GuiGui's Show

Causerie de 2008 sur le voyage dans le temps et donc sur le temps.

• Quelle définition du voyage dans le temps ? Changer d'époque sans changer d'âge ? Discuter avec des gens du passé ou du futur ? Se téléporter à ces instants ? Faire advenir dans le présent des événements passés (tels des souvenirs ou le LHC) ? Changer le cours des événements (regret d'une décision ou action) ? D'autres sens : prédiction, recréer des conditions physiques du passé (LHC), perception du temps (impatience, etc.), etc. ;
  
  
• Le futur existe-t-il déjà ? Attend-il qu'on l'atteigne ou est-ce le passage du temps qui va nous faire passer progressivement d'aujourd'hui à demain (le temps se crée en temps réel) ? S'il n'existe pas, y voyager revient à tomber dans le néant (et s'il existe, nos actions sont vaines) ;
  
  
• Que signifie le présent quand on peut être (se déplacer) dans tous les présents qui ont existé et/ou qui existeront ? D'une manière générale, dès qu'on parle du temps, on a un problème de vocabulaire. Quand on raconte un voyage dans le temps, il y a toujours deux temps : celui du voyageur et un autre, puisqu'il y a un même gus à deux temporalités distinctes, que le présent qu'il a quitté continue d'avancer vers son futur alors que le voyageur avance vers le futur de l'époque dans laquelle il voyage, il y a donc deux états voire deux univers ;
  
  
• Si l'on suppose la faisabilité d'une machine à remonter le temps dans le futur, pourquoi n'avons-nous pas déjà capté et ne captons-nous pas le signe de son existence ou de son action ? N'est-ce pas un signe de l'impossibilité du voyage dans le temps ? ;
  
  
• Les processus mécaniques sont réversibles (les équations s'écrivent pareil, peu importe le sens du temps). La thermodynamique est irréversible. Les lois physiques sont invariables dans le temps, celles qui régissaient le Big Bang s'appliquent à nous (la conservation de l'énergie en atteste) ;
  
  
• Dans le langage courant, on confond le temps avec le changement / mouvement / devenir, alors que la physique distingue le cours du temps de la flèche du temps. Le cours est irréversible, il ne s'écoulera pas deux fois, un même instant ne se répétera pas (ça me fait penser à un temps monotone, sans seconde intercalaire, comme TAI, alors que la gestion habituelle desdites secondes est de les "rejouer"). Je n'aurai pas un âge que j'ai déjà eu. Flèche du temps : états physiques qui ne se répéteront pas (je n'aurai pas exactement un aspect que j'ai déjà eu), phénomènes réversibles ou non. La terre qui tourne = elle se prend un an dans la vue (cours du temps), mais elle n'évolue pas, elle demeure dans le même état physique sauf à zoomer (flèche du temps) ;
  
  
• Si l'on regarde le film d'une explosion d'une ampoule diffusé à l'envers, on observe un phénomène non physique (des bris de verre qui se rapprochent et s'agglomèrent pour former une ampoule). L'irréversibilité des phénomènes physiques est un problème (puisque les équations fondamentales sont réversibles, cf. ci-dessus). On résout ce problème par l'entropie, le 2^e principe de la thermodynamique, etc. Deux explications possibles : soit les équations sont fausses, soit elles sont correctes et l'irréversibilité vient du grand nombre de particules élémentaires en jeu dans un phénomène ;
  
  
• Le voyage dans le temps consiste à retrouver un instant du passé, donc à inverser le cours du temps ;
  
  
• L'espace-temps est-il une substance distincte des événements (mécanique newtonienne, relativité restreinte, physique quantique) ou une description / interprétation humaine des relations de continuité / de succession des objets physiques et de leurs états (relativité générale) ? Pas tranché. Dans le premier cas, l'espace-temps est le cocon plat et rigide dans lequel viennent se loger les objets physiques et les événements, et ce cocon n'est pas affecté par ces derniers. Dans le deuxième cas, l'espace-temps est souple, dynamique et il est affecté par l'énergie, les objets physiques, et les déplacements. Pour unifier quantique et relativité générale, faut-il un espace-temps substantiel distinct (théorie des cordes) ou faut-il le faire émerger d'un infra-monde sans le pré-supposer (théorie de la gravitation quantique à boucle) ? ;
  
  
• La relativité générale ne dit pas qu'il existe un temps universel mais élastique dont la vitesse d'écoulement dépendrait de l'observateur (notamment de sa vitesse). Si on l'explique ainsi, le paradoxe des jumeaux est alors imbitable : il me faut deux heures pour lire tel livre, que je sois chez moi ou dans ma fusée. La relativité générale dit qu'il y a autant de temps propres que d'observateurs. Ça ne veut pas dire que l'un a vécu plus ou moins longtemps ou que le temps s'écoule différemment. Dans une spatialisation, la durée d'un trajet dépend de la longueur du parcours effectué (Paris->Marseille direct ou Paris->Marseille via Strasbourg ?). Ceux qui ont pris le détour ont-ils vécu plus longtemps ? Non. Ils sont en retard. Pour l'espace-temps, il faut raisonner… en espace et en temps : plus on voyage dans l'espace-temps, plus la durée du voyage est faible, rester immobile nous condamne à la durée plein-pot. Même dans l'expérience de pensée des jumeaux, on ne voyage pas dans son temps propre, d'où on se compare à quelqu'un resté immobile ;
  
