Ashram de Swâmi Petaramesh

Dès que l'on ouvre un blog ou un site Internet, on serait bien inspiré de se poser la question de ce que la loi autorise d'y exprimer ou non, de l'endroit où se situe la ligne jaune, et des risques que l'on encourt si jamais on la franchit.

Pour une première vision d'ensemble de la question, un détour par le désormais célèbre billet Blogueurs et responsabilité de l'incontournable Maître Eolas, ainsi que par l'article d'Eric Barbry, sont fortement recommandés : les principales règles applicables en la matière y sont explicitées, notamment en matière de diffamation ou d'injures, accusation qui risque de nous tomber sur la tête dès que l'on envisage d'exprimer une opinion "tranchée" susceptible de déplaire à quelqu'un...

Cette lecture faite, on saura qu'il convient de se montrer prudent, et de tourner 7 fois la touche [Entrée] sous son médius avant de l'enfoncer allègrement.

Certes, il est normal que la loi impose ses limites à la liberté d'expression, qui doit nécessairement s'arrêter là où commenceraient les nuisances causées à autrui.

Toutefois, cette évidence incontestable masque des problèmes de fond, qui sont l'objet de ce billet.

Le premier de ces problème est celui de la transformation rapide de notre société, et de la dissolution partielle de la limite entre la sphère publique et la sphère privée qui en découle. Ce problème est particulièrement mis en évidence par les spécificités du média Internet, qui, par le biais des blogs, forums de discussions ou simples pages perso met à la disposition de tout-un-chacun un moyen d'expression radicalement nouveau.

Notre société se transforme, donc. Il y a encore quelques dizaines d'années, il y avait, en ville, un bistrot au pied de chaque immeuble ou presque, et, dans ce bistrot se tenaient chaque soir, selon la plus ancienne tradition, des conversations de Café du Commerce. Ces conversations n'étaient pas toujours aussi tempérées que le politiquement correct aujourd'hui en vigueur l'exige, et on y entendait bien souvent des expressions évidemment excessives : "Machin est un fâââchiste !", "Ce connard de Villarko...", ou "La sécu c'est qu'un tas de glands", "la femme au volant c'est la mort au tournant", "La Société Trucchose c'est rien que des escrocs, des voleurs !!", "Faudrait y foutre une bombe !", "Ben t'as qu'a pas le déclarer !", "les [insérez ici le nom de votre minorité ethnique préférée] sont cons comme des balais !", "la prof' d'anglais est une pouffiasse !"^[1], etc, etc.

Chacune de ces paroles, on s'en doute, tombe sous le coup de la loi, que ce soit pour injures, diffamation, propos racistes ou sexistes, ou incitation à la commission de crimes ou de délits. Terrorisme, pouquoi pas ?

Mais, jamais au grand jamais, les auteurs de ces propos n'ont été inquiétés, traînés en justice ou jetés au cachot pour autant - du moins tant que le bistrot en question n'était pas considéré comme un véritable repaire de terroristes ou de délinquants. Ces propos étaient tenus dans un cadre, sinon privé, du moins restreint, et étaient tolérés, d'abord en tant qu'exutoire - on sait bien que les propos extrêmes sont rarement à prendre au premier degré, mais ça soulage... - et ensuite parce qu'il aurait été impossible de coller un flic derrière chaque comptoir, prêt à verbaliser au moindre écart de langage.

Du coup, tout ceci était toléré de fait, et considéré comme un défoulement ordinaire sans conséquence, si ce n'est, probablement, la conséquence très positive de faire baisser la pression, car il est bien connu que le fait de pouvoir exprimer sa hargne ou son mécontentement calme, détend, et permet souvent d'éviter que les choses n'aillent plus loin.

De même, et a fortiori, les propos tenus par chacun dans le cadre familial ou dans un lieu privé - avec les copains invités à bouffer - échappent légitimement à toute censure et à toute sanction, et on peut à loisir exprimer sa profonde pensée en disant que "l'équipe de foot machin, c'est rien que des branleurs dopés et qu'en plus ils achètent le résultat des matches".

Gageons que des propos aussi répréhensibles, il s'en échange chaque jour des millions, à chaque table familiale, à chaque comptoir, ou à la machine à café de chaque bureau.

Certes, si de tels propos avaient été publiés, leur auteur aurait encouru les foudres de la justice, mais voilà, ils ne l'étaient pas. Parce que, jusqu'à très récemment, les moyens de publication (qui n'était qu'une diffusion, dans le sens de un vers beaucoup) n'étaient accessibles qu'à des professionnels, et que ces professionnels, outre qu'ils se comportaient en professionnels, avaient une parfaite connaissance des limites (c'est leur métier), bien souvent un statut leur accordant une protection particulière (journalistes), et, en cas de problème, le moyen et l'habitude de recourir à des avocats, et, le plus souvent, les moyens financier de faire face à un procès et d'en assumer les éventuelles conséquences.

Mais aujourd'hui, les choses ont bien changé. La plupart des bistrots-en-bas-de-chez-moi ont fermé, notre mode de vie nous éloigne de plus en plus souvent géographiquement de notre famille ou de nos amis, les grandes villes sont anonymes comme chacun sait, et plus de 8 millions de personnes vivent seules chez elles.

Arrive soudain Internet, ses forums et ses blogs. Un moyen d'expression absolument inouï, d'une puissance inconcevable, qui permet non plus à un tout petit nombre, mais à tout-un-chacun, de s'exprimer largement. La communication de chacun-vers-chacun est là. On peut s'exprimer, et sans le filtre d'un éditeur ou d'un rédac'chef, sans non plus l'éventuel conseil d'un cabinet juridique. On s'y exprime directement, immédiatement, sans souvent beaucoup de temps de réflexion, et avec les excès possibles qu'entraîne la spontanéité, surtout quand nombre d'utilisateurs sont très jeunes, et n'ont ni le background juridique et professionnel, ni la maturité d'un écrivain ou d'un éditorialiste chenu.

