Autoblog de la La quadrature du net

Ce site n'est pas le site officiel de la Quadrature du net.
C'est un blog automatisé qui réplique les articles de laquadrature.net

Devenir des robots pour échapper au virus ?

Mon, 06 Apr 2020 08:49:44 +0000 - (source)

Tribune d’Arthur, juriste à La Quadrature du Net.

Les projets de traçage numérique contre le virus se précisent. Ferons-nous reposer la santé de la population sur notre « robotisation » ou, au contraire, sur notre humanité ?

Sonder son entourage

Mercredi dernier, le gouvernement a annoncé son projet de logiciel pour lutter contre le coronavirus après le confinement. L’idée semble très proche de ce qui a été expérimenté à Singapour : un logiciel pour smartphone vous permettrait de garder une trace des personnes croisées dans la journée et qui utilisent aussi l’application. La détection des personnes se ferait probablement par Bluetooth, sans avoir à enregistrer le lieu où vous les aurez croisées. Plus tard, si vous réalisez que vous êtes malade, le logiciel vous permettrait d’informer ces personnes pour les inviter à se mettre en quarantaine.

En théorie, ce modèle peut se passer de l’intervention d’une administration centrale, en ne reposant que sur la coopération volontaire entre individus. Il s’agit d’une des principales vertus mises en avant par ses promoteurs, en Asie comme en Europe. Ainsi, dans l’hypothèse où le gouvernement prendrait cette voie, on pourrait déjà se réjouir qu’il n’ait pas pris celle proposée par Orange, avec l’assentiment de la CNIL, visant à se passer entièrement de notre consentement.

Toutefois, si le modèle décrit ci-dessus semble simple en théorie, nous ignorons encore tout de la façon dont il sera déployé. Derrière les promesses d’une application décentralisée et autonome, il faut toujours redouter les terribles habitudes de l’État en matière de centralisation et de surveillance. La publication immédiate sous licence libre du code de l’application serait une garantie indispensable contre un tel dévoiement. Nous ne pouvons qu’être prudent en constant que les autorités de Singapour, qui en avaient pourtant fait la promesse, n’ont toujours pas publié le code de leur application.

Cette application soulève d’autres difficultés juridiques mais le cœur du débat, politique, interroge l’évolution culturelle de notre société et son rapport à la technologie.

Un accord libre ?

Si l’application ne faisait rien sans notre accord et si son code était libre, serait-elle légale ? Le RGPD prévoit que le consentement n’est valide que s’il est « librement donné ». Ce n’est pas le cas si une personne « n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans ces conditions, l’hypothèse suivante ne serait pas conforme au RGPD : les personnes utilisant l’application sont autorisées à se déplacer librement, mais celles ne l’utilisant pas restent contraintes de rédiger une attestation de déplacement et de la soumettre au contrôle policier. Dans une telle hypothèse, le consentement ne serait pas donné librement, mais répondrait à la menace d’amendes lourdes et imprévisibles tant la police fait preuve d’arbitraire et de discriminations dans ces contrôles.

Si le gouvernement veut proposer une application licite, il devra entièrement rejeter cette hypothèse – hypothèse qui, heureusement, n’a pour l’heure pas été avancée. Enfin, même en rejetant cette hypothèse, y aurait-il encore à débattre de légalité de l’application ? Difficile de suivre un raisonnement uniquement juridique sans l’articuler à une réflexion politique : serons-nous socialement libres de refuser l’application ?

Une contrainte sociale

Les injonctions sanitaires ne viennent pas que du gouvernement, mais aussi d’une large partie de la population. Difficile de critiquer les injonctions actuelles qui invitent au confinement, mais que penser des injonctions futures, qui viendront après, lorsque la fin du confinement sera amorcée ?

Dans un monde déjà hyper-connecté, mis sous tension par la crise sanitaire, comment seront accueillies les personnes qui refuseront d’utiliser l’application ? Et celles qui, pour des raisons économiques, politiques ou en raison de handicap, n’ont tout simplement pas de smartphone ? Pourra-t-on aller travailler ou faire nos courses sans pouvoir attester de la bonne santé de nos fréquentations ? Nous laissera-t-on entrer dans tous les restaurants, centres d’accueil, bars, hôtels de jeunesse, boites de nuit, lieux de prière ou cinémas ?