  
• Considérer que le temps est un fleuve est une impasse : la description de l'écoulement du fleuve suppose un référentiel (son lit, les rives, etc.). Quel serait le référentiel du temps ? En revanche, un bateau en aval ne paraîtra pas en amont a posteriori. L'ordre des événements n'est pas déterminé par le sujet. La causalité (relation de cause à effet) n'est pas seulement logique, issue du cerveau humain et de l'ordre dans lequel il fait les choses (comme le pensait Hume), elle existe indépendamment (comme le pensait Kant), et elle est aussi une relation temporelle (elle s'étale dans le temps) ;
  
  
• Le cours linéaire du temps (modèle retenu) garantit le principe de causalité. (D'où la science-fiction s'en sépare au profit des boucles temporelles, d'un temps cyclique dans lequel une conséquence peut précéder une cause) ;
  
  
• La garantie ne vaut que si la vitesse de l'observateur est inférieure à celle de la lumière et s'il y a effectivement une relation de cause à effet entre deux phénoèmes. Deux phénomènes dont la cause est un troisième (un interrupteur allume deux ampoules) peuvent avoir un ordre différent en fonction de la vitesse de l'observateur. Si la deuxième ampoule est actionnée par la première (il y a donc causalité), alors tous les observateurs verront le même ordre, peu importe leur vitesse ;
  
  
• Les physiciens dépouillent le temps des phénomènes (cf. cours du temps versus flèche du temps) pour dire ensuite que le temps est contraint par la causalité, c'est-à-dire par des phénomènes. Dans quelle proportion cette confusion, cette injection de phénomène dans le cours du temps brise-t-elle, ou non, la relation entre le temps et la causalité ? ;
  
  
• Le rayonnement cosmique = particules élémentaires qui vont très vite (proche de la lumière). Pour les décrire, il faut donc concilier physique quantité (infiniment petit) et relativité générale (très rapide), ce qu'on ne sait pas faire (cf. unification ci-dessus). Dirac décrit l'apparition / désintégration d'une particule en concluant qu'elle peut disparaître avant d'apparaître si l'observateur va vite. Il ajoute la causalité à ses équations. Ça le conduit à concevoir des énergies négatives qui, mathématiquement, donnent l'impression de remonter le cours du temps. Si énergie négative, masse négative. Un coup de poing donné à une telle particule l'attire vers le poing au lieu de l'en éloigner. Il comprend qu'une particule d'énergie négative qui, mathématiquement, donne l'impression de remonter le temps est en fait une antiparticule d'énergie positive qui suit le cours du temps. À cette échelle, si l'on veut concilier quantique et relativité tout en admettant comme vraie la causalité, alors il existe des antiparticules. Dirac décrit le positron… que l'observation parvient à identifier… confirmant ainsi que la causalité n'est pas simplement logique (une vue de l'esprit), et donc qu'on peut rien modifier dans le passé (y compris causer à des gens, donc), donc le voyage dans le temps est impossible (être simple spectateur permettrait déjà de glaner des infos, ceci dit). Si l'on avait pas observé d'antiparticule, on aurait pu penser que la causalité est purement logique, donc que le temps s'écoule dans n'importe quel sens et que les événements peuvent s'inverser selon la vitesse des observateurs ;
  
  
• En l'état des connaissances en physique des particules, un voyage dans le temps consistant à agir sur le passé est impossible.

Questions du public :

• Expérience de non-localité / séparabilité quantique : l'observation d'une particule détermine son état (il est inconnu avant, cf. chat de Schrödinger)… et celui des particules qui ont interagi avec elle dans le passé. Y a-t-il eu interaction à distance entre la particule observée et l'autre ? Si oui, comment est-ce possible puisque la transmission instantanée d'un signal dépasse la vitesse de la lumière et est donc impossible ? Le tout (particule observée et l'autre) forme un système non-séparable dans l'espace, et la mesure mesure le tout (le global, l'ensemble du système) ;
  
  
• Origine du temps (le premier instant) / de l'univers : décrire l'origine (des atomes, par ex.) revient à décrire la finalisation d'un cycle antérieur, d'un truc existant qu'on n'a pas encore identifié ou expliqué. Or, l'origine se définit comme l'apparition de quelque chose à partir de rien. Comment invoquer le déjà-là qui ne serait rien ? Il faudrait trouver la cause première, celle qui serait aussi cause d'elle-même (Dieu ?). D'où l'orateur pense qu'on ne saura jamais l'origine ;
  
  
• On ne mesure pas le temps, mais une durée, à partir d'un mouvement, c'est-à-dire en passant par l'espace (spatialisation).

Visite (entre guillemets), par M. Bidouille, du centre national d'exploitation du système de RTE (CNES).

• Équilibrage prod / conso. Supervision des lignes HT, pas le réseau de distribution. 7 centres régionaux pour affiner.
  
  
• Réserve primaire : somme européenne des marges des unités de production (elles tournent jamais à fond). +/- 3 GW (correspond à deux des plus grosses centrales en Europe) ;
  
  
• Le pays fautif a 15 minutes pour résoudre un problème (sinon ?). Réserve secondaire (aFRR) par pays, pour corriger le tir. Réserve tertiaire, la seule à être déclenchée manuellement : prendre le relai pour rendre dispo la réserve secondaire ;
  
  
• Autres méthodes : mécanismes de capacité (dont l'obligation pour un fournisseur de détenir la capacité pour fournir ses clients), l'interruptibilité (isoler 22 des plus gros industriels consentants pour libérer 1,5 / 1,7 GW), les écogestes (trololo), et le délestage par zones géographiques "tournantes" (conso répartie en catégories, en dessous de 49 Hz, les automates coupent la catégorie 1, catégorie 2 à partir de 48,5 Hz, jusqu'à la catégorie 5 qui n'est jamais coupée, genre hosto).