Il se forme des communautés virtuelles, basées sur les affinités ou les centres d'intérêt communs, où la distance physique n'existe plus, où le délai de transmission n'existe pas non plus.

Certes, techniquement, ce qu'écrit chacun est accessible à tous, mais, en pratique, il ne sera le plus souvent lu que par un cercle restreint d'amis réels ou virtuels, de personnes partageant les mêmes centres d'intérêt, la même sensibilité ou les mêmes opinions.

Internet récrée, en quelque sorte, un Café du Commerce géant, un Café du Commerce planétaire, comme l'avaient si bien pressenti ses pionniers qui parlaient, eux, de village planétaire.

A un détail près. Mais il est de taille. Tout ce qui se dit ici, du moment que c'est publiquement accessible, tombe dans le domaine des lois régissant l'expression publique. En dehors de l'e-mail personnel et des espaces clos, tout ce qui est écrit ici est considéré comme publié. Et la législation que l'on applique alors ne peut que résulter en injustice, châtiments excessifs, et limitation de la liberté d'expression.

Tu as dit que ta prof est une conne ? Tu aurais mieux fait de le dire au bistrot, car tu vois, tu es viré de ton bahut.

Tu plaisantes sur un sujet d'actualité quand des ANPE sont brûlées, en proposant sur un forum de chômeurs de communiquer d'autres adresses pour les brûler aussi ? Crac ! Les flics débarquent chez toi à 6 heures du matin pour te coller au gnouf. Incitation à la commission de crime ! Tu plaisantais peut-être^[2], mais eux ne plaisantent pas... Terroriste, va !

Tu es proviseur, homosexuel également, et tu évoques les deux, même sous pseudonyme, sur ton blog ? Paf ! Tu es aussitôt révoqué, parce que, n'est-ce pas, chez ce gens-là Monsieur, ça s'fait pas...

Tu reproduis sur ton blog un article du ''Parisien'' mettant en cause la ville où tu habites ? Paf ! Tu te retrouves en correctionnelle poursuivi, non pas par le journal qui te reprocherait la reproduction de son article, non, mieux, poursuivi en diffamation par la ville dont parle l'article de presse que tu as reproduit !

Viré, révoqué, poursuivi, arrêté au petit matin... Voilà ce que risque Monsieur Durand, s'il a le malheur de faire, sur son blog, un petit pas de travers. Même si ce pas de travers a été lu, c'est le bout du monde, par peut-être une douzaine de copains. Ou un petit cercle de lecteurs partageant tes centres d'intérêt.

Gageons que quiconque simple particulier, qui tient un blog pendant assez longtemps, surtout si ce blog est un blog d'opinion, militant, politique ou que sais-je, quiconque finira un jour par trébucher sur la ligne jaune du là-il-est-allé-trop-loin, et par encourir les foudres, soit de la justice, soit d'une sanction scolaire ou professionnelle.

Le deuxième des problèmes que je vois poindre est celui de l'automatisation des recherches d'infractions. Car, si les propos tenus au Café du Commerce ont une portée acoustiquement limitée, et s'ils s'évaporent plus vite que l'odeur de la bière, les propos tenus sur Internet peuvent facilement être surveillés par le simple usage de moteurs de recherche standard, ou de robots spécialisés. Même tenus dans un lointain passé, Internet a très bonne mémoire, et la Wayback Machine est capable d'exhumer aisément des pages disparues et des propos oubliés depuis longtemps.

Si, à un instant donné, des agences ANPE brûlent^[3], il sera très facile de rechercher si, sur le 'net, quelqu'un n'aurait pas par hasard suggéré la chose dans un espace "public". Si jamais c'est le cas, le pauvre bougre aura fort à faire pour démontrer qu'il plaisantait, à supposer toutefois qu'il n'ait pas été terrassé par une crise cardiaque en voyant le GIGN débarquer chez lui à 6 heures du matin...

Si donc un propos jugé "répréhensible" est tenu, on peut imaginer que, du fait de ces facilités techniques, leur auteur a bien plus de (mal-)chances que dans la vraie vie de voir ce propos lui retomber sur le coin de la figure avec le plus bel effet boomerang.

De nombreuses grosses entreprises, déjà, utilisant des cabinets spécialisés, scannent le 'net pour y rechercher tout emploi de leur nom ou de leur logo, au cas où un propos qu'elles jugeraient diffamatoire ou préjudiciable à leur image serait tenu. On imagine la suite.

Ce qui nous amène au quatrième risque potentiel : celui d'une forme de terrorisme judiciaire, ou la vieille histoire du pot de terre contre le pot de fer : On peut en effet imaginer que certaines entreprises, ou toute "personne morale"^[4] suffisamment puissante, se jugeant offensée en quoi que ce soit par un quelconque propos tenu sur Internet, n'hésitera pas à brandir haut et fort le bras armé de la justice pour écraser l'imprudent moustique. Même si elle est sûre de perdre au bout du compte - et encore, sait-on jamais ? -, une telle personne morale fera probablement de gros dégâts sur la pauvre petite personne physique qu'elle aura prise pour cible.
Le pauvre bougre attaqué, une fois qu'il aura vu l'hébergement de son site coupé par l'invocation des dispositions du petit 3 du grand I jumelé au premier alinéa du grand IV de l'article 6 de la loi n°2004-575 du 21 juin 2004 dite « pour la confiance dans l'économie numérique »^[5], puis une fois qu'il aura eu à douiller ses frais d'avocat, à monter son dossier de défense, à bouffer des anxiolytiques pendant des mois en attendant l'heure de son procès, le pauvre bougre, à la sortie, même s'il gagne et empoche les 3 balles de l'article 700, ben il aura été bien essoré quand même et jurera, mais un peu tard, qu'on ne l'y prendra plus.

