Nous avons le plaisir de lancer un nouvelle série mensuelle intitulée Construire l’avenir d’un internet libre composée d’entretiens avec les bénéficiaires de la subvention NGI Zero (NGI0). Financé par la Commission européenne, NGI0 soutient des projets libres, de données libres, de matériel libre et de normes libres. Il apporte soutien financier et pratique sous diverses formes, notamment le mentorat, les tests, les tests de sécurité, l’accessibilité, la diffusion, et bien d’autres encore.
Le premier entretien de la série a eu lieu avec CryptPad.
L’initiative Next Generation Internet (NGI) de la Commission européenne vise à bâtir un internet qui réponde aux besoins fondamentaux des personnes, notamment la confiance, la sécurité et l’inclusion. NGI0 est une coalition sans but lucratif qui met son mécanisme de financement efficace au service de NGI, dans le but de soutenir le développement de logiciels et de matériels libres et ouverts en matière de code source, de données et de normes. NGI0 coordonne plusieurs actions de recherche et d’innovation, dont celles de NGI Zero Review, NGI Zero Entrust, NGI Zero Core et de NGI Zero Commons Fund.
APC est membre du consortium NGI0 mené par Nlnet Foundation, qui déploie un large éventail d’actions permettant à un mécanisme de financement d’octroyer plus de 50 millions d’euros à des centaines de chercheur·es indépendant·es et de développeur·es de logiciels libres qui travaillent pour un meilleur internet. Outre la subvention, ces projets reçoivent le soutien d’expert·es dans des domaines tels que la diversité, la sécurité, l’accessibilité et la conformité aux licences.
Lancé en 2017 par l’entreprise française de logiciels libres XWiki SAS, CryptPad propose une suite collaborative complète, chiffrés de bout en bout. Ses applications, à l’origine un simple éditeur de texte, se sont développées pour désormais inclure un tableur, un éditeur de texte, un tableau kanban, un éditeur de code/mardown, un formulaire, un tableau de dessin et un créateur de présentations markdown. Il est possible d’utiliser les services proposés par CryptPad.fr, d’héberger soi-même une suite CryptPad ou d’accéder à la suite par l’intermédiaire d’autres fournisseurs.
Depuis 2019, les financements reçus de NGI Assure, NGI0 Pet et NGI0 Entrust ont permis à CryptPad de procéder à de nombreux développements et améliorations, notamment en matière de sécurité et d’accessibilité. Le dernier de ces financements, qui a pris fin en mai 2024, portait principalement sur la cryptographie utilisée sur la plateforme.
APC s’est entretenu avec David Benqué, graphiste responsable de l’interface et de l’expérience utilisateur·rice (UI/UX), ainsi qu’avec Mathilde Grünig, ingénieure de déploiement également présente sur les versants communauté et support. L’entretien a été édité pour plus de clarté et une question de longueur.
Plusieurs services dans le monde, comparables à CryptPad, adoptent d’autres orientations en matière de droits humains et de gouvernance des TIC. Ces orientations sont liées à des politiques, des lois et des réglementations locales et internationales. Quelle est la position de CryptPad à la croisée de ces nombreuses considérations ?
Benqué : Il existe plusieurs services chiffrés de bout en bout efficaces pour la messagerie, comme Signal, la prise de notes personnelles sans collaboration, tel que Joplin, ou le stockage de documents sans modification, comme Proton Drive. Il n’y a [cependant] pas beaucoup de produits qui incluent à la fois le chiffrage de bout en bout, la modification de documents et la collaboration en temps réel.
Un de nos défis consiste à déterminer qui utilise notre produit de chiffrage de bout en bout (e2ee), puisque nous ne collectons pas de données. Nous savons que CryptPad est utilisé par la Commission européenne, par exemple, ainsi que par de nombreuses ONG. Les récentes évolutions au sein de l’UE qui rendent illégale l’utilisation de produits américains tels qu’Office 365 dans les administrations publiques et les établissements d’enseignement devraient pousser de plus en plus de personnes à chercher des alternatives. En réalité, je ne pense pas que tant de personnes respectent vraiment ces directives, et les entreprises comme Microsoft mettent en œuvre des contre-stratégies, comme l’installation de serveurs en Europe.