Blackout : Comment s'éffondre un réseau électrique et comment le reconstruire ? :

• Une défaillance localisée peut entraîner des défaillances en cascade, et donc l'effondrement du réseau.

  • Exemple italien 2003 : une ligne HT transfrontalière touche un arbre alors que l'Italie importait "beaucoup", un automate coupe la ligne, surcharge d'une autre ligne transfrontalière (re-routage) qui se met aussi en sécurité, les autres interconnexions se coupent en cascade (aussi car les automates des pays voisins détectent une désynchronisation de l'Italie), l'interruptibilité et la hausse de la production italienne ne suffisent pas, notamment car des centrales s'isolent du réseau par sécurité. 22 h pour rétablir 100 % de la charge. 7 h pour 50 % de la charge ;
• Causes : surcharge (d'une ligne HT, par ex.) par défaillance d'un autre chemin qui entraîne sa mise en sécurité ou son contact avec un arbre (ou autre) ; un manque de puissance dans une zone géographique fait chuter la tension qui constitue un goulot d'étranglement ; écroulement de la fréquence (en cas de surconsommation, les générateurs ralentissent car ils peinent à fournir, donc la fréquence diminue) genre désynchronisation de la fréquence de zones d'une même grille (y'en a partout dans le monde) ;
  
  
• Supervision, remèdes automatiques, secours (lignes HT / postes électriques excédentaires, marges de sécurité sur la charge des centrales et des câbles, etc.), d'où un défense en profondeur (graduation entre un fonctionnement nominal et une panne totale) ;
  
  
• îlotage : unité de production qui s'isole du réseau ;
  
  
• L'amorçage d'une centrale nucléaire nécessite de l'électricité pour ses systèmes auxiliaires. Elle peut venir des réacteurs voisins de la même centrale, du réseau électrique ou d'une ligne de secours dédiée provenant d'un barrage hydroélectrique. Si y'a pas une alim' externe (réseau élec ou ligne dédiée), le réacteur s'arrête. Les groupes électrogènes servent à l'arrêt, pas à l'amorçage ;
  
  
• Appel de courant au démarrage des appareils. D'où le réseau serait redémarré par zones. Soit "depuis" (en tenant compte de) celles encore alimentées (par des pays voisins, par exemple). Soit d'abord le tronc puis les ramifications : les grosses centrales (que l'on démarre avec des barrages, par ex.) se raccordent à l'ossature nationale compartimentée, les consommateurs prioritaires aussi, on connecte les zones de l'ossature nationale puis l'ensemble des consommateurs et producteurs ;
  
  
• Retour à la normale difficile à estimer. En fonction de l'origine de l'incident, la zone impactée peut revenir des jours après les autres zones.

Via Johndescs.

• Récupérer de l'info. Similaire au web, mais rapide, simple (pour les programmeurs, ce qui évite la concentration des moteurs de rendu du web, pour les auteurs de contenus, et pour les lecteurs) et respectueux de la vie privée (pas de cookies, pas d'entêtes genre User-Agent, pas de ressources tierces, etc.) ;
  
  
• Protocole pour récupérer une ressource désignée par une URL avec un schéma spécifique (certains serveurs Gemini permettent du CGI donc du contenu dynamique) + un format minimaliste (même pas de gras / italique) inspiré de Markdown nommé gemtext + TLS obligatoire. Spécifications écrites par un gus ;
  
  
• La présentation des pages est à la charge du client (pas de CSS, par ex.), donc le rendu diffère en fonction ;
  
  
• Pas de javascript, de pop-up, pas d'image dans une page (un lien reste possible), pas de lien "caché" dans le texte, ils sont sur une ligne dédiée (pour faciliter la programmation de clients), donc on oublie les interactions à la web 2 ;
  
  
• Un ensemble cohérent de ressources, qu'on nomme site sur le web, se nomme capsule sur Gemini (champ lexical de la conquête spatiale ;) ).

L'orateur n'en parle pas, mais je me suis demandé les différences par rapport à Gopher. En gros, Gemini est un compromis entre Gopher et le web. Attention : compromis dans les deux sens, Gemini revient aussi en arrière (entre guillemets) sur des aspects jugés contestables de Gopher (notamment les liens, ou les tabulations, ou l'indication du type du fichier pointé) + chiffrement obligatoire (bidouillage "récent" dans Gopher) + prétend éviter l'ajout de fonctionnalités / extensions par la philosophie derrière la spécification (je pense que c'est totalement pipeau). Source.

• QUIC = nouveau protocole de transport. Remplacer TCP (mêmes fonctionnalités) + apporter la confidentialité et l'intégrité à la couche transport (QUIC est forcément chiffré) + vrai parallélisme (ruisseaux indépendants au sein d'une même session pour ne pas bloquer la récupération de toutes les ressources en cas de perte de paquet, ce qui est le cas en HTTP/2, tout en assurant l'équité sur le réseau ‒ la répartition du débit se fait habituellement par connexion niveau 4 ‒) + indépendance de l'adresse IP (jeu de plusieurs Connection ID pour démultiplexer) + 0-RTT (comme TLS 1.3, avec les mêmes limites cryptos, j'imagine) ;
  
  
• QUIC repose sur UDP à cause de l'ossification de l'Internet. (Donc la promesse de sessions indépendantes de l'adresse IP est illusoire, au moins dans un premier temps.) Mais QUIC honore bien le cahier des charges de TCP. Les algos de contrôle de flux, utilisés pour encadrer les ruisseaux (streams) au sein d'une session QUIC, sont ceux de TCP (adaptés aux particularités de QUIC), car le sujet est très complexe. (Pour rappel, chaque pair d'une communication peut choisir un algo différent) ;
  