Et hélas, je crains fort que pas mal de grosses boîtes n'aient guère de scrupules à pratiquer ce genre d'intimidation (que je qualifie de terrrorisme judiciaire), après tout, quand on dépense des millions d'euros en coûteuses campagnes de pub, on peut bien en dépenser quelques milliers pour aplatir un pôvre type qui aurait eu le toupet de faire de la contre-pub. Que le procès soit gagné ou perdu n'a guère d'importance, le pôv'type est essoré à la fin, et ça fait un exemple pour les autres...

Toutes ces réflexions me donnent à penser que, si le Législateur souhaite maintenir la liberté d'expression des citoyens de l'ère numérique au niveau que l'on est en droit d'attendre dans une démocratie (et j'espère qu'il ne souhaite pas le contraire...), il devrait sérieusement se pencher sur une modification des lois en vigueur pour tout ce qui concerne l'expression publique des particuliers.

Il me semble par exemple que la liberté d'expression d'opinions devrait être garantie par des textes, au-delà de ce qui existe actuellement, et en particulier pour ce qui concerne les délits de diffamation et d'injures envers des personnes morales (qui, généralement, n'en souffrent guère...) ou envers des personnages publics, élus ou membres du gouvernement (qui, bien souvent, sont en bonne position pour recevoir oeufs et tomates, et qui, bien souvent, ne les ont pas volées...).

Car je pense profondément que, quand on est un simple particulier, on devrait pouvoir dire sur Internet ou ailleurs les produits de la société Machin sont merdiques, telle boîte est une nuisance pour l'environnement, ou le ministre Truc est un escroc / facho / salaud sans risquer de se retrouver pour autant traîné devant un tribunal.

Certes, on peut désapprouver de tels propos et les juger excessifs, mais la possibilité de tenir des propos excessifs fait partie intégrante de la liberté d'expression.
Si celle-ci se trouve trop sévèrement bornée par la rigueur de la loi, beaucoup seront lourdement condamnés pour de simples peccadilles, et le risque est grand que les autres, s'en tenant à une prudente auto-censure, évitent à l'avenir de parler des choses qui fâchent...

Post Scriptum : Et tiens, puisque c'est le sujet de ce billet, je tombe à l'instant sur deux nouveaux billets qui vont dans le sens de mes inquiétudes :

• Chez Veuve Tarquine : Qu'elle sonne clair la grande valse de la liberté d'expression
• Chez Eolas : Un magistrat sanctionné pour avoir été cité sur mon blog

Suites des développements et suites de cette affaire...:

Je réponds par un (très long) courrier électronique à l'Aquarium de Lyon.

En voici le contenu in extenso:

---

From: Swâmi Petaramesh
Organization: Secte des Adorateurs de Cela

Subject: Re: Réponse de Swâmi Petaramesh: Données biométriques à l'Aquarium du Grand Lyon

Date: Tue, 1 Jul 2003 11:20:46 +0200

User-Agent: KMail/1.4.3
References: <3F006F69.8907E79@aquariumlyon.fr>
In-Reply-To: <3F006F69.8907E79@aquariumlyon.fr>

To: contact AT aquariumlyon.fr

Cc: stavernier AT cnil.fr,
rngo AT cnil.fr,
ffourets AT cnil.fr,
gerard.collomb AT mairie-lyon.fr,
bigbrotherawardsfrance AT samizdat.net,
dmz AT lafil.org,
sourieznews AT ml.free.fr,
conso69 AT ufcquechoisir-rhone.org,
redaction AT leprogres.fr,
communiquesdepresse AT exchange.france3.fr,
societe AT liberation.fr,
hitech AT lemonde.fr,
m.auzanneau AT transfert.net

Message-Id: <200307011120.46163@...............>

A L'ATTENTION DE MM.:
- Maurice Chichportiche, Président de l'Aquarium du Grand Lyon;
- Jean Marie Pédron, Directeur de l'Aquarium du Grand Lyon.
=================================================

COPIES: Voir en-tête de ce message.

Messieurs,

En (long) préambule, je me permets de vous faire observer que vous m'avez adressé votre réponse sous forme d'un document Microsoft Word.

Il ne s'agit pas d'un format standard ni ouvert, mais d'un format propriétaire nécessitant un logiciel commercial particulier pour sa lecture.

Je n'utilise personnellement aucun logiciel Microsoft, et ma politique est de ne jamais ouvrir les documents qui me sont adressés dans des formats propriétaires correspondant à des logiciels que je n'utilise pas.

Compte tenu du caractère particulier de cette correspondance, et par bonne volonté, j'ai fait une exception à cette règle, et j'ai pris connaissance du contenu de votre message.

Toutefois, si vous devez me répondre à nouveau, je vous prie de bien vouloir le faire dans un format compatible avec les standards ouverts, en incluant votre réponse soit directement dans le texte de votre courrier électronique, soit, si vous préférez utiliser un fichier attaché, en vous assurant d'utiliser un fichier dans un format ouvert (texte brut, HTML, RTF, etc.) ou dans un format aisément lisible à l'aide de logiciels libres multi-plate-formes, comme le format PDF par exemple.

Si vous deviez m'adresser de nouveaux documents au format Microsoft Word, merci de prendre note par avance que je ne les ouvrirais pas.

