La Quadrature du Net n’a pas réussi à « faire tomber » l’ex-Hadopi devant le juge européen

L’association de défense des libertés fondamentales La Quadrature du Net n’a pas convaincu l’avocat général de la Cour de Justice européenne (CJUE) que l’Hadopi – devenue, avec le CSA en 2022, l’Arcom – agissait illégalement dans le traitement des données personnelles pour la riposte graduée.

Comme la Cour de Justice de l’Union européenne (CJUE) suit souvent – à près de 80% selon les statistiques – les conclusions de son avocat général, il y a fort à parier que cela sera le cas dans l’affaire « La Quadrature du Net versus Hadopi ». En l’occurrence, le 28 septembre 2023, l’avocat général de la CJUE – le Polonais Maciej Szpunar (photo) – conclut que la conservation et l’accès à des données d’identité civile, couplées à l’adresse IP utilisée, devraient être permis lorsque ces données constituent le seul moyen d’investigation permettant l’identification d’auteurs d’infractions exclusivement constituées sur Internet.

15 ans de combat contre la loi Hadopi
La Quadrature du Net (LQDN) est donc en passe de perdre un combat qu’elle a engagé il y a quinze ans – contre la loi Hadopi et contre l’autorité administrative indépendante éponyme pratiquant la « réponse graduée » à l’encontre de pirates présumés sur Internet de musiques et de films ou d’autres contenus protégés par le droit d’auteur.
L’association française défenseuse des libertés fondamentales à l’ère du numérique était repartie à la charge contre l’Hadopi. Et ce, en saisissant en 2019 le Conseil d’Etat – avec FDN (1), FFDN (2) et Franciliens.net – pour demander l’abrogation d’un décret d’application de la loi « Hadopi » signé par le Premier ministre (François Fillon à l’époque), le ministre de la Culture (Frédéric Mitterrand) et la ministre de l’Economie (Christine Lagarde). Ce décret « Traitement automatisé de données à caractère personnel » (3) du 5 mars 2010 permet à l’ex-Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) – devenue l’Arcom (4) en janvier 2022 par fusion avec le CSA – de gérer un fichier « riposte graduée » constitué de données obtenues auprès des ayants-droits (les adresses IP) et des fournisseurs d’accès à Internet (l’identité civile).

Différence entre les blocages de TeamAlexandriz (2021) et de Z-Library (2022) : le rôle de l’Arcom