Les projets de plus grande ampleur auxquels nous participons par le biais de XWiki, notre société mère, reposent souvent sur une certaine notion de « souveraineté ». Cela signifie que les pays de l’UE reconnaissent la nécessité de disposer de solutions de TI dont ils sont « propriétaires », et les logiciels libres sont une bonne manière d’y parvenir. Cependant, dans notre pays hôte, la France, le gouvernement déroule le tapis rouge aux centres de données de Microsoft et enregistre les données de santé de toute la population sur des services web d’Amazon… il est donc difficile de suivre le raisonnement logique derrière tout cela.
Comment CryptPad a-t-elle utilisé les subventions NGI0 reçues entre 2019 et 2022, et notamment de NGI0 Entrust en 2022 ?
Benqué : Ces subventions ont été déterminantes pour permettre à CryptPad de se développer. Chacune d’entre elles a permis d’ajouter des fonctionnalités à CryptPad, telles que les drives partagés, et nous ont permis de proposer un produit stable sur le marché. Dans mes précédentes fonctions, dans l’enseignement supérieur, j’étais en lien avec les financements de l’UE dans le cadre du septième programme-cadre, le FP7, avant Horizon 2020. Et je me souviens avoir été frappé par le peu d’exigences administratives relatives aux subventions NGI. Elles nous permettaient de cibler efficacement des améliorations tangibles.
À côté de Google Drive, Microsoft Teams et d’autres encore, comment pensez-vous que CryptPad influence les utilisateurs finaux et utilisatrices finales, tant les personnes que les organisations ?
Benqué : En ce qui concerne les personnes, les communautés et les PME, nous entendons davantage parler de remplacer complètement les solutions des grandes entreprises de la tech pour « passer à CryptPad ».
Nous avons compris, suite à nos discussions avec des prospects de plus grosses entreprises, qu’il serait plus difficile de les écarter des suites de Google ou d’Office365. Nous constatons donc une utilisation de CryptPad en parallèle de ces solutions, que ce soit pour des documents très sensibles ou pour les grands cadres : une sorte d’enclave ultra sécurisée au sein de l’infrastructure existante de l’entreprise.
La concurrence face à de tels géants peut être décourageante, honnêtement. Et je ne parle pas que des GAFAM, mais bien de toutes les structures financées par des capitaux à risque. Aujourd’hui, toutes nos concurrentes ont des budgets au moins dix fois supérieurs au nôtre. CryptPad a renforcé ses fonctionnalités au fil des années, et vise maintenant à proposer une suite complète de solutions de bureautique - hormis le courrier électronique, vers lequel nous ne nous orienterons probablement jamais.
Des témoignages d’activistes pour les droits et la justice climatique, de journalistes, de défenseur·es des droits humains et autres, figurent sur la page « CryptPad pour les organisations sans but lucratif ». CryptPad est-il un outil utile pour réduire la fracture numérique et l’impact de la numérisation, à l’heure où les populations marginalisées sont écartées des processus décisionnels ?
Benqué : Nous aimerions penser que CryptPad sert aux groupes et populations marginalisé·es. Je dois cependant [relativiser] mon propos, car CryptPad dépend de sa clientèle pour tout chiffrer/déchiffrer : les appareils de notre clientèle sont essentiels pour notre produit. Plus la qualité de leur ordinateur portable et de leur connexion internet sera élevée, meilleure sera leur expérience avec CryptPad. Par exemple, à l’heure actuelle il est extrêmement difficile d’utiliser CryptPad si le seul accès à l’internet est un téléphone intelligent.
Comment définissez-vous l’accessibilité ? Comment CryptPad traite-t-il la question, d’un point de vue technique ?
Benqué : C’est un de nos principaux axes. Pour mémoire, je suis entré chez CryptPad en 2019, en tant que concepteur de l’interface et de l’expérience utilisateur·rice. De très nombreuses choses étaient déjà en place à ce niveau-là. Le produit existait déjà plus ou moins sous sa forme actuelle. Quelques modifications ont été apportées depuis, en matière de fonctionnalités, mais nous étions vraiment en retard en matière de design et d’accessibilité. Ces questions n’avaient tout simplement pas été prises en compte jusqu’alors. Je n’avais personnellement pas beaucoup d’expérience dans ces domaines-là non plus et j’ai beaucoup appris avec les retours suite aux projets NGI. J’ai alors candidaté à un poste chez XWiki, et ai suivi des formations pour comprendre comment progresser sur ces questions.
Nous avons à l’heure actuelle une jeune employée à temps partiel au sein de l’équipe, Daria, qui travaille là-dessus depuis son stage l’été dernier. On lui doit beaucoup. Je pense que quiconque évaluant des applications se rendrait vite compte que CryptPad n’est pas optimal du point de vue de l’accessibilité. Nous avons beaucoup de progrès techniques à faire.