  
• QUIC utilise TLS pour la négociation, puis ses méthodes internes pour le chiffrement symétrique (comme OpenVPN). Les bibliothèques de fonctions cryptographiques (OpenSSL, par ex.) ont dû être adaptées (elles ne proposaient pas de leur déléguer uniquement la négociation) ;
  
  

• QUIC est implémenté dans l'espace utilisateur. TCP l'est dans le noyau. C'est volontaire afin de ne pas dépendre d'un éditeur de systèmes pour corriger un problème de performance dû à la pile TCP du noyau (Google soupçonne Microsoft, par ex.). Cela me conforte : le NAPT s'appuie sur les ports UDP, pas sur les Connection IDs. Cela signifie aussi qu'il n'y a pas d'API standard (l'équivalent de socket()) ;

• Usages :

  • HTTP/3 : même sémantique que les anciennes versions de HTTP + encodage binaire de HTTP/2, sur QUIC. Un ruisseau par requête + réponse ;
    
    
  • DNS over QUIC (DOQ) : sémantique + encodage DNS directement sur QUIC (là encore : un ruisseau par requête + réponse). À différencier de DOH over QUIC (QUIC + HTTP/3 + DNS) ;
    
    
  • VPN sur QUIC (projet MASQUE) ;
    
    
  • Y'a des projets de RFC pour IRC over QUIC, SSH over QUIC, etc.
• QUIC n'est plus un acronyme ;
  
  
• Pourquoi sécuriser la couche de transport ? Un tiers peut clôturer une session TCP par l'envoi d'un drapeau RST (les FAI l'ont fait pour contrer BitTorrent). Des infos peuvent en dire long (le RTT, qui se déduit des numéros de séquence, donne un indice sur la géolocalisation du terminal / serveur. Chiffrer au maximum est l'une des méthodes pour contrer l'ossification d'Internet (cependant, je ne comprends pas comment QUIC contre actuellement les pare-feux et le NAPT comme l'indique l'orateur) ;
  
  
• Le premier paquet d'une réponse QUIC a la même taille que le premier paquet de requête car le client pratique le bourrage afin de rendre vaine une attaque par réflexion+amplification. J'en doutais, mais la section 14.1 du RFC définit une taille minimale de 1200 octets (le client peut aller au-dela), et prévoit qu'un serveur ignore un paquet plus petit voire clôture la connexion ;
  
  
• Le spin bit, qui révèle le RTT pour permettre les observations tierces légitimes, a fait couler beaucoup d'encre (à quoi ça sert de chiffrer l'entête pour ensuite restituer une partie des informations ?!). Il est optionnel ;
  
  
• 2012 : projet de Google ; 2016 : début de la normalisation à l'IETF ; 2021 : publication des RFC ;
  
  
• La généralisation du chiffrement (QUIC ou non) pousse à l'abandon des diagnostics côté réseau au profit de ceux côté terminaux. Ceux-ci nécessitent la coopération de l'application, donc du logiciel libre et des options de debug : SSLKEYLOGFILE, qlog (format d'un journal de session QUIC en cours de normalisation), etc.

Voir aussi : Le protocole QUIC désormais normalisé.

Énième piqûre de rappel.

Choix qui ont des conséquences politiques abordés : chiffrement, Unicode, tri sur un réseau social / moteur de recherche, tester le site web qu'on développe avec un seul navigateur, complexité d'une norme rendant impossible une nouvelle implémentation depuis zéro, architecture centralisée versus décentralisée, magasin d'application, vérification auto des formulaires web, traqueurs dans les applis mobiles.

Une norme est compliquée ou est-ce les humains qui sont compliqués ? Unicode ne fait que représenter la diversité et la complexité des langues pré-existantes.

L'inaction, rester dans l'état actuel, le conservatisme, est un choix qui aura des conséquences politiques, autant que l'action.

Dépolitisation (« L'ordinateur ne veut pas ») plutôt que d'assumer un choix.

Un choix qui semble technico-pragmatique (je n'ai pas le temps de coder cette fonctionnalité, j'utilise une bibliothèque de fonctions qui flique) a des conséquences plus étendues.

Je suis moins d'accord sur le non-sens que serait la réclamation d'un moteur de recherche neutre. En effet, il y a forcément des critères de tri (pertinence, présence de mots, chronologique, etc.), donc la demande de neutralité est vaine, mais la demande cachée sous le mot « neutre » peut aussi être celle de l'absence d'un surclassement des services de la société éditrice du moteur de recherche ou de partenaires rémunérateurs, ce qui a du sens.

Encrypted SNI (ESNI) n'est toujours pas normalisé à l'IETF que Cloudflare propose déjà la suite : Encrypted Client Hello (ECH). On ne chiffre plus seulement le nom demandée, mais aussi le début de la poignée de main TLS qui le contient.

Apports :

• ESNI impose une récupération de la clé publique par un autre canal (le DNS). Or, il gère insuffisamment l'expiration desdites clés (pense renouvellement fréquent et TTL DNS). TLS ne prévoit pas de négociation, donc que faire si la clé connue d'un client TLS n'est pas bonne ?
  
  
• Chiffrer l'intégralité de la poignée de main TLS, dont les paramètres de la négociation (algos, etc.). En effet, TLS 1.3 ne garantit pas la confidentialité et l'intégrité de la totalité de la poignée de main (voir ici les apports de TLS 1.3).
  