Prise le 25 août 2022 par le tribunal judiciaire de Paris, la décision de blocage des adresses Internet de Z-Library – vaste bibliothèque en ligne – est applaudie par les maisons d’édition en France. Mais le piratage d’ebooks, avec ses sites miroirs désormais listés par l’Arcom, est sans frontières. Orange, Bouygues Telecom, SFR et Free sont obligés rendre inaccessible sur l’Hexagone la bibliothèque en ligne Z-Library, condamnée pour contrefaçon de livres numériques. Edition Multimédi@ a constaté que le blocage sur les « box » de ces fournisseurs d’accès à Internet (FAI) était effectif : « Désolé, impossible d’accéder à cette page », nous a confirmé le navigateur en voulant par exemple aller sur « fr.z-lib.org » ou sur « http://z-lib.org ». Le jugement du 25 août 2022, que nous nous sommes procurés (1), liste 209 noms de domaine de Z-Library à rendre inaccessibles « pendant une durée de 18 mois ». Sont ainsi neutralisés autant de sites dits « miroirs » permettant jusqu’alors d’entrer dans cette bibliothèque parallèle géante, qui est une des multiples déclinaisons de Library Genesis d’origine russe. Listes noires des sites et des miroirs Le Syndicat national de l’édition (SNE) et une douzaine de maisons d’édition (Actes Sud, Albin Michel, Cairn, Editis, Hachette Livre, Humensis, Lefebvre-Sarrut, LexisNexis, Madrigall, Maison des Langues, Odile Jacob, et les Presses de Science Po) avaient attaqué le 29 juin 2022 le site web Zlibrary devant le tribunal judiciaire de Paris, dans le cadre d’une procédure accélérée au fond. Vingt-cinq jours après le rendu de la décision de blocage (le temps que la signification du jugement aux FAI soit faite aux interressés), le SNE s’est notamment félicité des « nouvelles prérogatives confiées à l’Arcom en matière d’extension du blocage à tout lien redirigeant vers une réplique de site bloqué ». Et pour cause, l’Autorité de régulation de la communication audiovisuelle et numérique (née de la fusion entre le CSA et l’Hadopi) se retrouve aux avant-postes de la lutte contre le piratage en ligne. Et ce, depuis la promulgation il y a presqu’un an de la loi du 25 octobre 2021 « relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique » (2). C’est cette loi « Anti-piratage » qui a porté sur les fonts baptismaux législatifs l’Arcom – présidée par Roch-Olivier Maistre (photo) jusqu’en janvier 2025 – en lui attribuant de nouveaux pouvoirs de régulation, notamment en la chargeant de constituer « une liste » – surnommée, hors texte de loi, « liste noire » – des « services porta[n]t atteinte, de manière grave et répétée, aux droits d’auteur ou aux droits voisins ». En outre, l’Arcom a le pouvoir supplémentaire de « lutte contre les sites miroirs ». Ainsi, la loi « anti-piratage » a rajouté une disposition « sites miroirs » dans le code de la propriété intellectuelle (CPI) qui permet à « un titulaire de droits partie à la décision judiciaire » – par exemple l’un des douze maisons d’édition dans l’affaire « ZLibrary » – de saisir l’Arcom pour lui demander de mettre à jour la décision de blocage avec les nouvelles adresses Internet des sites miroirs. En l’occurrence, le blocage à effectuer par les FAI devra suivre l’évolution de la liste noire qui dépassera sûrement les 209 noms de domaine initialement identifiées. Pour l’heure, dans l’affaire « Z-Library », la décision de justice a été rendue le 25 août 2022 : il ne reste plus qu’à un ayant droit concerné de saisir l’Arcom en s’appuyant sur l’article L. 331-27 du CPI. Que dit-il ? « Lorsqu’une décision judiciaire passée en force de chose jugée a ordonné toute mesure propre à empêcher l’accès à un service de communication au public en ligne en application de l’article L. 336-2 [du CPI, nous y reviendrons, ndlr], l’Autorité de régulation de la communication audiovisuelle