L'échange par e-mail de documents au format Microsoft Word est d'ailleurs considéré comme l'une des principales sources de risque pour les systèmes informatiques et la confidentialité des données d'entreprises, comme cela a été souligné lors du dernier Symposium sur la Securité des Systèmes d'Informations par M. Philippe Lagadec, Ingénieur au Centre d'électronique de l'armement. (Voir à ce sujet l'article suivant: http://www.transfert.net/a8977 )

A titre d'exemple, je peux vous dire que le document que vous m'avez envoyé en réponse à mon message, a été rédigé par la reprise d'un document Word plus ancien en votre possession et qui contenait le texte suivant:
<<"Le système fonctionne sur une mémorisation de X points appelés minuties relevés sur un des doigts d'un inconnu, ces points...">> etc.
Gageons que ce document initial était la description technique du fonctionnement de votre système de "Carte à Pouce"...

Gageons également que vous n'avez pas délibérément choisi de me transmettre cette information, mais que le logiciel que vous utilisez l'a fait à votre insu.

Ceci me permet de mettre en perspective, pour ma gouverne personnelle, les affirmations que vous pouvez faire dans votre réponse concernant la sécurité de votre système informatique.

Le Lundi 30 Juin 2003 19:12, vous avez écrit :

Réponse à votre courrier électronique du 21 juin 2003.
Sujet : La Carte à Pouce à l'Aquarium du Grand Lyon.

Monsieur,

En préambule, je vous remercie de bien vouloir faire suivre cette réponse aux adresses qui correspondent à des listes de diffusion privées qui n'acceptent de messages que de leurs abonnés auxquelles vous dites avoir transmis votre mail nous concernant.

Je leur transmettrai votre réponse, que j'ai convertie au format "texte brut" sans y changer un seul mot, mais je me refuse absolument à envoyer à qui que ce soit un fichier Microsoft Word, aussi ne puis-je transmettre le fichier original que vous m'avez adressé.

D'autre part, vous dites savoir que votre message a été retransmis par des tiers sur d'autres listes de diffusion, ou forums de discussion, auxquels vous affirmez ne pas participer et ne pas connaître les adresses.

C'est en effet l'information qui m'est revenue.

Pour ces cas particuliers, je compte sur votre bonne volonté pour tout faire afin que suive cette réponse.

Je suis navré, mais il ne m'incombe pas de faire suivre votre réponse où que ce soit, et si j'accepte de le faire vis-à-vis des personnes ou listes auxquelles j'ai adressé moi-même copie du mail que je vous avais envoyé, ce n'est que par souci de correction.

Pour autant, n'importe qui a pu reproduire ou retransmettre mon message n'importe où, et les informations sur Internet se transmettent à la vitesse de la lumière.
Je ne suis aucunement responsable des copies de mon message publiées par des tiers en des endroits que je ne connais ni ne fréquente, et je n'ai aucune raison de dépenser mes efforts pour transmettre votre réponse en de tels endroits.
Je ne suis pas, après tout, votre attaché de presse ;-)

Enfin comme vous me le proposez, je vous remercie de publier cette réponse sur votre site Web.

Là également, je publierai la conversion de votre message au format texte brut, car aucun fichier au format Microsoft Word ne sera publié sur mon site web.

Monsieur,

Tout d'abord la carte à pouce est une invention faite sur mesure pour les Aquariums. Elle ne correspond pas aux besoins des entreprises ou organismes publics ou privés qui souhaitent généralement savoir tout ou presque sur leurs clients ou usagers pour leur faire parvenir par tous moyens des informations ou des offres promotionnelles.

Dans les établissements à vocation culturelle et pédagogique que sont les Aquariums Français ouverts au public, l'immense majorité des visiteurs arrive par centaines voire par milliers, les mêmes jours aux mêmes heures, (jusqu'a 850 personnes par heure et plus de 7500 par jour durant les week- end pluvieux). En conséquence ils se heurtent souvent à de longues files d'attente. Vouloir saisir leurs noms et coordonnées créerait des conditions d'inconfort inacceptables.

Pourtant beaucoup de nos visiteurs savent que la nature améliore le spectacle dans nos bacs tout au long des saisons et que les plantes, coraux et animaux y grandissent et y changent de couleur. En conséquence ils aimeraient revenir plusieurs fois dans l'année pour profiter du spectacle de cette évolution mais ils ne veulent pas payer le même prix pour une re- visite.
Pour répondre à cette demande il semblait exister une solution : « La carte de fidélité ».
Mais il nous faut impérativement nous assurer que la remise accordée concerne une re-visite ; sans cela nous allons économiquement mettre en danger l'existence de notre musée.
Il faut donc que cette carte de fidélité soit personnelle, infalsifiable et incessible tout en respectant le cadre de la loi.

Or la solution de la carte de fidélité avec photo nom prénom etc. est lourde à mettre en place, difficile à gérer et indiscrète. Pour ces raisons et celle du facteur temps exposée ci avant, elle ne répond pas aux désirs du public des Aquariums.

Nous réfléchissions depuis des années sur le sujet jusqu'en 2002 où la carte à pouce a été inventée.

Il s'agit d'une réelle innovation qui permet à un inconnu de se faire reconnaître sans pour autant se laisser identifier.

La Carte est en libre accès, disponible uniquement à l'intérieur du circuit de visite.
Son principe de fonctionnement est très simple :
Le visiteur, s'il le désire, pose un de ses doigts, (le pouce n'est pas une obligation), sur un capteur et récupère aussitôt une carte en papier, avec un code barre et numéro dans le but de bénéficier à sa prochaine visite de 50 % de remise, puis de ne plus payer que 3 € pour un adulte ou 2 € si c'est un enfant pour toutes ses visites suivantes et ce pendant une année entière.
Comme vous l'avez vous-même constaté nous ne demandons strictement rien au visiteur : ni son nom, ni son sexe, ni son âge, ni ses coordonnées.

Nous voulons seulement laisser la possibilité à ce visiteur anonyme de nous prouver, s'il le désire, qu'il est déjà venu à l'Aquarium du Grand Lyon à telle date.