  
• Le dernier argument, plusieurs serveurs chez plusieurs opérateurs / CDN, donc avec des clés différentes, peuvent répondre pour un même nom DNS, n'est plus d'actualité depuis le type DNS « HTTPS ».

La solution proposée par CF ressemble à EAP TTLS que l'on retrouve dans 802.1X : un tunnel extérieur "générique" (sans infos confidentielles) sert à établir un tunnel interne dans lequel circulera le nom d'hôte demandé (SNI) et les échanges entre client et serveur (requête web, réponse, etc.). Si le client tente d'établir le tunnel interne en connaissant une mauvaise clé, le serveur peut lui proposer la bonne dans le tunnel extérieur (après échec de la négociation du tunnel intérieur), et le client peut tenter d'établir un nouveau tunnel intérieur avec. Concrètement, le tunnel interne est une extension TLS.

Je pense que ça a un intérêt uniquement sur de l'hébergement mutualisé (au sens propre ou CDN), sinon le SNI du tunnel externe, qui doit être valide pour être vérifié (et garantir l'authenticité de l'éventuelle clé reçue en repli), révèle lui-même le nom du site web que l'on veut consulter.

Règlement européen en cours d'adoption. Ne sera pas appliqué avant 2025 au mieux.

Suite du Data Governance Act (DGA) de 2022 (règlement 2022/868) qui vise à favoriser le partage et la réutilisation des données (faciliter la réutilisation des données protégées du secteur public ‒ secret des affaires, propriété intellectuelle, etc. ‒, certification des services d'intermédiation de données, et des entités qui partagent leurs données ‒ sorte de hall of fame ‒ , centre européen de l'innovation dans les données, transfert des données à des organisations œuvrant pour l'intérêt général ‒ santé, climat, recherche, etc., au choix des États membres ‒), cf. Qu'est-ce que le Data Governance Act, le nouveau règlement européen ?

• Créer un marché européen unique de la donnée numérique (et donc le cadre législatif prétendument sécurisant qui va avec) protégé (par magie) contre l'ingérence étrangère.
  
  
• Uniquement les données non personnelles émanant des objets connectés dit pros / industriels. Quel est l'intérêt puisque des données qu'un équipementier pense être non identifiantes de prime abord peuvent l'être (voir) et tomber sous le coup du RGPD (qui primera en cas de conflit, dit le Data Act) ?
  
  
• Faciliter le partage. Avec les propriétaires des objets, déjà. Permettre le choix d'un prestataire (d'intermédiation en données), "ouvrir" les clouds des équipementiers ? Pas tout à fait, car ils pourront invoquer le secret des affaires en cas de préjudice grave (qu'ils devront prouver, ceci dit). Dans quelle mesure cette prétendue ouverture va-t-elle déteindre sur l'IoT grand public ? (J'ignore si les marchés pros et grand-public sont tenus par les mêmes acteurs.)
  
  
• Accès aux données par le secteur public en cas de nécessité pour poursuivre un intérêt légitime (comme la lutte une crise sanitaire).
  
  
• Interdire les frais de sortie / transfert d'un cloud + faciliter le multi-cloud.

Bref, rien de transcendant, règlement plutôt timide, plus de questions que de réponses, ce qui explique qu'on n'en est pas entendu causer, y compris dans la presse spécialisée.

Sources :

• Marché unique des données : vers l'adoption du Data Act.
  
  
• Adoption du Data Act au Conseil de l’Union européenne.

2020 : les sites web qui permettent d'accéder à du porn (ça va donc au-delà des sites porno, cf. point 2022) ne peuvent plus se contenter d'une auto-déclaration "j'ai plus de 18 ans" par leurs visiteurs. En cas de manquement, l'ARCOM (ex-CSA+HADOPI) peut demander au juge judiciaire le blocage du site web contrevenant. Loi 2020-936 visant à protéger les victimes de violences conjugales (parce que, évidemment, la majorité des auteurs de violences conjugales sont accros au porn, c'est bien connu).

2021 - maintenant :

• Le blocage judiciaire patine. En 2023, rejet de la QPC des sites porn par un arrêt pas motivé de la Cour de cassation (question ni nouvelle ni sérieuse, mesure nécessaire et proportionnée, aucun argument) et confirmation qu'une auto-déclaration "j'ai 18 ans" emporte l'application de l'article 227-24 du code pénal. Avant de statuer, le tribunal judiciaire de Paris attend la décision du Conseil d'État sur la légalité des décrets d'application, elle aussi contestée.
  
  
• Personne (ni la CNIL, ni la major française du porn) ne sait comment implémenter la loi de 2020, surtout sans ruiner l'anonymat (on en revient toujours à donner de la donnée perso comme un justificatif d'identité, une photo pour estimer l'âge, des données bancaires ‒ gné, j'en avais avant ma majorité ‒). La solution présentée comme étant la moins pire de tiers de confiance aveugle est craignos tant que seul le porn est soumis à une preuve d'âge (le tiers déduit l'intention de son client d'aller se palucher). Surtout, il faudra vérifier l'authenticité de la signature et gérer, entre autres, la révocation (car un tiers peut se faire pirater et émettre des certifications d'âge pour des mineurs, par ex.), ce qui impliquera une vérif' en temps réel (type OCSP), révélant ainsi au tiers de confiance les sites auxquels son client accède. Sans compter la création obligatoire d'un compte sur les sites web porn qui facilitera le profilage et qui, en cas de piratage, révélera des DCP sur son détenteur (adresse email, etc.). Bref, le tiers de confiance est une mauvaise idée.