et numérique [Arcom], saisie par un titulaire de droits partie à la décision judiciaire, peut demander à toute personne visée par cette décision (…) d’empêcher l’accès à tout service de communication au public en ligne reprenant en totalité ou de manière substantielle le contenu du service mentionné par ladite décision ». Bref, toute nouvelle apparition d’un site miroir lié de près ou de loin à la plateforme pirate condamnée devra faire aussi l’objet d’un blocage de la part non seulement des quatre principaux opérateurs télécoms français mais aussi des moteurs de recherche ou des annuaires de référencement (si le juge le décide). Pour ce faire, c’est l’Arcom qui communiquera « précisément » à tous ces acteurs « les données d’identification du service en cause » à bloquer et à déréférencer. La loi « anti-piratage » prévoit même que l’Arcom passe des accords avec« les ayants droit et toute personne susceptible de contribuer à remédier aux atteintes aux droits d’auteur et droits voisins en ligne » pour déterminer notamment les conditions d’« information réciproque » sur l’existence de tout site miroir. Saisines « L. 336-2 » et « L. 331-27 » L’Arcom peut en outre – « en cas de difficulté » – demander aux services de communication au public en ligne de se justifier. En lisant la fin de l’article L. 331-27 du CPI, l’on comprend implicitement que l’Arcom peut saisir, « en référé ou sur requête », l’autorité judiciaire pour « ordonner toute mesure destinée à faire cesser l’accès à ces services ». Cette saisine-là peut se faire « sans préjudice de la saisine prévue à l’article L. 336-2. ». Il y a donc deux types de saisine des tribunaux pour faire bloquer et déréférencer des sites web pirates d’œuvres ou d’objets protégés par le droit d’auteur : la saisine « L. 336-2 » par des titulaires de droits, leurs ayants droit, des organismes de gestion collective, des organismes de défense professionnelle, ou même par le CNC – le Centre national du cinéma et de l’image animée (3) ; la saisine « L. 331-27 » par l’Arcom (bien que cela ne soit pas clairement spécifié dans le texte de loi) lorsqu’elle-même est saisie par un titulaire de droits concerné par la décision judiciaire rendue à l’issue de la première saisine. Cette justice à deux détentes (liste noire initiale des sites web à neutraliser, liste noire mise à jour avec les sites miroirs) tend vers le black-out – total ? – de la plateforme incriminée. Prochains : Pirate Library Mirror, Bookys, … « Ce succès collectif vient conclure l’expérimentation inédite de cette procédure pour le livre, et ouvre la voie à de nouvelles actions – des éditeurs et du SNE – de blocage et de déréférencement, rapides et systématiques, contre des sites web proposant des contenus illicites violant le droit d’auteur », a prévenu le syndicat présidé par Vincent Montagne (PDG du groupe franco-belge Média-Participations). Autant lors de la précédente affaire « Team Alexandriz », dont les responsables ont été condamnés au pénal en mai 2021 au bout de dix ans de procédure judiciaire (4), les sites miroirs passaient sous les radars, autant depuis la loi « Anti-piratage » d’octobre 2021 permet aux ayants droit et à l’Arcom d’agir devant la justice contre la résurgence de sites miroir dans une même affaire de type « Z-Library ». « Se présentant “comme une bibliothèque gratuite depuis 2009”, mais proposant un modèle payant d’accès aux œuvres contrefaites, le site Z-Library accessible via de multiples adresses, proposait un accès à plus de 8 millions de livres – tous secteurs éditoriaux confondus – et 80 millions d’articles piratés », précise le SNE qui compte 700 éditeurs français adhérents. Le site Z-Library (ex-BookFinder ou BookFi, alias B.ok.cc), affichait, lui, avant d’être blacklisté, un catalogue de 11,1 millions