de pro­to­coles appelé TCP/IP. Ces pro­to­coles per­mettent l’échange de don­nées entre réseaux inter­con­nec­tés. Ces échanges se pro­duisent sans que les réseaux aient connais­sance du contenu des don­nées, et sans qu’ils sachent qui est réel­le­ment l’expéditeur de tel ou tel bloc de don­nées. Ce code est donc neutre à l’égard des don­nées, et ignore tout de l’utilisateur.

Ces spé­ci­fi­ci­tés du TCP/IP ont des conséquences sur la régu­la­bi­lité des acti­vi­tés sur Internet. Elles rendent la régu­la­tion des com­por­te­ments dif­fi­cile. Dans la mesure où il est dif­fi­cile d’identifier les inter­nautes, il devient très dif­fi­cile d’associer un com­por­te­ment à un indi­vidu par­ti­cu­lier. Et dans la mesure où il est dif­fi­cile d’identifier le type de don­nées qui sont envoyées, il devient très dif­fi­cile de régu­ler l’échange d’un cer­tain type de don­nées. Ces spé­ci­fi­ci­tés de l’architecture d’Internet signi­fient que les gou­ver­ne­ments sont rela­ti­ve­ment res­treints dans leur capa­cité à régu­ler les acti­vi­tés sur le Net.

Dans cer­tains contextes, et pour cer­taines per­sonnes, cette irré­gu­la­bi­lité est un bien­fait. C’est cette carac­té­ris­tique du Net, par exemple, qui pro­tège la liberté d’expression. Elle code l’équivalent d’un Premier amen­de­ment dans l’architecture même du cybe­res­pace, car elle com­plique, pour un gou­ver­ne­ment ou une ins­ti­tu­tion puis­sante, la pos­si­bi­lité de sur­veiller qui dit quoi et quand. Des infor­ma­tions en pro­ve­nance de Bosnie ou du Timor Oriental peuvent cir­cu­ler libre­ment d’un bout à l’autre de la pla­nète car le Net empêche les gou­ver­ne­ments de ces pays de contrô­ler la manière dont cir­cule l’information. Le Net les en empêche du fait de son archi­tec­ture même.

Mais dans d’autres contextes, et du point de vue d’autres per­sonnes, ce carac­tère incon­trô­lable n’est pas une qua­lité. Prenez par exemple le gou­ver­ne­ment alle­mand, confronté aux dis­cours nazis, ou le gou­ver­ne­ment amé­ri­cain, face à la pédo-pornographie. Dans ces situa­tions, l’architecture empêche égale­ment tout contrôle, mais ici cette irré­gu­la­bi­lité est consi­dé­rée comme une tare.

Et il ne s’agit pas seule­ment des dis­cours nazis et de por­no­gra­phie enfan­tine. Les prin­ci­paux besoins de régu­la­tion concer­ne­ront le com­merce en ligne : quand l’architecture ne per­met pas de tran­sac­tions sécu­ri­sées, quand elle per­met de masquer faci­le­ment la source d’interférences, quand elle faci­lite la dis­tri­bu­tion de copies illé­gales de logi­ciels ou de musique. Dans ces contextes, le carac­tère incon­trô­lable du Net n’est pas consi­déré comme une qua­lité par les com­merçants, et frei­nera le déve­lop­pe­ment du commerce.

Que peut-on y faire ?

Nombreux sont ceux qui pensent qu’il n’y a rien à faire : l’irrégulabilité d’Internet est défi­ni­tive. Il n’est rien que nous puis­sions faire pour y remé­dier. Aussi long­temps qu’il exis­tera, Internet res­tera un espace incon­trô­lable. C’est dans sa nature même.