De ces tensions sociales, il faut redouter un basculement culturel en faveur d’une surveillance massive de nos comportements hors-lignes. Il faut redouter l’exclusion sociale de celles et ceux qui refuseront de céder leur sociabilité et leur corps au contrôle et à l’efficacité biologique. De celles et ceux qui refuseront de devenir semblables à des machines, traçables et auditables en tout lieu.

Hélas, une telle évolution ne serait pas que sociale : l’industrie la prépare déjà depuis des années en déployant la reconnaissance faciale et la vidéo-surveillance automatisée dans nos villes. La Technopolice pourrait trouver dans cette crise sanitaire l’assise culturelle qui lui manquait tant.

Encore une fois, notre peur naturelle de mourir serait instrumentalisée, non plus seulement contre le terrorisme, mais désormais aussi contre la maladie. Nous sommes habitués à ces faux-chantages et ne sommes pas dupes. Dans le futur, notre société pourraient connaître des crises bien pires que celles en cours et, quelles que soient les menaces, la mort nous fera toujours moins peur que leurs futurs dystopiques – qu’une vie sans liberté.

Dans tous les cas, ce choix n’a pas lieux d’être aujourd’hui. La défense des libertés ne s’oppose pas à notre santé. Au contraire, elles vont de paire.

L’humanité, meilleure soignante que la technopolice

Les logiciels proposés aujourd’hui ne sont que l’éternelle réitération du « solutionnisme technologique » que l’industrie techno-sécuritaire redéploie à chaque crise. Sauf que, aujourd’hui, ce serpent de mer autoritaire constitue aussi une menace sanitaire.

Les enjeux de santé publique exigent de maintenir la confiance de la population, que celle-ci continue d’interagir activement avec les services de santé pour se soigner et partager des informations sur la propagation du virus. Les technologies de surveillance, telle que l’application envisagée par le gouvernement, risquent de rompre cette confiance, d’autant plus profondément qu’elles seront vécues comme imposées.

Face à l’éventuelle crainte de perdre leurs emplois ou d’être exclues de lieux publics, une telle défiance pourraient conduire de nombreuses personnes à mentir, à cacher leurs symptômes ou ceux de leurs proches. La « surveillance » nous aura privé d’informations précieuse.

Pour éviter une telle situation, plutôt que de prendre la voie des robots – tracés et géré comme du bétail -, nous devons reprendre la voie des humains – solidaires et respectueux. Tisser et promouvoir des réseaux de solidarité avec les livreurs, les étrangers, les sans-abris, les soignants, augmenter le nombre de lits à l’hôpital, de masques pour le public, de tests pour permettre aux personnes malades de savoir qu’elles sont malades, de prendre soin d’elle-même et de leur entourage, en nous faisant confiance les-unes les-autres – voilà une stratégie humaine et efficace.


Urgence partout, État nulle part

Sat, 04 Apr 2020 10:05:56 +0000 - (source)

Tribune de Noémie, membre de La Quadrature du Net.

Nous traversons une crise inédite tant par rapport à son origine, une pandémie mondiale, qu’à ses conséquences, une paralysie mondiale. En France, le gouvernement y a répondu en déclarant l’état d’urgence sanitaire, une notion créée pour l’occasion. Dedans, il y a « état d’urgence ». Et pourtant, la gravité qui accompagne d’ordinaire ce terme semble résonner dans le vide.

L’état d’urgence c’est un état d’exception, un espace où l’ordre juridique construit depuis des dizaines d’années est écarté pour laisser la priorité à l’efficacité, une séquence où les gouvernants s’arrogent de nouveaux pouvoirs dérogatoires sans aucun contrôle. Un moment dangereux pour les libertés, alimenté par la peur.

Alors qu’on devrait redoubler de vigilance envers l’action de l’État, que des garde-fous devraient être mis en place, que la critique devrait être partout, une grande partie d’entre nous baissons la garde. Serait-ce l’adjectif « sanitaire » accolé à l’état d’urgence qui fait diversion ? Ou plutôt une stratégie d’opportunité du gouvernement ? Tentons une explication.