Il est le seul à pouvoir le faire car il faut lors d'une revisite que la carte ou son numéro soit présenté simultanément avec le doigt qui a été posé sur le capteur le jour de l'émission de cette carte.
Nous demandons au porteur de carte de noter son numéro de code barre car sil perd sa carte notre logiciel ne nous permet pas de retrouver trace de son passage.

Vos explications, pour lyriques qu'elles puissent parfois se montrer, ne me convainquent nullement, pour une raison très simple:
Les aquariums, parcs zoologiques, musées... ainsi que les commerces et cartes de réduction et de fidélité ne sont pas, c'est le moins qu'on puisse dire, une invention récente.
Ainsi, la problématique que vous évoquez n'est-elle pas nouvelle. Pour autant, la solution technique éminemment intrusive que vous lui apportez est, elle, parfaitement nouvelle, et son bien-fondé est entièrement discutable.

L'essentiel de votre argumentaire peut se résumer en quelques mots: Vous utilisez un système automatique reposant sur le contrôle d'empreintes digitales pour éviter les fraudes à la carte de réduction, et pour obtenir un contrôle rapide.

Je me permets de vous faire remarquer que je n'ai, personnellement, jamais entendu parler d'un aquarium, musée ou commerce, qui aurait été réduit à la faillite du fait de fraudes à la carte de réduction, aussi le bien-fondé du recours à une méthode aussi intrusive me paraît hautement discutable, l'intrusivité de la technique mise en oeuvre me semblant hors de proportion avec les _réels_ besoins de sécurité, quand bien même ceux-ci seraient fantasmatiquement exagérés.
Il ne s'agit tout de même pas ici de contrôler l'accès à la salle des coffres de la Banque de France, ni à un hangar d'armes nucléaires...

Pour ce qui est de la rapidité du contrôle, le fait de devoir "saisir noms et coordonnées" est votre propre suggestion, et je n'ai jamais suggéré une chose pareille. Pourquoi d'ailleurs vouloir "saisir" quoi que ce soit ?
L'informatique n'est pas la panacée, et il est de nombreux cas où y recourir est inutile.

Vous pourriez très bien, par exemple, et à moindre frais, utiliser une carte de fidélité avec photographie (il vous suffirait de placer une cabine photo-maton au point de délivrance de votre carte) et qui soit parfaitement anonyme ou ne comporte que nom et prénom.
La photographie n'aurait aucun besoin d'être informatisée, et figurerait uniquement sur la carte en possession du titulaire.
Il vous suffirait d'apposer vous-même la photographie sur la carte en y adjoignant au besoin un dispositif matériel anti-falsification (tampon, empreinte en relief, pellicule auto-collante dotée d'un motif ou d'un filigrane, etc.) pour obtenir une carte suffisamment sûre pour répondre à vos besoins.
L'établissement d'une telle carte prendrait moins d'une minute à votre hôtesse, dès lors qu'on lui fournirait la photo.
A la caisse d'entrée, un simple coup d'oeil de l'hôtesse à la photo et au titulaire permettrait un contrôle largement suffisant pour cette application, et aussi rapide qu'un contrôle informatisé d'empreinte digitale. Et infiniment moins intrusif.
Autre avantage: un tel système ne serait pas susceptible de tomber en panne ;-)

Vous noterez que ces solutions sont vieilles comme Hérode, et n'ont rien de high-tech. Elles ont pendant des décennies fait la preuve de leur efficacité suffisante, pourquoi en irait-il différemment aujourd'hui, et pourquoi serait-il aujourd'hui soudainement nécessaire de mettre en place des systèmes informatisés considérablement plus intrusifs ?

Bien sûr, avec une telle carte, vous auriez peut-être quelques fraudes. Une ou deux fois par an, un fraudeur déterminé vous présenterait peut-être une carte "bricolée". Mais pensez-vous un seul instant que le taux de telles fraudes serait de nature à mettre votre activité ou vos résultats en péril en quoi que ce soit ?

Soyons sérieux. Vous utilisez aujourd'hui un tel système (et je ne pense pas que la majorité des autres aquariums, parcs zoologiques et musées français le fassent) parce que vous avez fait le _choix_ de ce système plutôt que d'un autre. Vous ne pouvez pas raisonnablement soutenir que ce choix était le seul possible ni qu'il corresponde à une nécessité.

Venant maintenant à vos questions :

1/ Concernant l'aspect technique :

L'empreinte qui est lue est transformée en une clé cryptée (3 DES 128 bits) Cette "clé biométrique" après décryptage ne peut être interprétée que par l'algorithme qui l'a créé.

C'est généralement ainsi que commence une description semi-technique qui peut donner une impression erronée de sécurité.
Le chiffrement 3DES est un algorithme symétrique. Sa sécurité dépend directement de la sécurité de conservation de la clé de chiffrement correspondante.
Pour le fonctionnement de votre système, il est probable que cette clé de chiffrement réside sur celui-ci, comme y réside bien évidemment l'agortithme qui en permet le fonctionnement.
L'examen de votre système ou la possession d'une copie de sauvegarde faite sur celui-ci permet donc très probablement de disposer de l'ensemble des éléments nécessaires au déchiffrage.

Il est donc tout à fait illusoire de penser qu'un simple croisement avec les fichiers de police permettrait de relire une empreinte stockée dans le système de l'Aquarium du Grand Lyon.
Il faudrait pour qu'un tel croisement puisse avoir lieu de façon significative et avec un résultat que :
- les empreintes des fichiers de police aient été stockées avec le même algorithme que le nôtre, ce qui ne se fait pas aujourd'hui.