de livres et plus de 84,8 millions d’articles. Quelques jours avant d’être bloqué par Orange, SFR, Bouygues Telecom et Free, cette « plus grandes bibliothèques en ligne dans le monde » lançait une « campagne de collecte » jusqu’au 1er octobre 2022 en guise d’« appel de fonds à tous ceux qui veulent contribuer encore plus au soutien et au développement de notre projet » (5). Certains internautes avisés peuvent contourner le blocage-filtrage par nom de domaine mis en place par les FAI (les DNS étant retirés de leurs répertoires d’adresses IP) et les principaux moteurs de recherche (déréférencement). La précédente affaire « Team Alexandriz » avait été enclenchée il y a dix ans, avec là aussi la plainte du SNE, déposée en novembre 2012 avec six grands éditeurs français – Hachette, Editis, Gallimard, Albin Michel, La Martinière et Actes Sud. Le site qui se revendiquait comme le « n°1 sur les ebooks FR » avait cessé de fonctionner dès fin août 2013 mais la procédure judiciaire a continué pour s’éterniser près de dix ans (6), jusqu’à la condamnation pour contrefaçon de neuf des douze prévenus avec « circonstance aggravante de bande organisée ». Entre mai 2010 et juin 2013, était-il précisé, ce fut plus de 23.942 livres qui avaient été piratés, qu’il s’agisse de livres numériques sur lesquels les mesures de protection avaient été retirées ou de livres imprimés illégalement numérisés et corrigés (7). Certains responsables de Team Alexandriz ont écopé de peines d’emprisonnement avec sursis et le tribunal a condamné les neuf à « 10.000 euros de dommages et intérêts pour chaque éditeur et pour le SNE, en réparation du préjudice subi ». C’est relativement peu au regard de la peine maximale qu’ils encouraient : trois ans d’emprisonnement et de 300 000 euros d’amende, selon l’article L335-4 du CPI (8). Avec la loi « Anti-piratage » et le renfort de l’Arcom dans les actions judiciaires en « procédure accélérée », le SNE et les maisons d’éditions disposent désormais d’un double-levier procédural à leur disposition. A qui le tour : à Pirate Library Mirror ? Ce site web déclare : « Nous violons délibérément la loi sur le droit d’auteur dans la plupart des pays. (…) Miroir – Nous sommes strictement un miroir des bibliothèques existantes. (…) La première bibliothèque que nous avons reflétée est Z-Library. C’est une bibliothèque populaire (et illégale). Ils ont pris la collection Library Genesis et l’ont rendue facilement consultable » (9). Ou bien à Bookys ? Ce site web le reconnaît : « En rendant le téléchargement gratuit, Bookys enfreint les règles de protection des droits d’auteurs » (10). Reste que la portée de ces condamnations au pénal pour contrefaçon a ses limites puisque celles-ci ne s’appliquent qu’en France. Alors que les sites et de leurs sites miroirs présumés pirates sont sans frontières. Le règlement européen sur les services numériques – le DSA (Digital Services Act) – est sur le point d’entrer en vigueur. Il prévoit lui aussi le blocage mais sur décision d’un juge. Ce ne seront ni les FAI, ni les plateformes numériques, ni les régulateurs qui peuvent bloquer d’eux-mêmes les contenus piratés. Frontières : vers un blocage européen L’affaire « Z-Library » apparaît comme un marqueur dans l’histoire de la lutte contre le piratage de contenus protégés. Du moins en France, en attendant des actions au niveau européen lorsque le DSA sera pleinement applicable. Si les livres numériques sont concernés par cette décision de blocage du 25 août 2022, à laquelle l’Arcom contribue devant la justice avec la mise à jour de sa liste des sites miroirs et d’éventuels nouveaux recours, le nouvel arsenal judicaire est à la disposition de toutes les industries culturelles : livre mais aussi musique, cinéma, retransmissions sportifs, ou encore jeux vidéo. @