L’urgence invisible

Il faut déjà se souvenir que la France a été en état d’urgence de 2015 à 2017, de quoi accoutumer la population à ce concept et le vider de sa signification, aussi bien en théorie qu’en pratique. Avec l’état d’urgence permanent, le message transmis est que le danger n’est plus exceptionnel, il est constant, il est partout. C’est cette justification qui a été utilisée pour transposer ces mesures soit disant « exceptionnelles » dans la loi « renforçant la sécurité intérieure et la lutte contre le terrorisme » (ou loi « SILT »).

Mais ce n’est sûrement pas l’unique raison de cette difficile prise de conscience. En 2015, les évènements tragiques du 13 novembre ont constitué le point de départ de l’état d’urgence, dont la mise en place était censée répondre rapidement aux maux l’ayant causé.

Aujourd’hui la temporalité semble différente. Le gouvernement n’a pas attendu l’état d’urgence pour prendre la mesure exceptionnelle et inédite que constitue le confinement. Cette fois-ci, il existe bien un évènement traumatisant qui justifierait l’exception, mais il n’est pas derrière nous. Il est devant.

Qu’attendons-nous exactement ? La fin de l’épidémie ? La fin du confinement ? D’être malade à notre tour ? Et qu’entendons-nous par « crise » sanitaire ? Le nombre de décès ? De malades ? L’aspect inédit du virus ? Les retombées économiques et sociales pour la France ?

On le voit, les circonstances justifiant l’état d’urgence sont autour de nous mais demeurent impalpables, difficiles à circonscrire, et les évènements auxquels il prétend répondre s’inscrivent dans une chronologie mouvante. En réponse, toutes les mesures d’exception qui seront prises dans le cadre de cet état d’urgence auront pour but de limiter un phénomène dont les contours ne sont pas réellement tracés, le tout couplé à un rythme effréné, comme une course contre la montre face à une menace invisible.

Nous l’attendons et dans cette attente cumulée à la peur, les critiques provenant des militant·es, citoyen·nes ou politiques sont alors inaudibles ou bien rendues illégitimes.

Cette absence de contours de ce que nous somme censés « combattre » pourrait être une explication à pourquoi ce nouvel état d’urgence échappe à une majorité de la population, à pourquoi les nouvelles mesures liberticides que nous subissons peuvent tant se confondre avec un quotidien déjà exceptionnel où nos libertés de déplacement sont contrôlées. Mais surtout, cela donne au gouvernement un blanc-seing afin de prendre des mesures aux contours tout aussi flous, dès lors qu’elles seront prises au nom de la lutte contre la pandémie. Et lorsque le gouvernement prend un nombre record d’ordonnances en l’espace de quelques jours, il nous fait plutôt regarder des courbes et des chiffres. Cela relève moins du hasard que de la stratégie.

La diversion des chiffres

En 2015, les militaires Sentinelles qui tournaient dans les rues étaient censés rassurer les citoyens face à la menace terroriste, sans pour autant que leur efficacité concrète en cas d’attaque soit réellement avérée. Cette illusion servait surtout à nous rappeler que nous devions avoir peur et ainsi l’état d’urgence pouvait passer pour légitime. Aujourd’hui, ce sont les chiffres qui jouent ce rôle. De malades, de décès, de cas, de probabilité, de seuil, ils sont là pour informer en permanence sur les raisons de cet état d’exception, tenter de nous rassurer (mais est-ce vraiment rassurant ?) tout en nous faisant suffisamment peur pour que l’état d’urgence suive son cours sans heurt ni critiques. Mais sont-ils réellement utiles ?

En réalité, les chiffres apparaissent comme le seul outil permettant de donner un corps à ce phénomène invisible. Les chiffres deviennent ainsi le seul levier pour le gouvernement, avec la police (dont les dérives et violences habituelles sont d’autant plus visibles quand on lui donne un joujou de plus pour être arbitraire) pour maîtriser la situation, ou plutôt, de prétendre la maîtriser. Toute forme de données, de statistiques lui sont utiles pour sa communication, pour le rapport de force.

On nous martèle alors que les producteurs de données c’est nous, nos comportements, nos téléphones, nos déplacements. La tendance actuelle présente la collecte de nos données comme le recours ultime contre la pandémie, alors que leur efficacité n’est en rien certaine. Cette volonté de nous identifier comme des acteurs potentiels de cette crise, alors que nous sommes les sujets qui en subissent les mesures liberticides, est une pure fiction.