Mais rien n’est plus dan­ge­reux pour l’avenir de la liberté dans le cybe­res­pace que de croire la liberté garan­tie par le code. Car le code n’est pas figé. L’architecture du cybe­res­pace n’est pas défi­ni­tive. L’irrégulabilité est une conséquence du code, mais le code peut chan­ger. D’autres archi­tec­tures peuvent être super­po­sées aux pro­to­coles de base TCP/IP, et ces nou­velles couches peuvent rendre l’usage du Net fon­da­men­ta­le­ment contrô­lable. Le com­merce est en train de construire une archi­tec­ture de ce type. Le gou­ver­ne­ment peut y aider. Les deux réunis peuvent trans­for­mer la nature même du Net. Il le peuvent, et le font.

D’autres archi­tec­tures

Ce qui rend le Net incon­trô­lable, c’est qu’il est dif­fi­cile d’y savoir qui est qui, et dif­fi­cile de connaître la nature des infor­ma­tions qui y sont échan­gées. Ces deux carac­té­ris­tiques sont en train de chan­ger : pre­miè­re­ment, on voit émer­ger des archi­tec­tures des­ti­nées à faci­li­ter l’identification de l’utilisateur, ou per­met­tant, plus géné­ra­le­ment, de garan­tir la véra­cité de cer­taines infor­ma­tions le concer­nant (qu’il est majeur, que c’est un homme, qu’il est amé­ri­cain, qu’il est avo­cat). Deuxièmement, des archi­tec­tures per­met­tant de qua­li­fier les conte­nus (por­no­gra­phie, dis­cours violent, dis­cours raciste, dis­cours poli­tique) ont été conçues, et sont déployées en ce moment-même. Ces deux évolu­tions sont déve­lop­pées sans man­dat du gou­ver­ne­ment ; et uti­li­sées conjoin­te­ment elles mène­raient à un degré de contrôle extra­or­di­naire sur toute acti­vité en ligne. Conjointement, elles pour­raient ren­ver­ser l’irrégulabilité du Net.

Tout dépen­drait de la manière dont elles seraient conçues. Les archi­tec­tures ne sont pas binaires. Il ne s’agit pas juste de choi­sir entre déve­lop­per une archi­tec­ture per­met­tant l’identification ou l’évaluation, ou non. Ce que per­met une archi­tec­ture, et la manière dont elle limite les contrôles, sont des choix. Et en fonc­tion de ces choix, c’est bien plus que la régu­la­bi­lité qui est en jeu.

Prenons tout d’abord les archi­tec­tures d’identification, ou de cer­ti­fi­ca­tion. Il existe de nom­breuses archi­tec­tures de cer­ti­fi­ca­tion dans le monde réel. Le per­mis de conduire, par exemple. Lorsque la police vous arrête et vous demande vos papiers, ils demandent un cer­ti­fi­cat mon­trant que vous êtes auto­risé à conduire. Ce cer­ti­fi­cat contient votre nom, votre sexe, votre âge, votre domi­cile. Toutes ces infor­ma­tions sont néces­saires car il n’existe aucun autre moyen simple pour établir un lien entre le per­mis et la per­sonne. Vous devez divul­guer ces éléments vous concer­nant afin de cer­ti­fier que vous êtes le titu­laire légi­time du permis.

Mais dans le cybe­res­pace, la cer­ti­fi­ca­tion pour­rait être ajus­tée beau­coup plus fine­ment. Si un site est réservé aux adultes, il serait pos­sible – en uti­li­sant des tech­no­lo­gies de cer­ti­fi­ca­tion – de cer­ti­fier que vous êtes un adulte, sans avoir à révé­ler qui vous êtes ou d’où vous venez. La tech­no­lo­gie pour­rait per­mettre de cer­ti­fier cer­tains faits vous concer­nant, tout en gar­dant d’autres faits confi­den­tiels. La tech­no­lo­gie dans le cybe­res­pace pour­rait fonc­tion­ner selon une logique de « moindre révé­la­tion », ce qui n’est pas pos­sible dans la réalité.