Charles de Laubier

Mineurs, réseaux sociaux et sites pornos : contrôle de l’âge et risques sur la vie privée

Alors qu’une procédure de l’Arcom s’éternisent devant la justice contre cinq sites web pornographiques (Pornhub, Ttukif, xHamster, Xnxx, et Xvideos), le contrôle de l’âge – pour interdire aux mineurs l’accès à ces contenus pour adultes ou l’inscription sur les réseaux sociaux – pose problème. Cela fait un an que la Commission nationale de l’informatique et des libertés (Cnil) a publié – le 9 juin 2021 – huit recommandations pour « renforcer la protection des mineurs en ligne » (1), dont une – la septième – s’intitule « Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ». Car la question du contrôle de l’âge est complexe et difficile à mettre en œuvre au regard de la protection de la vie privée et du principe de l’anonymat. Or, 44 % des 11-18 ans déclarent avoir déjà menti sur leur âge pour utiliser les réseaux sociaux (2). Et quelle proportion des mineurs ont déclaré être majeurs sur les sites web à caractère pornographique ? Vérifier l’âge : pas de procédé fiable (PEReN) Vérifier l’âge de l’internaute reste encore à ce jour un problème car les solutions de contrôle sont soit facilement contournables (déclaration qui peut être mensongère, vérification par e-mail inefficace, …), soit portant atteinte à la protection des données et à la vie privée (reconnaissance faciale jugée disproportionnée, utilisation des données recueillies à des fins commerciales ou publicitaires, …). A ce jour, les réseaux sociaux – le plus souvent interdits aux moins de 13 ans (voire moins de 16 ans dans certains autres pays européens comme l’Allemagne), et les sites web pornographiques interdits aux moins de 18 ans – ne savent pas vraiment comment procéder pour être irréprochables dans le contrôle de l’âge de leurs utilisateurs. A Bercy, le Pôle d’expertise de la régulation numérique (PEReN) – rattaché à la Direction générale des entreprises (DGE) et placé sous l’autorité conjointe des ministres chargés de l’Economie, de la Culture et du Numérique (3) – a publié le 20 mai dernier une étude à ce sujet. « Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ? », s’interroge cette entité interministérielle. Son constat : « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ». Le PEReN, qui est dirigé par Nicolas Deffieux (photo), fait aussi office de task force au service notamment de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), au moment où celle-ci – du temps du CSA (Conseil supérieur de l’audiovisuel) – a mis en demeure le 13 décembre 2021 cinq sites web pornographiques et les a enjoints de se mettre en conformité avec les nouvelles dispositions du code pénal. Faute d’avoir obtempéré dans les temps (ultimatum de quinze jours), les cinq plateformes incriminées – Pornhub, Ttukif, xHamster, Xnxx, et Xvideos – se retrouvent devant la justice, à l’initiative de l’Arcom, dans le cadre d’une procédure « accélérée » qui s’éternise (4). Selon NextInpact, la présidente du tribunal judiciaire de Paris a considéré le 24 mai dernier comme « caduque » l’assignation adressée par l’Arcom aux fournisseurs d’accès à Internet (FAI) afin qu’ils bloquent les cinq sites pornos. Raison de cette annulation : l’Arcom n’a informé le tribunal de cette assignation que le jour même de l’audience, au lieu de la veille au plus tard (5). L’Arcom doit donc réassigner les FAI, ce qui reporte l’audience de quelques semaines. Toujours selon NextInpact, les avocats des sites pornos réclament le dépôt d’une question prioritaire de constitutionnalité devant le Conseil constitutionnel et d’une question préjudicielle à la Cour de justice de l’Union européenne (CJUE). Tandis que le Conseil d’Etat, lui, a été saisi de l’annulation du décret d’application du 7 octobre 2021 portant sur les «modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » (6). Ce décret menace les FAI contrevenants à des sanctions pénales de « trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message [à caractère violent, incitant au terrorisme, pornographique] est susceptible d’être vu ou perçu par un mineur » (7). Surtout que « les infractions (…) sont constituées y compris si l’accès d’un mineur aux messages (…) résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans » (8). Cette dernière disposition introduite dans le code pénal découle de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales. Vie privée : ne pas enfreindre le RGPD Il y a donc péril judiciaire dans le porno. D’autant qu’une deuxième