Le code est-il vraiment la loi ?

Par Hubert Guillaud

Le chercheur de l’université de Toronto, Quinn DuPont (@quinndupont), qui s’apprête à publier Cryptographie, mot-clé critique des humanités numériques, revenait récemment dans son blog sur la célèbre phrase de Lawrence Lessig, « le code est la loi ». Il rappelle que Lessig a inventé cette formule « en réagissant au déploiement des systèmes de gestion de droits numériques (DRM) pour contrer le partage illégal de fichiers. La leçon que nous devons tirer de cette phrase est que ontologiquement (et légalement) le code est préalable. Dans le cas du partage de fichier, le code vous empêche de partager un fichier simplement en raison de la physique de la situation (idéalement, vous ne pouvez pas casser le chiffrement qui le protège) et donc cesse d’être un problème légal. » Dans cette situation, la loi disparaît, puisque plus rien ne peut lui porter atteinte.

Cette vérité est d’autant plus vraie et inquiétante aujourd’hui, souligne le chercheur. « Si nous regardons les technologies émergentes comme Ethereum » (une spin-off du bitcoin, – dont Rémi Sussan nous a déjà tout expliqué), « nous voyons que la loi n’a plus rien à dire sur ce sujet, puisque son objectif, en gros, est de remplacer des pans entiers du droit avec un mécanisme cryptographique sécurisé. Idéalement, avec Ethereum, vous n’aurez plus à emmener quelqu’un au tribunal sur un différent contractuel puisque le code aura entièrement médié la situation. » Les entreprises distribuées autonomes (Distributed Autonomous Companies, DAC) promettent un avenir où le code est vraiment la loi – le contrat – et où la loi ne devient plus nécessaire, estime Quinn DuPont. Une perspective terrifiante, puisqu’elle cristallise l’achèvement de la dystopie libertaire où la loi n’est même plus utile pour réguler les erreurs puisqu’elles ne pourront pas avoir lieu.

Une raison de plus, pour rappeler avec le juriste Jonathon Penney (@jon_penney) du Berkman Center for Internet & Society qui signe une tribune dans Slate.com sur le même sujet, que le droit doit plus que jamais déterminer l’éthique du code. Il rappelle que nombres de hackers et de chercheurs travaillent désormais à ce qu’on appelle la « divulgation responsable » des failles de sécurité. Les chercheurs et hackers responsables ont en effet pris l’habitude de travailler avec les développeurs en les avertissant préalablement de la découverte de faille de sécurité dans leur code afin de mieux protéger les utilisateurs finaux, en les prévenant avant de rendre public les problèmes afin que les entreprises puissent apporter les correctifs et améliorations nécessaires. Cette prise de conscience responsable a été le fruit d’un large débat très controversé au sein de ces communautés… Un débat qui a conduit à une meilleure éthique et de meilleures pratiques de sécurité dans l’industrie. Mais le paysage juridique a évolué également en cherchant à punir les actes de divulgation irresponsables. Pour Lessig, l’expression « le code est la loi » soulignait aussi l’importance du code comme force de régulation, estime Jonathon Penney.

Reste qu’aujourd’hui, les lois s’intéressent de plus en plus aux questions sociales et éthiques soulevées par le code. Des lois comme le DMCA ou le CFAA doivent être restreintes, car elles empêchent à la fois la recherche légitime mais aussi empêchent de poser les questions sociales et éthiques connexes. Les chercheurs et la communauté de la sécurité informatique ne doivent pas pour autant se taire face aux menaces juridiques qu’ils rencontrent. Ils doivent réaffirmer la direction sociale, juridique et éthique de leur champ de travail qui ne peut pas être réglé uniquement par le droit. C’est d’un dialogue dont nous avons besoin entre le monde du code et celui de la loi, pas d’une domination de l’un sur l’autre.

Hubert Guillaud

À lire aussi sur internetactu.net

0 commentaires

  1. Remarques intéressantes de Quinn DuPont. Même si ce n’est pas propre au numérique de créer des dispositifs automatiques pour forcer le respect de la loi (par exemple le bridage des scooters), il est probable que ce genre de dispositifs continue de se multiplier dans les années à venir, avec leurs avantages et leurs inconvénients.