Là encore, tout dépen­drait de la manière dont elle a été conçue. Mais il n’est pas dit que les choses iront dans ce sens. Il existe d’autres archi­tec­tures en déve­lop­pe­ment, de type « une seule carte pour tout ». Dans ces archi­tec­tures, il n’est plus pos­sible de limi­ter sim­ple­ment ce qui est révélé par un cer­ti­fi­cat. Si sur un cer­ti­fi­cat figure votre nom, votre adresse, votre âge, votre natio­na­lité, ainsi que le fait que vous êtes avo­cat, et si devez prou­ver que vous êtes avo­cat, cette archi­tec­ture cer­ti­fie­rait non seule­ment votre pro­fes­sion, mais égale­ment tous les autres éléments vous concer­nant qui sont conte­nus dans le cer­ti­fi­cat. Dans la logique de cette archi­tec­ture, plus il y a d’informations, mieux c’est. Rien ne per­met aux indi­vi­dus de faire le choix du moins.

La dif­fé­rence entre ces deux concep­tions est que l’une garan­tit la vie pri­vée, alors que l’autre non. La pre­mière ins­crit le res­pect de la vie pri­vée au cœur de l’architecture d’identification, en lais­sant un choix clair à l’utilisateur sur ce qu’il veut révé­ler ; la seconde néglige cette valeur.

Ainsi, le fait que l’architecture de cer­ti­fi­ca­tion qui se construit res­pecte ou non la vie pri­vée dépend des choix de ceux qui codent. Leurs choix dépendent des inci­ta­tions qu’ils reçoivent. S’il n’existe aucune inci­ta­tion à pro­té­ger la vie pri­vée – si la demande n’existe pas sur le mar­ché, et que la loi est muette – alors le code ne le fera pas.

L’identification n’est qu’un exemple parmi d’autres. Prenons-en un deuxième, concer­nant la confi­den­tia­lité des infor­ma­tions per­son­nelles. RealJukebox est une tech­no­lo­gie per­met­tant de copier un CD de musique sur un ordi­na­teur, ou de de télé­char­ger de la musique sur le Net pour la sto­cker sur un disque dur. Il est apparu en octobre que le sys­tème était un peu trop curieux : il ins­pec­tait dis­crè­te­ment le disque dur de l’utilisateur, puis trans­fé­rait à l’entreprise le fruit de ses recherches. Tout ceci en secret, bien entendu : RealNetworks n’avait pré­venu per­sonne que son pro­duit col­lec­tait et trans­fé­rait des don­nées per­son­nelles. Quand cet espion­nage a été décou­vert, l’entreprise a tout d’abord tenté de jus­ti­fier cette pra­tique (en avançant qu’aucune don­née per­son­nelle n’était conser­vée), mais elle a fini par reve­nir à la rai­son, et a pro­mis de ne plus recueillir ces données.

Ce pro­blème est dû, une fois de plus, à l’architecture. Il n’est pas facile de dire qui espionne quoi, dans le cybe­res­pace. Bien que le pro­blème puisse être cor­rigé au niveau de l’architecture (en fai­sant appel à la tech­no­lo­gie P3P, par exemple), voici un cas pour lequel la loi est pré­fé­rable. Si les don­nées per­son­nelles étaient recon­nues comme pro­priété de l’individu, alors leur col­lecte sans consen­te­ment exprès s’apparenterait à du vol.

Dans toutes ces cir­cons­tances, les archi­tec­tures vien­dront garan­tir nos valeurs tra­di­tion­nelles – ou pas. À chaque fois, des déci­sions seront prises afin de par­ve­nir à une archi­tec­ture d’Internet res­pec­tueuse de ces valeurs et conforme à la loi. Les choix concer­nant le code et le droit sont des choix de valeurs.

Une ques­tion de valeurs

Si c’est le code qui déter­mine nos valeurs, ne devons-nous pas inter­ve­nir dans le choix de ce code ? Devons-nous nous pré­oc­cu­per de la manière dont les valeurs émergent ici ?

