Il y a quelques semaines, la société de sécurité technologique Cloudflare a annoncé qu'elle abandonnait le site Web de Kiwi Farms en raison du « danger imminent » posé par les campagnes de harcèlement en ligne et les menaces provenant du site. Cette décision est intervenue quelques jours seulement après que le directeur général de Cloudflare, Matthew Prince, a initialement soutenu la décision de l'entreprise de protéger le site après qu'il a été lié à des campagnes de harcèlement réelles. Le site, connu comme un forum permettant aux harceleurs d'organiser des campagnes contre leurs cibles, a été lié à au moins trois suicides. Mais Prince a fait marche arrière, déclarant au Washington Post : « Nous pensons qu'il y a un danger imminent, et nous pensons que le rythme auquel les forces de l'ordre sont capables de répondre à ces menaces n'est pas assez soutenu pour suivre ». Il a noté que les contributeurs du forum affichaient les adresses personnelles des personnes et demandaient qu'elles soient abattues. Les visiteurs du site sont désormais accueillis par le message suivant : « En raison d'une menace imminente et urgente pour la vie humaine, l'accès au contenu de ce site est bloqué via l'infrastructure de Cloudflare ».
Si la décision a été acclamée par les défenseurs des droits numériques à l'instar de l'EFF (Electronic Frontier Foundation), elle a été le déclencheur d'un débat sur les pouvoirs détenus par les entreprises technologiques sur la liberté d'expression en ligne.
L'EFF note par exemple que « Bien que EFF ne verserait aucune larme à la perte de KiwiFarms (qui est toujours en ligne au moment d'écrire ces lignes), la décision de Cloudflare soulève à nouveau des questions fondamentales, et toujours sans réponse, sur le rôle de ces entreprises dans la définition de qui peut et ne peut pas parler en ligne ».
Bien que cet incident récent serve d'exemple particulièrement pointu des interventions basées sur le contenu que les entreprises d'infrastructure font de plus en plus, il est loin d'être le premier. L'EFF cite ceux-ci :
- En 2017, GoDaddy, Google et Cloudflare ont interrompu les services du site néonazi Daily Stormer après que le site a publié un article vitriolique sur Heather Heyer, la femme tuée lors du rassemblement de Charlottesville. Comme suite à l'incident, le PDG de Cloudflare, Matthew Prince, a déclaré : « Littéralement, je me suis réveillé de mauvaise humeur et j'ai décidé que quelqu'un ne devrait pas être autorisé à s'exprimer sur Internet. Personne ne devrait avoir ce pouvoir ».
- En 2018, Cloudflare a refusé de manière préventive les services à Switter, une plateforme décentralisée par et pour les professionnel(le)s du sexe pour se connecter et contrôler les clients en toute sécurité. Cloudflare a imputé cette décision aux « tentatives de l'entreprise pour comprendre FOSTA », la loi anti-traite qui a eu de larges répercussions sur les travailleuses du sexe et le contenu sexuel en ligne plus généralement.
- En 2020, alors que les confinements de Covid rendaient les événements en personne largement intenables, Zoom a refusé de soutenir des événements virtuels dans trois universités différentes, apparemment parce que l'une des conférencières - Leila Khaled - a participé à des détournements d'avion il y a cinquante ans et est associée à une organisation que le gouvernement américain a qualifiée de « terroriste ». La société avait précédemment annulé des services pour des militants en Chine et aux États-Unis concernant les commémorations du massacre de la place Tiananmen, invoquant le respect de la loi chinoise.
- En 2022, au début de l'invasion de l'Ukraine par la Russie, les gouvernements du monde entier ont fait pression sur les fournisseurs de services Internet pour qu'ils bloquent le contenu des médias parrainés par l'État russe, tandis que l'Ukraine a contacté RIPE, l'un des cinq registres régionaux pour l'Europe, le Moyen-Orient et certaines parties de l'Asie centrale, demandant à l'organisation de révoquer la délégation d'adresse IP à la Russie.
Ces retraits et demandes soulèvent des questions épineuses, en particulier lorsque la fourniture de services à une entité risque de nuire à d'autres. S'il n'est pas possible d'intervenir de manière nécessaire et proportionnée, comme l'exigent les normes internationales relatives aux droits de la personne, et encore moins d'une manière totalement transparente pour les utilisateurs qui comptent sur Internet pour accéder à l'information et s'organiser, les prestataires devraient-ils intervenir volontairement ? Devrait-il y avoir des exceptions en cas d'urgence? Comment pouvons-nous mieux identifier et atténuer les dommages collatéraux, en particulier pour les communautés les moins puissantes ? Que se passe-t-il lorsque des acteurs étatiques exigent des interventions similaires ?
Bien entendu, dans son billet, l'objectif de l'EFF n'était pas de répondre à toutes ces questions. Cependant, l'organisation a remarqué que de nombreux décideurs, au moins, essaient de le faire eux-mêmes sans vraiment comprendre la variété des services qui fonctionnent « au-delà de la plateforme ». Et cela, au moins, est un problème que nous pouvons résoudre dès maintenant.
Internet n'est pas Facebook (ou Twitter, ou Discord, etc.)