2022 :

• Loi 2022-300 dit Studer visant à renforcer le contrôle parental sur les moyens d'accès à internet + décret n° 2023-588. Obligation de fournir un contrôle parental (web + applications) à l'achat d'un terminal. Ne concerne pas uniquement le porn, mais tout contenu « susceptibles de nuire à leur épanouissement physique, mental ou moral » (jeux d'argent, par ex.) + renvoi à l'article 32 de la loi 98-468 donc crime, violence, drogue, alcool, haine. Désinstallation sans frais. Ne concerne pas les terminaux vendus sans système. L'April est intervenue pour faire émerger les deux derniers points.
  
  
• Rapport de la délégation aux droits des femmes du Sénat qui découvre l'envers du décor pourtant déjà maintes fois documenté et faisant l'objet de procédures judiciaires (1, 2). Pour moi, comme pour d'autres, on est dans l'exagération, la généralisation, l'émotion et donc l'outrage simulé (d'où l'absence de lien, pour ne pas en faire la promo). Les associations de protection de l'enfance et/ou de la famille et leurs fédérations (Voix de l'Enfant, e-Enfance, OPEN, UNAF, Civitas, etc.) étaient à la manœuvre. Par ailleurs, elles ont demandé à l'ARCOM le blocage de Twitter (qui s'est fait alpaguer par une loi du même tonneau en Australie).

2023 :

• La loi 2023-566 visant à instaurer une majorité numérique et à lutter contre la haine en ligne élargit la vérification de l'âge à d'autres domaines. Les réseaux sociaux (et plus largement, si l'on en croit LQDN) doivent interdire la création de compte aux mineurs < 13 ans, à ceux de 13-15 ans n'ayant pas l'accord de leurs vieux, et de permettre aux darons de mineurs de 15-18 ans de suspendre le compte.
  
  
• Rapport du Haut Conseil à l'Égalité entre les femmes et les hommes. Mêmes travers que ceux de la délégation aux droits des femmes du Sénat. La caricature de la position de LQDN (pages 124 et suivantes) est démonstrative (incompréhension de ce que désigne la neutralité du net ; refus du juge administratif = pas bien).
  
  
• Suite avec le projet de loi SREN ?

L'ARJEL a été renommée Autorité Nationale des Jeux (ANJ) en 2020.

Avant 2022, elle devait passer par un juge judiciaire pour obtenir le blocage, par les FAI, d'un site web non-agréé par l'État. Désormais, blocage administratif + déréférencement. Idem pour la pub (ou les cotes) pour un tel site. Article 49 de la loi 2022-296 visant à démocratiser le sport en France.

Pour l'instant, la liste des sites web bloqués ou déréférencés est publique.

Source : Le blocage de site sans juge et le projet PJLSREN du gouvernement.

Paquet législatif européen de deux textes extra-territoriaux complémentaires.

Digital Markets Act (DMA)

Règlement européen 2022/1925 relatif aux marchés contestables et équitables dans le secteur numérique aka règlement sur les marchés numériques. Préparation entre 2020 et 2022. Entrée en application progressive entre mai 2023 et mars 2024.

Règlement plutôt axé concurrence, B2B (plateformes qui permettent à des entités utilisatrices d'attendre des consommateurs finaux), etc.

• Définition de fournisseurs de services de plateforme essentiels aka contrôleurs d'accès aka gatekeepers dans nombre de domaines (intermédiation, messagerie, moteurs de recherche, système d'exploitation, navigateur web, publicité, cloud, etc.). CA annuel dans l'UE > 7,5 milliards d'euros ou valorisation boursière > 75 milliards d'euros + présence dans au moins trois pays de l'UE ou 45 millions d'utilisateurs finaux européens actifs mensuels (ou 10 k pro), durant 3 années. Évidemment, les techniques de segmentation pour échapper aux seuils sont caduques (article 13). La Commission pourra décider d'inclure ou d'exclure sur d'autres critères comme l'effet réseau, la captivité, le gain tiré des DCP, etc. Granularité par service (une même entité peut posséder plusieurs plateformes essentielles), d'où Apple et Microsoft négocient déjà pour certains de leurs services. De même, Apple négocie pour que l'ouverture à autre chose que l'Apple Store ne soit effectif que sur iPhone, les autres systèmes n'atteignant pas le seuil d'utilisateurs. Résultat des négociations : iMessage, Bing, Edge et Microsoft Advertising ne sont pas des services essentiels soumis au DMA… ;
  
  
• Réduire la captivité : interdiction des dark patterns, interdiction de coupler des services (ex. : obliger Apple Play dans un jeu dispo sur l'Apple Store ou compte Google pour YouTube), permettre la désinstallation d'applications préinstallées, interdiction de référencer ses services plus favorablement que ceux des clients et de saboter le service rendu par une société commerciale utilisatrice. Ce dernier point vaut aussi pour des applis iPhone de base, pour les navigateurs web, les moteurs de recherche, et ouvre donc la voie à l'installation de magasins d'applis alternatifs (pour éviter ce genre de comportement). Côté ricain, depuis 2020, la question du magasin d'applis obligatoire se discute dans les tribunaux : Epic contre Google Play, Epic contre Apple App Store. Finalement, Apple a été contrainte d'autoriser les paiements dans les applis ou des liens vers des moyens alternatifs de payer, mais elle ramasse toujours une commission sur ce qui passe dans son App Store, toujours pas de logithèque alternative, etc. (source). En 2025, Epic a obtenu d'Apple et de Google, via les tribunaux ricains, des concessions similaires à celles imposées par le DMA. Suite au DMA Apple a pris des mesures d'ouverture, notamment l'installation depuis des sources tierces. Tous les changements d'Apple ici. Quitte à user de mauvaise foi pour imposer une complexité rédhibitoire prétendument au nom du DMA. Autre article. Microsoft a rendu possible la désinstallation d'Edge, OneDrive, Cortana ou Bing (lire aussi). Changements de Google (lire aussi). Procédures de la ComUE contre Google, Apple, Meta, et Amazon ;
  