Non, il suffirait que les empreintes d'un fichier de police soient ré-encodées avec votre algorithme.
On ne sait jamais ce que l'avenir nous réserve, et il importe de se montrer prudent.
Un organisme public ou gouvernemental qui aurait autorité pour saisir une copie de votre fichier d'empreintes aurait bien évidemment autorité pour saisir simultanément une copie de votre logiciel et de vos clés de chiffrement.
Il lui serait donc parfaitement possible d'utiliser votre propre algorithme pour ré-encoder les empreintes figurant dans ses propres fichiers, et de faire ensuite toutes les comparaisons et croisements qu'il souhaiterait.

- que les 2 bases soient relues ensuite avec le même algorithme. Et dans ce cas la police saurait qu'un individu dont elle connaît déjà l'identité est venu au moins une fois visiter notre établissement ce qui est strictement sans intérêt pour elle.

cf. supra.

Quant aux renseignements que l'organisme en question pourrait tirer de ce croisement de fichiers, tout dépend de ce que votre système stocke, et qui n'est pas clairement explicité ici.
Si, par exemple, votre système enregistre le nombre de visites effectué par chaque "carte", et éventuellement leurs dates et heures, alors un tel croisement fournirait toutes ces informations, qui ne sont pas nécessairement "sans intérêt" comme vous l'affirmez.

Nous ne sommes pas dans un tel cas de figure ;

Notez que je ne dispose en l'occurence que de votre parole à ce propos. Je suis tout disposé à vous croire, mais interrogez-vous un instant sur la question suivante:
L'Aquarium du Grand Lyon traite l'ensemble de ses clients et visiteurs comme des fraudeurs potentiels, en exigeant de leur part une prise d'empreinte digitale pour leur fournir une carte de fidélité, afin d'éviter qu'ils ne puissent utiliser cette carte à des fins frauduleuses.
Il s'agit, vous me l'accorderez, d'une marque évidente de défiance et de soupçon de l'Aquarium du Grand Lyon envers sa clientèle.

Vous souhaiteriez, en retour, alors que vous ne fournissez aucune information claire et visible sur la manière dont ces données informatiques sont conservées, traitées et utilisées, que votre clientèle vous fasse confiance et vous croie sur parole.

Si vous traitez vos clients en supects et leur montrez votre défiance au premier chef, pour quelle raison, selon vous, vos clients devraient-ils vous faire confiance ?

Je ne mets pas en doute votre honorabilité, je vous demande simplement de réfléchir à cette question

2/ Concernant la CNIL :
La déclaration à faire à la CNIL (sur leur bordereau standard) concerne des fichiers nominatifs, ceci n'est pas notre cas, car on ne peut attacher une empreinte à un individu, n'ayant pas en cas de détournement de base de données (souci de la CNIL) la possibilité de trouver l'individu.

cf. supra. Il me semble que vous n'avez, jusqu'ici, pas fourni la preuve de ce que vous avancez.

Par ailleurs, s'agissant de données aussi sensibles que des données biométriques (et heureusement encore très rarement utilisées), je ne suis pas certain que ce cas de figure soit prévu dans le "bordereau standard" auquel vous faites référence.
Il me semble que dans ce cas, plutôt que de vous contenter du "bordereau standard", vous auriez été avisé de demander à la CNIL un avis préalable...

Il est donc difficile dans sa forme actuelle de faire cette déclaration. Je joins en fichier attaché, la première page du dossier de la CNIL / Le titre encadré y est éloquent :

« DECLARATION D'UN TRAITEMENT AUTOMATISE D'INFORMATIONS NOMINATIVES ». . Ci-après la définition du 'Larousse' : « Nominatif, ive adj. (du latin. nominare, appeler). Qui contient des noms : état nominatif des employés. //se dit d'un titre qui porte le nom du propriétaire (par opposition à titre au porteur) ».

Merci de cette définition. Toutefois, l'opinion exprimée par M. Thierry Jarlet, directeur de la communication de la CNIL, interrogé à ce propos par le journaliste de Transfert (voir http://www.transfert.net/a9009), est qu'il s'agit de données "indirectement nominatives", et que votre fichier "tombe donc sous le coup de la loi, et doit donc être rapidement mis en conformité".

Il semble donc que l'appréciation de la CNIL et la vôtre diffèrent notablement.

Je me permets quant à moi de vous faire les remarques suivantes:

Un nom n'est qu'une "étiquette" arbitraire, alors qu'une mesure biométrique est une donnée directement issue de votre organisme (au sens biologique du terme), et qui vous est irrémédiablement attachée.
Une donnée biométrique vous identifie donc de manière unique et permanente, et est encore plus personnelle qu'un nom. Elle est intrinsèque à votre propre corps.

En France, chaque individu possède un n° de sécurité sociale, qui n'est pas un nom, mais qui identifie un individu de manière unique. Pour éviter les abus et les croisements de fichiers, la loi a jugé utile de réglementer très strictement l'utilisation de ce n° de sécurité sociale dans les fichiers informatiques, comme vous le savez certainement.

Pourquoi alors estimeriez-vous que l'usage de données biométriques, encore plus personnelles qu'un nom ou un numéro de sécurité sociale, puisse être plus anodin, plus tolérable, ou moins réglementé ?

De surcroît, la CNIL estime qu'il existe une différence entre les mesures biométriques "qui ne laissent pas de traces" dans la vie courante (image de l'iris de l'oeil par exemple), et celles qui "laissent des traces" partout où passe un individu, ce qui est le cas de l'empreinte digitale. Et la CNIL estime que l'usage de ces dernières doit être encore plus strictement encadré que celui des premières.
Or, vous utilisez justement dans votre système la mesure la plus typique de celles qui "laissent des traces"...

(Je vous renvoie pour plus d'informations au rapport n° 938 au sujet de la biométrie, présenté devant l'Assemblée Nationale le 16 juin 2003, voir http://www.assemblee-nationale.fr/12/rap-oecst/i0938.asp )

Le fait que notre base ne soit pas nominative et soit attachée à une carte portée par l'individu revient aux solutions préconisées par la CNIL dans lesquelles l'empreinte est propriété de son porteur.