Il existe de nombreux services, mécanismes et protocoles qui composent Internet tel que nous le connaissons. Les plus essentiels d'entre eux sont ce que nous appelons les fournisseurs d'infrastructures. On pourrait penser que les services d'infrastructure appartiennent à deux camps : physique et logique. L'infrastructure physique est la plus facile à déterminer, comme les tubes sous-marins, les câbles, les serveurs, les routeurs, les points d'échange Internet (IXP), etc. Ces éléments constituent l'épine dorsale tangible d'Internet. Il est facile d'oublier - et important de se rappeler - qu'Internet est une chose physique.
La couche logique de l'infrastructure Internet est celle où les choses deviennent un peu délicates. Personne ne contestera que les protocoles Internet (comme HTTP/S, DNS, IP), les fournisseurs de services Internet (FAI), les réseaux de diffusion de contenu (CDN) et les autorités de certification (CA) sont tous des exemples de services d'infrastructure nécessaires. Les FAI permettent aux utilisateurs d'accéder à la couche physique d'Internet, les protocoles Internet fournissent un ensemble cohérent de règles permettant à leurs ordinateurs de communiquer efficacement sur Internet, et les CDN et CA fournissent le contenu et la validité nécessaires dont les sites Web ont besoin pour rester disponibles pour utilisateurs. Celles-ci sont essentielles pour que les plateformes existent et pour que les gens puissent interagir avec elles en ligne. C'est pourquoi l'EFF plaide pour des positions de neutralité du contenu de ces services : ils sont essentiels à la liberté d'expression en ligne et ne devraient pas être dotés d'une capacité éditoriale pour décider de ce qui peut et ne peut pas exister en ligne, au-delà de ce que la loi dicte déjà.
Il existe de nombreux autres services qui fonctionnent dans les coulisses pour faire fonctionner Internet comme prévu. Ces services, comme les processeurs de paiement, les plugins d'analyse, les mécanismes de suivi comportemental et certains outils de cybersécurité, assurent la viabilité financière des plateformes et révèlent une sorte de zone grise dégradée entre ce que nous déterminons comme essentiellement infrastructurel et non. Refuser leurs services peut avoir divers degrés d'impact sur une plate-forme. Les processeurs de paiement sont essentiels pour presque tous les sites Web afin de collecter de l'argent pour que leur entreprise ou organisation reste en ligne. D'un autre côté, on pourrait soutenir que les mécanismes de suivi comportemental et les trackers publicitaires assurent également la viabilité financière des entreprises sur des marchés concurrentiels. Nous ne prétendrons pas que les outils de suivi sont infrastructurels.
Envoyé par EFF
Les interventions au-delà des plateformes ont des conséquences différentes
Il est difficile pour les fournisseurs d'infrastructure de créer des politiques qui respectent les exigences de modération de contenu telles qu'établies par les normes internationales des droits de l'homme. Et il est particulièrement difficile de créer ces politiques et ces systèmes de surveillance lorsque les droits individuels semblent entrer en conflit les uns avec les autres. Et les conséquences de leurs décisions varient considérablement.
Par exemple, il est à noter que Cloudflare et la presse technique ont fait couler beaucoup moins d'encre lorsqu'ils ont pris la décision de mettre fin au service de Switter, dans un seul exemple des conséquences néfastes de SESTA/FOSTA pour les travailleuses du sexe. Pourtant, ce sont ces types de sites qui sont les plus impactés. Les plateformes basées en dehors de l'hémisphère nord ou qui comptent davantage d'utilisateurs issus de communautés marginalisées ont rarement les mêmes alternatives pour les services d'infrastructure, y compris les outils de sécurité et l'espace serveur, que les sites bien dotés en ressources et même les espaces en ligne moins dotés en ressources basés aux États-Unis et en Europe. Pour ces utilisateurs, des politiques qui prennent en charge moins d'interventions et la capacité de communiquer sans être vulnérable aux caprices des dirigeants de l'entreprise peuvent être un meilleur moyen d'aider les gens à dire la vérité au pouvoir.
Les actions en ligne créent des dommages dans le monde réel, et cela peut se produire dans plusieurs directions. Mais les fournisseurs d'infrastructures sont rarement bien placés pour évaluer ce préjudice. Ils peuvent également être confrontés à des exigences et des demandes contradictoires basées sur les règles et les valeurs des pays dans lesquels ils opèrent. Cloudflare a noté que les interventions précédentes ont entraîné une augmentation des demandes de retrait du gouvernement.
Conclusion
Envoyé par EFF
Envoyé par Matthew Prince
Et vous ?
Que pensez-vous des arguments avancés par l'EFF pour expliquer la raison pour laquelle les fournisseurs d'infrastructure devraient rester à l'écart de la police de contenu ?
S'il n'est pas possible d'intervenir de manière nécessaire et proportionnée, comme l'exigent les normes internationales relatives aux droits de la personne, et encore moins d'une manière totalement transparente pour les utilisateurs qui comptent sur Internet pour accéder à l'information et s'organiser, les prestataires devraient-ils intervenir volontairement ? Devrait-il y avoir des exceptions en cas d'urgence?
Comment pouvons-nous mieux identifier et atténuer les dommages collatéraux, en particulier pour les communautés les moins puissantes ?
Que se passe-t-il lorsque des acteurs étatiques exigent des interventions similaires ?
Voir aussi :
Cloudflare bloque Kiwi Farms en raison du « danger imminent » posé par les campagnes de harcèlement et les menaces provenant du forum, après avoir expliqué qu'elle n'avait pas l'intention de le faire