  
• Interopérabilité entre systèmes et applis. Interopérabilité des messageries (2 à 4 ans pour s'adapter après leur désignation comme gatekeeper) dont le chiffrement de bout en bout s'il existe (il est explicitement prévu dans le texte). Je ne comprends pas les critiques sur la faisabilité technique : il est possible de définir des normes, comme email + PGP, XMPP + OMEMO, SMSSecure / Silence (dans chaque cas, il y a bien plusieurs fournisseurs / opérateurs et plusieurs logiciels de messagerie, excepté Silence / SMSSecure). Je n'identifie pas de danger nouveau (les données de connexion doivent déjà être collectées et partagées). L'obligation est asymétrique (les messageries peu utilisées ne sont pas obligées de s'ouvrir aux grosses, ce qui permettra de ne pas étouffer les premières sous les changements incessants des secondes), d'où (entre autres) on risque de se retrouver avec des API plutôt qu'avec un protocole standard / commun (mais alors, quid du chiffrement de bout en bout également protégé par le texte ?). L'interopérabilité des réseaux sociaux n'a pas été retenue dans la version finale du texte (et la rédaction de l'interopérabilité tout court est floue) ;
  
  
• C'est aussi par le biais du DMA que la Commission européenne fait respecter le RGPD, notamment en matière de « payer ou consentir ». Comme si le seul RGPD n'était pas suffisant… ;
  
  
• Obligation renforcée de transparence, de rendre compte (à la CE), de subir des audits (y compris sur les techniques de profilage) ;
  
  
• Une plateforme doit donner accès en temps réel aux données produites par son client (générées par ses activités genre performance, marketing genre infos sur les pub qu'elles financent) et ne pas utiliser les données non publiques d'un client pour lui faire concurrence (Next Inpact dit que mamazon a déjà pratiqué ça)… ;
  
  
• Je ne comprends pas en quoi plusieurs dispositions constituent un apport nouveau. Pas de réutilisation de DCP ni de traçage (y compris pub ciblée et combinaison de journaux entre services d'une même entité) sans consentement (la CJUE est arrivée à la même conclusion quasi en même temps), maximum une demande de consentement pour la pub ciblée par an, portabilité effective des données, tout ça est prévu par le RGPD… ;
  
  
• Sanctions : jusqu'au 10 % du CA annuel mondial (20 % en récidive, 1 % pour défaut de communication d'infos), cessation d'activité, etc. Qui ? Gus dédié à la conformité, Commission, autorités nationales de la concurrence, « groupe de haut niveau » (BEREC, EDPB, EDPS, réseau européen de la concurrence, ERGA, réseau européen de protection des consommateurs), etc. mais on sent que le pouvoir est concentré dans la CE (notamment dans son groupe de travail DMA).

Sources :

• Comment le Digital Markets Act va-t-il se mettre en place ? ;
  
  
• Que va changer le Digital Markets Act en pratique ? ;
  
  
• Tout comprendre au DSA : la loi européenne qui encadre les géants du web, chapitre « Quelles différences avec le DMA […] » ;
  
  
• Numérique : que sont le DMA et le DSA, les règlements européens qui visent à réguler internet ?

Digital Services Act (DSA)

Règlement européen 2022/2065 relatif à un marché unique des services numériques aka règlement sur les services numériques. Préparation entre 2020 et 2022. Entrée en application entre août 2023 (acteurs essentiels) et février 2024 (source).

Règlement plutôt axé contenus, citoyens (B2C), harmonisations des législations nationales (sur le retrait de contenus, par ex.), etc.

• Fournisseurs de services intermédiaires (transmission / accès à un réseau de communication, hébergeur, CDN, places de marché, etc.). On sent une volonté de combler le manque entre hébergeur, éditeur et FAI. Les plateformes sont des hébergeurs qui stockent et diffusent au public des informations à la demande d'un de ses utilisateurs. Les moteurs de recherche sont définis à part (c'est bien un service intermédiaire, mais ni d'hébergement ni de transport ni de CDN) ;
  
  
• Obligations additionnelles pour les très grandes plateformes et moteurs de recherche (> 45 millions d'utilisateurs européens actifs mensuels), TGP, qui sont aussi qualifiés de VLOP (Very Large Online Platforms) ou de VLOSE (Very Large Online Search Engine). Contrairement au DMA, rien n'est dit concernant la segmentation pour échapper au seuil. Les petites entités (< 50 salariés, CA annuel < 10 millions d'euros) échappent aussi aux rapports de transparence ;
  
  
• Beaucoup d'obligations existantes ou qui semblent aller de soi : désigner un représentant dans l'UE et un délégué à la conformité (ce deuxième point est uniquement pour les TGP), rapports de transparence (dont le contenu est cadré), modération (outils de signalement, signaleurs de confiance comme PHAROS en France, transparence dans la modération), contestation d'un retrait / blocage / suspension en interne et "médiateur" externe, retrait des contenus / produits (pas sur simple notif', il faut que ça soit motivé, pas de délai mais une « diligence raisonnable », pas de pro-activité), limiter les signalements abusifs, etc. Bref, aucun changement sur la responsabilité des intermédiaires techniques (par rapport à ce qu'on a en France) ;
  