A condition seulement que les données calculées à partir de la mesure biométrique ne soient en aucun cas stockées sur un fichier informatisé, mais uniquement sur la carte en possession du porteur.

Affirmez-vous que c'est effectivement le cas pour votre système ?

Si un individu se présente avec sa carte, il se fait reconnaître, mais son identification reste impossible ! (Sauf à ce qu'il décline lui-même son identité).

Tant que votre base de données n'est pas croisée avec d'autres...

En ce qui concerne votre demande personnelle de tarif dégressif, l'adhésion à la Carte à Pouce repose sur une démarche purement volontaire du client : elle est une faculté offerte à nos visiteurs qui ont l'entière liberté de ne pas y souscrire.
Comment faire pour répondre favorablement à votre demande ? Vous êtes, en apparence, dans la même situation qu'un visiteur qui aurait perdu sa carte à pouce : nous sommes incapable de vous reconnaître.
Désormais vous avez quitté le circuit de visite.
Comment allez vous faire pour prouver que vous avez visité l'Aquarium le samedi 21 juin?
Même si vous avez des tickets,

Je les ai, en effet, conservés.

cela ne prouve pas votre visite personnelle.
Si vous avez payé par chèque ou carte de crédit, vous prouverez que vous êtes le payeur des droits d'entrée, mais notre offre ne s'adresse pas à eux mais aux visiteurs ce qui est fondamentalement différent.
Il faudrait des photos, des témoignages, et surtout notre bonne volonté pour vous croire.

Vous avez beau vouloir vous identifier, chercher à vous faire reconnaître nominativement, à l'Aquarium du Grand Lyon, avec ou sans notre logiciel, vous êtes un visiteur inconnu nominativement.

Vous aurez certainement compris que ma démarche ne visait pas ici l'obtention d'un avantage personnel, mais qu'il s'agit d'une démarche citoyenne visant à permettre à toute personne ne souhaitant pas se soumettre à une prise d'empreintes digitales, d'obtenir de plein droit une carte de réduction si tel est son désir.

Toutefois, vos derniers paragraphes montrent avec tellement de clarté l'étendue de votre <<bonne volonté>> et les soupçons de fraude que vous entretenez à l'égard de vos clients et visiteurs, qu'ils se passent de commentaires de ma part.
Les lecteurs de copies de ce message se feront sans difficulté leur opinion à ce propos.

Mais encore une fois, si vous traitez vos clients et visiteurs avec une telle défiance, pour quelle raison imaginez-vous que ceux-ci devraient, en retour, vous faire confiance ?

Je vous renouvelle simplement ma demande: je souhaite obtenir des cartes de réduction, pour moi-même et les membres de ma famille qui ont visité l'Aquarium de Lyon le samedi 21 juin 2003, et je refuse que ni moi, ni aucun membre de ma famille, ne subissions de mesure biométrique pour obtenir ces cartes.

J'ajouterais que ce système remporte à l'Aquarium un réel succès et que sa popularité est prouvée par le retour de nos visiteurs enthousiasmés par cette innovation.

J'imagine sans peine l'enthousiasme de vos visiteurs ;-)

Le grand public est hélas très peu informé de ces questions, et des risques toujours plus pesants que ces "innovations" font peser sur les libertés fondamentales.
Le grand public est par ailleurs friand de gadgets futuristes, et je ne doute pas que beaucoup de gens trouvent ce gadget amusant.

Le fait toutefois que votre système ne rencontre pas une opposition massive n'en justifie en rien l'usage, pas plus qu'il ne le rend légal ou qu'il ne remplace l'avis de la CNIL.

Mais il s'agit avant tout d'une question d'éthique et de citoyenneté: Dans quel monde voulons-nous vivre demain ?

En mettant en place un tel système dans le lieu où on l'attendrait le moins, un lieu à vocation culturelle, éducative et pédagogique, vous participez à l'engrenage qui risque d'entraîner toute notre société dans cette direction, vous habituez le public à ce genre de prises d'empreintes "innocentes", et vous justifiez par avance l'utilisation de systèmes analogues dans d'autres lieux et d'autres entreprises.

Est-ce là l'exercice pédagogique et d'éducation citoyenne que vous proposez à vos jeunes visiteurs, que de laisser leur empreinte digitale à la sortie, et de les habituer ainsi à la prise "anodine" de mesures biométriques sans que l'usage qui sera fait de telles mesures ne soit ni expliqué ni justifié ? Un allergologue appelerait plutôt cela un "traitement de désensibilisation", ne le croyez-vous pas ?

Si vous avez eu cette "excellente idée", gageons que vous ne serez pas les seuls, et que d'autres, demain, auront la même "bonne idée" que vous.

Le temps est proche, vous en êtes le meilleur exemple, où de tels systèmes se généraliseront si nul ne s'y oppose avec la plus grande fermeté.

Demain, vous laisserez votre empreinte digitale, ou le scan de votre iris, dans les grandes surfaces, les hôtels, les musées, et jusque chez l'épicier du coin de la rue.

En êtes-vous conscient ? Par votre action, vous poussez vous-même à la roue du carrosse.

Avez-vous vraiment envie que vous-même et vos propres enfants vivent dans un monde où ils ne pourront plus faire 200 mètres, entrer dans aucun lieu public, effectuer aucune transaction, sans être mesurés, numérisés, fichés, tracés ?

Qu'en sera-t-il alors de l'une des libertés publiques essentielles, celle d'aller et venir de manière libre et anonyme, sans être partout suivi à la trace ?

Cette question se pose à tous et à chacun, et par votre propre décision, vous lui apportez votre réponse, vous faites votre choix.

