Wednesday, June 12, 2013

Le droit dit "informatique"

Les nombreux cas récents d’attaques de grande ampleur sur internet ces derniers mois sont l’occasion de remettre en perspective la réalité du droit dit numérique.

Commençons par quelques observations, simplement destinées à alerter la vigilance du lecteur :
  • Beaucoup de pays n’ont pas de droit numérique, mais ne semblent pas en souffrir particulièrement
  • Les divers droits numériques existant sont rarement compatibles entre eux
  • Certaines lois semblent souvent en décalage avec la réalité technologique – CNIL, HADOPI
  • Le droit informatique en usage est souvent issu de lois arbitraires plus que le fruit des pratiques des entreprises
  • Les principaux risques (cyber-sécurité) ne font pas l’objet de lois ni ne disposent de police au sens classique

Mais revenons au droit. D’où vient le droit ? A l’origine, le besoin de droit est la réponse sélectionnée par les âges au besoin d’organisation de la société humaine autour de la liberté et de l’initiative individuelle. Le « droit naturel » est ce droit minimal qui permet à la société de fonctionner, à toute société, où qu’elle soit et quelle qu’en soit l’époque.

Le droit naturel repose sur deux principes simples, celui de non-agression et celui de propriété individuelle : chacun a droit de posséder sa personne et ce qu’il a valablement acquis et personne ne saurait l’agresser ni attenter à sa propriété sans subir de sanction légitime proportionnelle. La propriété est un mécanisme de droit minimal universel qui permet de régler et réguler le conflit d’accès aux ressources et la non-agression assure – ou du moins favorise – des relations pacifiques et policées.

On remarquera tout d’abord que les états, que Max Weber caractérisait comme les monopoles de la violence physique sur un territoire donné, ont altéré pratiquement partout le droit naturel via la législation. Les droits dits positifs, c’est-à-dire les lois votées dans les différents pays, se sont ajoutés, empilés par-dessus le droit naturel avec le temps. C’est notamment le cas des lois qui ont vu le jour ces derniers 40 ans pour soi-disant venir combler le vide juridique du réseau des réseaux.

Pour beaucoup, les états se sont déjà engagés sur la même voie dans cet espace « virtuel » très particulier du Net. A titre d’exemple, mais on pourrait en donner de nombreux autres, la France dispose de la CNIL depuis 1978 alors qu’il n’existe aucun texte équivalent pour l’espace « réel ». Nous verrons qu’il n’y a dans ces approches que maldonne et confusion.

Car qu’en est-il dans le cas d’internet ? Le même droit naturel s’applique-t-il ? Avec des conditions particulières ? Ou bien doit-on imaginer un droit totalement différent ? Et si droit différent, quel peut-être le rôle des états ?

Constatons qu’Internet est comme l’espace réel, un espace où les hommes peuvent se rencontrer et discuter et échanger librement. Evidemment, les notions de distance tombent, on peut y discuter et convenir d’affaires avec la Terre entière à tout moment, mais cela ne change pas la nature de la relation. Internet ne connaît donc pas de frontière. Certes, les machines peuvent être ici ou là-bas, mais comme elles pourraient être ailleurs. La réalité technique de la discussion par Internet n’a pas d’impact sur la réalité humaine qui est toute simple : deux personnes discutent librement et conviennent d’une transaction.

On comprend déjà ce qui est une évidence : l’Internet ne laissant pas place aux frontières, les états qui ne se distinguent que par le territoire n’y ont tous simplement pas leur place. Bien sûr, ils tentent de contourner la question en légiférant via les moyens informatiques (si le serveur est en France alors la transaction est faite de France) mais c’est en réalité acculé à échouer dans la mesure où la technologie et en particulier la virtualisation et le Cloud chamboulent tous les modèles d’architecture supposés par les textes.

Seconde différence, majeure celle-ci, les ressources informatiques ne sont pas rares. Au sens où pour la plupart, il n’est pas possible de voler données et informations. Un fichier de données commerciales, s’il est copié, n’est pas perdu pour son « propriétaire », même si sa communication à la concurrence peut être très dommageable. De même, si se procurer le compte et le mot de passe de quelqu’un d’autre ne prive cette personne de rien, les conséquences peuvent être énormes, allant jusqu’à l’usurpation criminelle d’identité. La notion de vol et de conflit d’accès aux ressources n’a pas du tout la même réalité en informatique que dans le monde réel.

La non-agression reste valable, mais la réalité même des relations entre individus est différente. Sur le net, on peut s’écrire, se parler, se voir, mais on ne peut pas se toucher. La violence peut être au pire verbale, mais ne peut pas avoir d’autre réalité.

On voit déjà combien les deux mondes diffèrent et donc combien l’application du droit ‘classique’ au sein du Réseau est forcément peu pertinente. Pour compléter, il faut souligner de plus que la nature des interactions possibles entre hommes en informatique subit une limite essentielle et trop souvent oubliée. Les types d’échange et de relation qu’il est possible d’avoir en informatique ne peuvent jamais être plus que ce que l’informatique propose. C’est le logiciel qui impose le type de relation. Les parties prenantes peuvent avoir toute l’imagination du monde, elles ne pourront interagir qu’au sein des fonctionnalités offertes par le logiciel utilisé. L’importance de ce point est capitale en matière de responsabilité, car in fine c’est la responsabilité de l’éditeur, du créateur du logiciel qu’établie une relation humaine qui soit une relation compatible avec le droit.