  
• BDD anonymisée des retraits de contenu à disposition de la Commission (afin d'identifier, si elle le souhaite, les abus de la modération) + une plateforme doit alerter les autorités des États membres des potentielles infractions graves (mise en danger vie ou sécurité d'autrui) ;
  
  
• Protocole pour réagir (renforcer la modération ? quoi d'autre ?) lors de crises liées à la sécurité ou à la santé publiques (forte désinformation liée à un événement, par ex.). Flou complet. Uniquement les TGP ;
  
  
• Pour les TGP : transparence des algo de pub / recommandation + proposer au moins un système de recommandation qui ne se base pas sur le profilage (mais c'est à l'utilisateur de l'activer…). Pour toutes les plateformes : stats sur la pub accessibles au public (identité de l'annonceur, nombre de visionneurs, durée de la campagne, public visé, etc.) ;
  
  
• Interdiction de la publicité ciblée pour les mineurs (< 18 ans) + (considérant 69) ces plateformes « ne devraient pas » présenter de pub ciblée via des DCP sensibles (renvoi à l'article 9 du RGPD donc opinions politiques, convictions religieuse ou philosophique, appartenance syndicales, orientation sexuelle, santé, etc.). LinkedIn en a fait les frais ;
  
  
• Interdiction des dark patterns (apparences trompeuses), comme le DMA (trololo, faudra voir lesquels car les réseaux d'asociaux en regorgent). Interfaces truquées, manque de transparence : l’Europe attaque X pour violation du DSA ;
  
  
• Une place de marché « devrait déployer tous les efforts » pour vérifier les informations d'un vendeur (identifiant pro, email, IBAN, etc.) dans les bdd officielles, par ex. (considérant 73). Elle devra en tout cas les détenir et afficher les plus pertinentes ;
  
  
• Les TGP doivent s'auto-analyser annuellement et réduire les risques systémiques qu'ils font peser (on a un parallèle dans le RGPD et on voit l'absence de résultat…) et subir des audits indépendants (à leur charge) ;
  
  
• Sanctions : 6 % du CA annuel mondial, injonction, bannissement, etc. Qui ? CE (elle se réserve les TGP, via une redevance versée par elles), Autorités nationales (ARCOM en France) rassemblées dans un comité européen (comme le BEREC ou EDPB). L'État membre compétent est celui où l'entité a déclaré son établissement principal ou son représentant, donc l'Irlande…

Sources :

• Que change le Digital Services Act en pratique ? ;
  
  
• Le Digital Services Act expliqué ligne par ligne (articles 1 à 24) et Le Digital Services Act expliqué ligne par ligne (article 25 à 74) ;
  
  
• Tout comprendre au DSA : la loi européenne qui encadre les géants du web (attention, certains points sont présentés comme une obligation alors qu'ils sont rédigés au conditionnel et présents uniquement dans les considérants) ;
  
  
• Numérique : que sont le DMA et le DSA, les règlements européens qui visent à réguler internet ?

Suites sur le DSA :

• DSA et DMA : on fait le point sur les services concernés et les changements ;
  
  
• TikTok Lite et sa fonctionnalité Task and Reward ont fait les frais du DSA.
  
  
• Court again rules in favour of Bits of Freedom: freedom of choice for Instagram and Facebook users remains intact : « Bits of Freedom demanded that Meta offer its Instagram and Facebook users the option of choosing a feed that is not based on profiling, an obligation under the Digital Services Act (DSA). »

Point commun

Comme dans d'autres domaines, une partie du droit national de chaque État membre est ainsi délégué à l'UE. Il faut donc informer la CE et ne pas légiférer au niveau national (ça reviendrait à fragmenter les règlements européens, qui ont justement un objectif d'application uniforme à travers l'UE, d'harmonisation des législations).

La Commission européenne avertit la France qu'elle ne peut pas aller au-delà de ses règlements (à propos du bannissement des harceleurs des réseaux d'asociaux) :

« Si les États membres veulent ajouter des nouvelles obligations supplémentaires à celles prévues par le DSA, ils peuvent le demander, mais il faut un consensus au niveau européen. Elles ne doivent pas être incluses dans des lois nationales qui vont revenir à fragmenter l’application du DSA. Si la France le fait, qu’est-ce qui empêchera demain Victor Orban ou la Pologne de demander à un hébergeur de retirer des contenus LGBT ? »
[…]
La Commission européenne a déjà rappelé que les États-membres ne devaient pas, sur un « domaine réservé » déjà traité par Bruxelles, édicter des règles plus strictes. […] Les États membres devraient s’abstenir d’adopter des législations nationales qui feraient double emploi avec ces règlements ou qui créeraient des dispositions plus strictes ou plus détaillées dans les domaines réglementaires concernés […]

Ainsi, je me demande dans quelle mesure le DSA et le DMA limiteront le concours perpétuel de la meilleure idée liberticide. Quelle proportion des mesures proposées en France sera en conflit avec les règles européennes (dont l'essentiel porte sur les géants du numérique) et torpillée de ce fait (et des mesures ne visant pas les géants seront perçues comme inutiles…) ? Dans quelle mesure la France convaincra l'UE (comme sur les données de connexion) ?

Premier effet chez Microsoft en novembre 2023. Sur YouTube, ça donne la désactivation par défaut des recommandations, d'où une page d'accueil blanche.