Je vous demande à nouveau de réfléchir à tout ceci de manière citoyenne et responsable, de mesurer les conséquences à moyen et long terme des choix que vous faites aujourd'hui, sur la société dans laquelle nos enfants seront appelés à vivre.

Et je vous demande à nouveau respectueusement de renoncer à l'usage de ce système, de le désactiver, et de détruire tous les fichiers d'empreintes que vous avez constitués par son utilisation.

Je vous prie d'agréer, Messieurs, l'expression de mes salutations distinguées.

Swâmi Petaramesh

Ceux qui sont prêts à échanger leurs libertés essentielles contre un peu de sécurité temporaire ne méritent ni liberté ni sécurité -- et n'obtiendront ni l'une, ni l'autre.

       Benjamin Franklin

La collecte irrégulière de données biométriques à l'Aquarium de Lyon, confirmée par la C.N.I.L., fait l'objet d'un article dans transfert.net, à la suite d'un e-mail que j'ai adressé au directeur de cet aquarium et par lequel je crie Pouce ! On ne joue plus...

Voici in extenso le contenu de cet e-mail:

---

From: Swâmi Petaramesh
Organization: Secte des Adorateurs de Cela

Subject: Collecte abusive de données biométriques à l'Aquarium de Lyon

Date: Sun, 22 Jun 2003 15:49:01 +0200

User-Agent: KMail/1.4.3

To: contact @AT@ aquariumlyon.fr

A L'ATTENTION DE M. LE DIRECTEUR DE L'AQUARIUM DE LYON
=================================================

COPIES:
- M. Gérard Collomb, Maire de Lyon
- Commission Nationale de l'Informatique et des Libertés (CNIL)
- Liste de diffusion des Big Brothers Awards France
- Liste de diffusion de la Fédération Informatique et Libertés (FIL)
- Collectif "Souriez, vous êtes filmé !" (SVEF)
- Section du Rhône de l'Union Fédérale des Consommateurs (UFC69)
- Rédaction de "Le Progrès de Lyon"
- Rédaction de FR3 Rhône-Alpes
- Rédaction de Libération
- Rédaction de "Le Monde"

Monsieur le Directeur,

J'ai visité samedi 21 juin l'Aquarium de Lyon ( http://www.aquariumlyon.fr ), accompagné de ma famille.

Dès le début de la visite, des pannonceaux régulièrement répartis vantent les mérites d'une carte de fidélité gratuite accordée à vos visiteurs, et qui leur permet de bénéficier de 50% de réduction à partir de la deuxième visite, et de réductions plus importantes encore pour les visites ultérieures.

Cette carte est étrangement dénommée "Carte à Pouce", et je n'ai compris le bien-fondé de cette dénomination qu'en fin de visite, lorsque j'en ai fait la demande.

En effet, pour me délivrer cette simple carte de fidélité, l'hôtesse m'a demandé de bien vouloir APPOSER MON POUCE SUR UN LECTEUR INFORMATISÉ D'EMPREINTE DIGITALE, lecteur visiblement connecté à son ordinateur.

J'ai bien évidemment refusé une telle prise d'empreinte, pour moi comme pour ma famille, et l'hôtesse m'a informé que cette carte ne pouvait être obtenue sans cette "innocente formalité", en m'assurant toutefois pour tenter (sans succès) de me convaincre, que cette carte était "anonyme".

Je ne considère toutefois pas une prise d'empreinte digitale comme une "innocente formalité", encore moins "anonyme", mais bien au contraire comme l'enregistrement d'une donnée biométrique éminemment personnelle et sensible.

Je souhaiterais savoir par quel motif vous justifiez la collecte d'une telle donnée biométrique pour la délivrance d'une simple carte de réduction.

J'exige que vous m'indiquiez par retour si ce traitement informatique de données personnelles à été déclaré à la Commision Nationale Informatique et Libertés (C.N.I.L.) conformément à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et sous quel numéro de déclaration.

J'exige également que vous me fassiez connaître l'usage exact qui est fait des données biométriques ainsi collectées, leur durée de conservation, et la nature des précautions qui sont prises pour protéger la confidentialité de ces données.

Si ce traitement informatique de données personnelles n'a pas été déclaré à la C.N.I.L., sachez qu'il s'agit d'un délit à propos duquel je me réserve le droit de saisir la C.N.I.L. ainsi que M. Le Procureur de la République.

Par les temps qui courent, où les moyens technologiques tendent à réduire comme peau de chagrin la sphère privée des individus en se montrant chaque jour plus intrusifs, et où les moyens de traçage et de surveillance deviennent de plus en plus ubiquitaires, la banalisation de l'usage de tels outils constitue un risque très important pour les libertés publiques, et il importe de se montrer particulièrement attentif quant à l'usage qui est fait de tels moyens, et à en limiter l'usage aux cas où il peut être légitimement considéré comme absolument nécessaire, et dans un cadre légal strict.

Pour cette raison, je vous demande de bien vouloir mettre fin immédiatement à l'usage de ce système dans votre aquarium, et à détruire sans délai tous les fichiers informatiques que vous avez pu constituer en utilisant ce système.

Par ailleurs, le fait que j'aie très légitimement refusé cette prise d'empreinte pour moi et pour ma famille ne saurait constituer à mes yeux une raison valable de refuser de nous fournir la carte de réduction à laquelle ont droit tous vos visiteurs.

Je vous demande donc de bien vouloir me faire parvenir par retour une carte ouvrant droit à une réduction équivalente, sans qu'il soit nécessaire que ni moi, ni aucun membre de ma famille, ne fournissions la moindre empreinte digitale.

Dans cette attente,

Recevez, Monsieur le Directeur, mes salutations distinguées.

Swâmi Petaramesh

Article 12: Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

       Déclaration Universelle des Droits de l'Homme