procédure, distincte de celle de l’Arcom, suit son cours en référé déposé devant le tribunal judiciaire par deux autres associations – La Voix de l’enfant et e-Enfance – sur la base de la loi « Confiance dans l’économie numérique » (loi LCEN de 2004). Son visés les mêmes sites pornos que dans la première affaire, mais avec MrSexe, IciPorno, YouPorn et RedTube (soit neuf au total). Or, à ce jour, l’absence de procédés fiables pour contrôler l’âge des internautes sans porter atteinte à la vie privée – et en respectant au niveau européen le règlement général sur la protection des données (RGPD) – rend la situation compliquée pour les réseaux sociaux et les sites pornos. « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé », avait mis en garde la Cnil dans son avis du 3 juin 2021 sur le projet de décret « Protéger les mineurs » (devenu le décret du 7 octobre 2021). Double anonymat préconisé par la Cnil Dans sa délibération parue au J.O. le 12 octobre de la même année (9), la Cnil écarte aussi le recours à la carte d’identité : « Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ». Quoi qu’il en soit, l’article 8 du RGPD interdit l’utilisation de données personnelles des enfants âgés de moins de 13 à 16 ans, selon les Etats membres. La France, elle, a retenu l’âge de 15 ans. Ainsi, en-dessous de cet âge légal, la loi « Informatique et Libertés » impose – conformément au RGPD – le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale (10). Si la préoccupation première était de ne pas exposer les mineurs de 13 à 16 ans à de la publicité ciblée sur les réseaux sociaux, lesquels sont censés avoir mis en place des procédés de vérification de l’âge (11), cette obligation concerne désormais les sites web à caractère pornographique. A noter que les jeux d’argent et de hasard en ligne (comme les paris sur Internet) sont également soumis au contrôle préalable de l’âge. Au niveau européen, la Commission européenne soutient l’initiative euConsent qui vise à mettre en place des systèmes de vérification de l’âge et de consentement parental qui soient interopérables, sécurisés et ouverts à l’échelle paneuropéenne – conformes à la certification eIDAS (12). Dans le consortium euConsent se côtoient Facebook, Google, les associations européennes respectivement des opérateurs télécoms historiques Etno et des fournisseurs d’accès à Internet EuroIspa, ou encore des organisations de protection de l’enfance. Le futur Digital Services Act (DSA), législation sur les services numériques, va introduire à son tour une interdiction de la publicité ciblée pour les mineurs. Le contrôle de l’âge va se renforcer sur Internet, mais les méthodes de vérifications laissent à désirer. Le PEReN a classé dans son étude les solutions selon le mode de preuve employé (voir aussi tableau ci-dessous) : • Le contrôle de l’âge, à l’aide d’un document portant l’identité et la date de naissance de la personne, à l’aide d’un document dont toutes les parties identifiantes auraient été supprimées avant tout traitement, ou enfin par les parents (contrôle parental) ; • L’estimation algorithmique de l’âge sur la base du contenu publié ou utilisé par l’utilisateur sur le site ou bien à partir de données biométriques (voix, images, vidéos, …) ; • Le déclaratif se basant uniquement sur les déclarations des internautes. Le PEReN estime « primordial que la vérification de l’âge ne soit pas directement opérée par la plateforme ou le service en ligne afin de réduire le risque de croisement ou de réutilisation des données collectées lors de la vérification ». Il préconise alors « un mécanisme de tiers, voire de double tiers, [qui] peut être mis en place pour la transmission du résultat de la vérification précisément afin de minimiser ce risque ». Ainsi, ce mécanisme de doubletiers constitue une mise en œuvre possible du double anonymat recommandé par la Cnil, laquelle – en partenariat avec un laboratoire de l’Ecole polytechnique et le PEReN – a développé un prototype de ce mécanisme de vérification de l’âge par double anonymat pour en démontrer la faisabilité technique. D’après le PEReN « cette preuve de concept [devait] être rendue disponible fin mai ». Contacté par Edition Multimédi@, son directeur général Nicolas Deffieux nous indique que la Cnil est maître des horloges. Le prototype est en effet entre les mains de Vincent Toubiana, qui y dirige le laboratoire d’innovation numérique (Linc). « Notre calendrier a été décalé et je n’ai actuellement aucune date de publication prévue », nous précise ce dernier. @