En d’autres temps, cette ques­tion aurait sem­blé incon­grue. La démo­cra­tie consiste à sur­veiller et alté­rer les pou­voirs qui affectent nos valeurs fon­da­men­tales, ou comme je le disais au début, les contrôles qui affectent la liberté. En d’autres temps, nous aurions dit « Bien sûr que cela nous concerne. Bien sûr que nous avons un rôle à jouer. »

Mais nous vivons à une époque de scep­ti­cisme à l’égard de la démo­cra­tie. Notre époque est obsé­dée par la non-intervention. Laissons Internet se déve­lop­per comme les codeurs l’entendent, voilà l’opinion géné­rale. Laissons l’État en dehors de ça.

Ce point de vue est com­pré­hen­sible, vu la nature des inter­ven­tions étatiques. Vu leurs défauts, il semble pré­fé­rable d’écarter pure­ment et sim­ple­ment l’État. Mais c’est une ten­ta­tion dan­ge­reuse, en par­ti­cu­lier aujourd’hui.

Ce n’est pas entre régu­la­tion et absence de régu­la­tion que nous avons à choi­sir. Le code régule. Il implé­mente – ou non – un cer­tain nombre de valeurs. Il garan­tit cer­taines liber­tés, ou les empêche. Il pro­tège la vie pri­vée, ou pro­meut la sur­veillance. Des gens décident com­ment le code va se com­por­ter. Des gens l’écrivent. La ques­tion n’est donc pas de savoir qui déci­dera de la manière dont le cybe­res­pace est régulé : ce seront les codeurs. La seule ques­tion est de savoir si nous aurons col­lec­ti­ve­ment un rôle dans leur choix – et donc dans la manière dont ces valeurs sont garan­ties – ou si nous lais­se­rons aux codeurs le soin de choi­sir nos valeurs à notre place.

Car c’est une évidence : quand l’État se retire, la place ne reste pas vide. Les inté­rêts pri­vés ont des objec­tifs qu’ils vont pour­suivre. En appuyant sur le bou­ton anti-Étatique, on ne se télé­porte pas au Paradis. Quand les inté­rêts gou­ver­ne­men­taux sont écar­tés, d’autres inté­rêts les rem­placent. Les connaissons-nous ? Sommes-nous sûrs qu’ils sont meilleurs ?

Notre pre­mière réac­tion devrait être l’hésitation. Il est oppor­tun de com­men­cer par lais­ser le mar­ché se déve­lop­per. Mais, tout comme la Constitution contrôle et limite l’action du Congrès, les valeurs consti­tu­tion­nelles devraient contrô­ler et limi­ter l’action du mar­ché. Nous devrions exa­mi­ner l’architecture du cybe­res­pace de la même manière que nous exa­mi­nons le fonc­tion­ne­ment de nos institutions.

Si nous ne le fai­sons pas, ou si nous n’apprenons pas à le faire, la per­ti­nence de notre tra­di­tion consti­tu­tion­nelle va décli­ner. Tout comme notre enga­ge­ment autour de valeurs fon­da­men­tales, par le biais d’une consti­tu­tion pro­mul­guée en pleine conscience. Nous res­te­rons aveugles à la menace que notre époque fait peser sur les liber­tés et les valeurs dont nous avons hérité. La loi du cybe­res­pace dépen­dra de la manière dont il est codé, mais nous aurons perdu tout rôle dans le choix de cette loi.

Photo : Screen Technology – CC BY-NC-SA rutty

Cette entrée a été affichée Dimanche 25 juillet 2010 à 22 h 29 min. Classé sous The Internetset avec les mots-cléscyberespace, droit, Internet, Lawrence Lessig, liberté, technologie, web. Vous pouvez suivre toutes les réponses de cet article à travers le RSS 2.0 flux.