Car quand on se pose toutes ces questions de droit informatique et de droit appliqué au sein de l’informatique, on oublie un point fondamental : l’informatique n’est qu’une technologie, elle n’est qu’un outil. Il n’y a donc en réalité pas de vie dans le Net, mais il y une vie avec le Net. Le droit informatique n’a tout simplement pas de sens, car Internet, Facebook, Google, MS Word et autres SAP ne sont pas des mondes mais de simples outils offrant des services aux hommes, dont certains peuvent affecter leur interrelations, mais ne peut pas les déterminer.

J’entends déjà les réactions de tous les partisans du droit Internet : mais comment, on ne peut pas nier que les pirates et autres hackers pénètrent illégalement dans les systèmes et y dérobent des document précieux contre le gré des entreprises ou des privés. Mon analyse est en effet différente : je ne nie pas le piratage dans son acte, mais par contre je nie l’analyse classique qui en est faite en matière de droit. Et j’en tire donc des conséquences très différentes.

Dans le scénario classique du méchant petit chinois – ou agent de la NSA – qui abuse des failles de mon système pour y entrer et en extrait des informations précieuses, il faut revenir à une analyse sous l’angle du droit naturel pour mieux comprendre les enjeux en présence : Quels sont les acteurs en présence ? Et quels sont les droits de propriété ?

Il y a le chinois, il y a moi, il peut y avoir mon prestataire informatique. Ce dernier est anecdotique, il agit en mon nom donc sa responsabilité se confond en général dans la mienne. Mais souvent on oublie qu’il y a aussi les éditeurs des logiciels composant mon système informatique. En matière de propriété, il y a le système informatique dans sa réalité physique. Et c’est tout. Les données qui sont stockées dans le système n’ont pas de réalité, elle n’existe que via le système lui-même. Les informations ou données ne font pas l’objet de droit de propriété puisqu’immatérielles, elles ne donnent lieu à aucun conflit d’accès.

Sur ce dernier point, il est évident que l’information peut être précieuse et nécessiter protection. Je dis juste, j’affirme, que selon la logique libérale du droit naturel, ce n’est pas le droit de propriété qui peut servir de mécanisme pour cette protection. On y reviendra bien sûr.

Lorsque le chinois tente de se connecter ou pénétrer mon système, quatre choses et quatre choses seulement peuvent se passer :
  • Il échoue et l’histoire s’arrête là. Mais personne n’a rien perdu, il n’y a aucun crime de commis.
  • Il réussit parce qu’il a trouvé ou pu se procurer l’identité d’un utilisateur légitime.
  • Il réussit parce qu’il a pu exploiter une faille, une vulnérabilité du logiciel ou système.
  • Il réussit parce que la machine concernée n’était pas spécialement sécurisée et « ouverte à tout va ».

Il faut bien voir que dans le dernier cas, je suis le premier responsable, avant même le chinois. Car dans la mesure où je prends pas la peine de configurer mon système pour que ses frontières soient fermement définies, comment puis-je me plaindre de voir ma propriété mal définie et donc non protégeable ? Mais le second cas est analogue : il revient à laisser traîner les clés de sa maison et s’étonner que quelqu’un les trouve et entre. L’acte est intrusif, certes, mais le signal est donné que ma propriété n’est pas tant d’importance pour moi.

Mais c’est l’avant-dernier cas qui à mon sens est trop souvent mal interprété. Car dans ce cas, c’est avant tout l’éditeur qui est responsable et devrait payer les conséquences de toute intrusion. Or nous sommes désormais dans un monde où les éditeurs ont réussi à faire croire qu’il est normal de livrer du logiciel comportant des failles et vulnérabilités, alors qu’il n’y a là aucune logique ni aucune fatalité. Il est au contraire tout à fait anormal que les éditeurs limitent leur responsabilité dans ce cas : s’ils étaient responsables des conséquences de leurs failles, la probabilité est grande que très vite plus aucun logiciel ne serait livré avec faille (au singulier).

Si une fois dans la place le chinois trouve et copie des choses, à qui la faute ? La sienne, certes. Mais avant tout la mienne. Car à nouveau, si les données qui naviguent dans nos systèmes sont si stratégiques et précieuses que cela, comment peut-on simplement ne pas veiller à ce qu’elles soient protégées et re-protégées ? La facilité avec laquelle le chinois se promène dans mon système et y trouve des choses d’intérêt est donc directement proportionnelle à ma négligence à sécuriser ce qui aurait dû l’être – cela dans l’esprit généralisé des quatre cas précédents, applicables en interne tout pareil. Le chinois abuse, mais l’attaqué néglige de protéger sa propriété.

En conclusion, on voit qu’il n’est pas besoin d’aller chercher un droit informatique incertain, le droit naturel permet de mettre le doigt sur les véritables responsabilités engagées lors d’une « cyber-attaque ». Mais une telle analyse, au lieu de jeter l’opprobre sur le seul méchant chinois cyber-pirate, montre au contraire que les premières responsabilités et négligences sont du côté des éditeurs et des informaticiens en charge de la robustesse des systèmes. Alors comme forcément ça gêne, il est plus facile de crier au voleur.