Google Docs a récemment bloqué l’accès d’une écrivaine à l’ensemble de son œuvre en cours. Que fait CryptPad du contenu des gens qui l’utilisent ? Est-ce que vos conditions générales d’utilisation précisent que vous avez accès à ce que les gens écrivent ou publient sur CryptPad.fr ?
Grünig : Ce sont là deux questions différentes. Il y a, d’un côté, le produit CryptPad, le logiciel, et de l’autre le serveur que nous hébergeons, CryptPad.fr. Il est important de faire la distinction entre les deux. Le produit CryptPad est régi par un code de conduite, [alors que] le service CryptPad.fr est régi par des conditions générales d’utilisation, une charte de confidentialité, etc.
Notre charte de confidentialité est disponible sur CryptPad.fr. Elle stipule que tout est chiffré de bout en bout, et nous n’avons donc pas accès au contenu des documents. Tout cela est expliqué dans la section intitulée « What we know about you and how we use this information » (Ce que nous savons sur vous et comment nous utilisons ces informations).
De nombreuses autres informations se trouvent dans nos Conditions générales d’utilisation. Nous y définissons les règles du cadre qui nous permettent d’intervenir sur la modération, puis sur le contenu. Nous précisons, par exemple, que « l’utilisateur·rice s’engage à ne pas publier de contenu raciste, xénophobe, homophobe, transphobe, validiste ou classiste ». La liste des règles est longue.
Il est intéressant que vous nous interrogiez là-dessus, car nous avons justement récemment été contactés par des personnes qui écrivent de la littérature érotique et qui se demandaient si CryptPad pourrait leur servir pour leur travail, si leur confidentialité serait respectée. Cette question touche, de près ou de loin, l’environnement du travail du sexe, d’une certaine manière. Nous avons révisé nos Conditions générales d’utilisation à de nombreuses reprises, la dernière en date était le 27 mars 2024, grâce aux commentaires de plusieurs utilisateur·rices. Nous [les] avons modifiées pour qu’elles soient plus claires et permettent de manière explicite l’utilisation de la plateforme et du service pour ce type d’action.
Nous stipulions à l’origine que nous ne pouvions pas publier de contenu [en lien avec] des abus physiques ou sexuels, de quelque sorte qu’il soit. Les prestataires de service utilisent généralement cette clause pour bloquer l’accès ou supprimer du contenu, surtout lorsqu’il provient de personnes qui écrivent des histoires érotiques, dans lesquelles de nombreuses choses pourraient être interprétées [comme étant] des abus, même si cela fait partie de contenu ayant reçu consentement. Nous avons, depuis, modifié cette phrase et désormais, l’utilisateur·rice accepte de ne pas « publier de contenu n’étant pas de fiction, promouvant des violences physiques et/ou sexuelles ». Cela est valable pour la version française, car la traduction anglaise de ces conditions d’utilisation est toujours un peu délicate. De manière générale, les histoires de victimes ou toute documentation relative à des auteur·rices d’abus peuvent être publiées sur ce service, sans aucun problème.
Ces questions sont importantes, car elles sont à la fois extrêmement politiques et extrêmement intimes, mais elles ne font que rarement l’objet de discussions ouvertes dans le secteur du logiciel libre.
Grünig : Oui, c’est vrai. Je travaille dans le monde du logiciel libre depuis 15 ans, [et] j’ai remarqué qu’il y a une vision très légaliste du logiciel libre. On parle de neutralité logicielle et on se réfère au cadre juridique en disant « je ne veux rien faire de mal avec la modération a priori parce que je ne veux pas risquer de procès pour diffamation ». Ce qui revient à dire : « Je ferai ce que la police ou la justice m’ordonnera de faire. »
Nous essayons d’aller un peu plus loin, notamment car nous sommes responsables, dans le sens où le produit que nous avons créé, et qui nous sert à fournir notre service, nous empêche d’accéder au contenu qui est mis en ligne, à ce qui est écrit par les gens. Une toute nouvelle question se pose donc pour la modération : comment agir, comment transmettre une information, comment nous contacter pour nous informer de l’existence de contenu indésirable ? C’est pourquoi nous intervenons en amont.
Xavier Coadic est consultant pour le consortium NGI0. Activiste pour les logiciels libres/à code source ouvert, il a 15 ans d’expérience dans les cultures et les communautés open source libres (logiciels, matériel de données, wetware, décideur·euses et groupes politiques, recherche et développement).