    Je trouve toutefois l’analyse de DuPont un peu confuse. On devrait distinguer au moins trois types de règles qui peuvent être implémentées par du code :
    1. les règles qui sont directement extraites de la loi
    2. les règles qui correspondent aux clauses d’un contrat, comme les conditions d’utilisation de Facebook.
    3. les règles qui n’ont aucun rapport avec des lois, comme le fait de ne pas pouvoir forcer un ascenseur à se rendre directement à son étage sans s’arrêter aux étages demandés par les autres utilisateurs.

    Je pense que le code génère surtout des règles du type 3. La production de plus en plus grande de code n’est pas forcement le signe annonciateur d’une appropriation de la loi par le code.

    Dans le cas des règles de type 1, le code est guidé par la loi, comme dans l’exemple de la vitesse limite d’un scooter. Le code ne fait pas disparaître la loi, ni n’est antérieur à l’établissement de la loi, mais fait disparaître une partie de la procédure d’application de la loi.
    Dans le cas du type 2, les règles du contrat ne sont pas faites par la loi, mais par des particuliers. Autrement dit, le code ne créé pas plus de règles de lui-même que n’en créé un contrat papier.
    Si on considère que l’ajout d’un DRM va plus loin que la loi sur le téléchargement illégal, alors le DRM devrait être dans le contrat passé entre l’acheteur et le vendeur. Actuellement, la loi jugerait valide cette clause du contrat. Ici la loi est toujours active car elle pourrait rendre illégal cette clause, et le code des DRM devrait alors disparaître. « Le code crée le contrat » serait plus juste que « le code est la loi. » Comme les contrats sont encadrés par la loi (c.a.d la loi peut rendre un contrat caduc), on se retrouve dans le 1er cas de figure où la loi garde un contrôle indirect et différé sur le code.

    Il n’y a pas de transfert d’autorité de la loi vers le code si on donne à la justice les moyens d’interpréter le code comme un générateur de règles.
    Au fond, la seule (grosse) évolution est que le code ne permet pas de désobéir simplement aux règles.

  2. (Apologies for English…)

    Hadrian: from what I can follow (w/ Google translate), your division of code into three parts is quite clever and useful. I agree that in an abstract sense « the code creates a contract » might be more accurate than « code is law », however, individuals have little interaction with contracts: you either agree and are granted access or disagree and have no access. For me, what is even more troubling is the degree to which code is able to take over aspects that aren’t traditionally governed by law, or (even more so) are governed ONLY by contract law (either in the sense of « code » or a more traditional « contract »). Ethereum is a good example of the latter. Our reality becomes thoroughly mitigated through « smart » contracts, whereas before we might have been subject to ethics or law (of the juriprudential sort).

  3. I don’t know anything about law outside France, but AFAIK French contracts can be invalidated by a court. Thus, whether contracts are made of computer programs or scribbles on a napkin, French law should keep some control over them, insofar as we regard some programs as genuine contracts. Law still has something to say about it, even though our legal systems may lack some maturity to deal with such cases.

    That being said, I share your concerns about the increasing numbers of new rules that govern our interactions, and, obviously, I haven’t give it as much thought as you have.

  4. without typos (hopefully): « I share your concerns about the increasing number of new rules that govern our interactions, and, obviously, I haven’t given it as much thought as you have. »

    Et pour m’excuser, la version française :

    Je n’y connais rien en loi en dehors de la France, mais de ce que j’en sais en France les contrats peuvent être invalidés par la justice. Donc, que les contrats soient faits de programmes informatiques ou de gribouillages sur une serviette en papier, la loi française devrait garder un contrôle sur eux, sous condition que l’on interprète certains programmes comme d’authentiques contrats.
    La loi a encore quelque chose à dire là dessus, même si nos systèmes juridiques peuvent manquer de maturité pour traiter ces cas-ci.

    Ceci étant dit, je partage vos inquiétudes sur la multiplication des nouvelles règles qui dictent nos interactions, et, bien entendu, je n’ai pas autant réfléchi que vous sur ce sujet.