Charles de Laubier

Vie privée et télétravail : la consécration des VPN

En fait. Le 5 mai, la fondation Mozilla – créée dans la foulée du développement il y a vingt ans du navigateur Firefox – a rendu disponible en France sa solution de réseau privé virtuel, Mozilla VPN, pour permettre aux internautes de sécuriser et de masquer leurs connexions à Internet et de ne pas être géolocalisés.

En clair. Les VPN – Virtual Private Network – sont plus connus par les internautes des pays autoritaires ou dictatoriaux qui pratiquent la censure de contenus en ligne et les blocages d’accès à des plateformes étrangères. Mais échaudés par les atteintes en ligne à leur vie privée, le pistage de leurs navigations et géolocalisations à des fins publicitaires (sans parler des cookies), voire la fuite de leurs données personnelles, les internautes des pays démocratiques sont de plus en plus demandeurs de VPN. Le sigle fait même son entrée dans le Larousse 2022 !
« Pour vivre heureux vivons cachés » est le nouveau credo du Web, dont les connexions sécurisées « https » ne suffisent pas. Le VPN est une sorte de camouflage numérique et de bouclier en ligne, qui offre une sécurisation par chiffrement des données et masque l’adresse IP de l’internaute (une de ses données personnelles) pour ne pas être détecté, pisté ou identifié. Pratiqué de longue date par les technophiles, les réseaux privés virtuels se démocratisent au fur et à mesure que les offres de VPN grand public faciles d’utilisation sont proposées (NordVPN, IPVanish, Cyberghost VPN, Surfshark, etc). Et ce, moyennant paiement sur un mois (de 5 à 12 euros) ou sur six à trois ans (de 2 euros à 10 euros par mois selon la durée de souscription). Pour Mozilla VPN lancé le 5 mai en France et en Allemagne (1), les tarifs sont de 9,99 euros pour un mois, 6,99 par mois sur six mois ou de 4,99 euros pour douze mois (2). L’utilisation du navigateur Firefox n’est pas nécessaire, mais un compte Mozilla si. La fondation californienne à but non lucratif s’appuie pour cela sur la société suédoise Amagicom qui opère un réseau mondial de 750 serveurs (dans 30 pays) fonctionnant sur leur solution open-source de VPN, Mullvad, et sécurisé de bout-enbout (3) par le protocole de cryptage WireGuard. « Surfez, jouez, travaillez et streamez tout en préservant votre confidentialité sur Internet », promet la fondation Mozilla.
Depuis mars 2020, confinements successifs oblige, la Cnil (https://lc.cx/Cnil-VPN) et l’Arcep (https://lc.cx/Arcep-VPN) recommandent d’utiliser des VPN pour télétravailler ou se former en distanciel, et « éviter l’exposition directe sur Internet » (dixit la Cnil). Mais attention, « la combinaison de celui-ci [le VPN de l’employeur] avec votre Wifi peut engendrer un débit ralenti » (dixit l’Arcep). @

Fini les cookies, place aux « intérêts communs »

En fait. Les 3 mars, Google a annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage « personnalisé » – au profit de « centres d’intérêts » de groupes d’individus. Des tests débuteront au second trimestre. Coup de grâce aux mouchards ?

En clair. Demain, on ne dire plus « cookies » mais « cohortes ». Les petits mouchards publicitaires installés – jusqu’alors sans le consentement express des internautes trackés et ciblés – vont bientôt relever de la préhistoire du Web. Controversés depuis longtemps, car portant souvent atteinte à la vie privée des internautes et des mobinautes, les cookies laisseront un goût amer. Et l’obligation récente faite aux sites web et plateformes numériques, notamment en France avec les contrôles et sanctions de la Cnil qui vont démarrer à partir du 1er avril 2021, ne changera rien à l’affaire. Google – déjà épinglé en France (1) – va leur donner le coup de grâce au niveau mondial, en abandonnant les cookies tiers au profit des « cohortes » : ce que les développeurs du Web appellent « FLoC », pour Federated Learning of Cohorts (2). Potentiellement, tous les navigateurs (Chrome de Google, Fixefox de Mozilla, Edge de Microsoft, Safari d’Apple, etc.) peuvent tourner le dos aux cookies pour miser sur les centres d’intérêts sur le Web. La « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaire. Et ce, sans ne plus avoir à identifier les individus un par un mais ensemble de façon non indentifiable. « Pour que l’Internet reste ouvert et accessible à tous, nous devons tous faire davantage pour protéger la vie privée, ce qui signifie la fin non seulement des cookies tiers, mais aussi de toute technologie utilisée pour tracker les personnes qui naviguent sur le Web », a prévenu David Temkin, directeur de gestion de produit « Ads Privacy and Trust » chez Google, dans un post publié le 3 mars (3).
La filiale d’Alphabet ne va plus suivre à la trace les utilisateurs sur non seulement ses propres services mais aussi sur d’autres sites web. Fini les cookies : place aux foules segmentées par audiences anonymes. Il s’agit aussi de restaurer la confiance sur le Web, mise à mal par ces cookies utilisés sans consentement préalable. « Nos tests de FLoC montrent une façon efficace de retirer les cookies tiers de l’équation publicitaire et de cacher les individus au sein de grandes foules de personnes ayant des intérêts communs », explique David Temkin. En avril, Chrome commencera à redonner le contrôle à ses utilisateurs. Puis, à partir du second trimestre, des tests « FLoC » seront menés, à partir du deuxième trimestre, avec des annonceurs publicitaires dans Google Ads. @