En quoi les statistiques seront-elles plus efficaces que les médecins, les infirmier·es., les aide-soignant·es, les étudiant·es, les ambulancier·es qui s’épuisent, jour et nuit, à sauver les personnes infectées ? En quoi le fait de se géolocaliser résoudra-t-il la pénurie de masques, de tests et de médicaments ? Pourquoi une application nous sauverait-elle plus que la solidarité humaine et les mesures de confinement ?

Les mesures de surveillance, via nos usages des technologies, que suggèrent nos gouvernants relèvent en réalité d’une stratégie pour détourner notre attention de la cause réelle du problème que constitue l’abandon de l’hôpital public. Ils tablent sur la culpabilisation des citoyens désireux d’agir pour faire adopter des outils toujours plus intrusifs et évitent soigneusement de mettre en lumière les multiples réseaux de solidarité qui se forment, les besoins criants des associations pour aider les plus précaires, les multiples critiques de notre mode de vie qui émergent même des plus libéraux. Plutôt que d’assumer les conséquences désastreuses d’une politique de santé défaillante, leur diversion consiste à inverser les rôles, à nous faire passer, nous, pour ceux qui refuseront d’aider les autres. Comme si nous devions être coupable de vouloir protéger notre vie privée, d’exprimer notre colère, ou simplement de suggérer des alternatives.

Une fois ces manœuvres identifiées, il appartient à chacun de percevoir cette crise selon son propre prisme, de décider de sa propre manière d’agir ou d’aider. Nous la vivons toutes et tous de manière différente et la solidarité n’impose pas de se ranger derrière la seule action de l’État comme il le laisse entendre. Au contraire, les expériences que nous traversons sont inquantifiables et multiples, souvent difficiles, mais probablement très fortes dans ce qu’elles font de notre rapport aux autres et à la société, une richesse qu’il nous faudra cultiver une fois ce moment douloureux passé.


Covid-19 : l’attaque des drones

Wed, 01 Apr 2020 15:45:03 +0000 - (source)

À l’heure de la crise sanitaire, la France bascule dans un État policier. Et c’est l’occasion pour les forces de sécurité de déployer massivement leurs derniers gadgets sécuritaires. À travers le pays, la police déploie des drones pour contrôler l’application du confinement. Non seulement pour diffuser par haut-parleurs les directives du gouvernement, mais aussi pour surveiller la population, en orientant les patrouilles au sol et même en filmant celles et ceux qui leur échapperaient pour mieux les sanctionner après.

Ce déploiement inédit ressemble à une gigantesque opération de communication des autorités, qui mettent ainsi en avant leur arsenal technologique. Cette crise est instrumentalisée pour banaliser l’utilisation d’un outil de surveillance pourtant extrêmement attentatoire à nos libertés. Et le tout dans un cadre juridique flou, voire inexistant. L’État profite ainsi de l’état de sidération pour imposer ses technologies policières.

Christophe Castaner a la mémoire courte. C’est sans doute la raison pour laquelle il n’a pas hésité, la semaine dernière, à expliquer que, si le gouvernement français s’était pour l’heure abstenu de se livrer à une surenchère en matière de surveillance numérique au cours de cette crise sanitaire, c’était parce que le traçage des données « n’est pas dans la culture française ». Oubliés les bons et loyaux services de l’opérateur télécom Orange qui propose de surveiller illégalement ses abonnés pour le compte des autorités ? Oubliés aussi, les programmes de surveillance massifs des services de renseignement français ? Oubliés, le fichier TAJ ou les ventes d’armes numériques aux dictatures ?

Si, pour l’heure, le « traçage numérique » n’est pas la priorité du gouvernement pour lutter contre l’épidémie, reste le flicage tout court. Et dans cette matière, le ministère de l’Intérieur nous fait ces jours-ci une démonstration magistrale de son savoir-faire, n’hésitant pas à étaler ses dernières technologies sécuritaires. Il y a encore quelques semaines, les vidéos de drones qui survolaient des villes en Chine afin de faire respecter les consignes de gouvernement provoquaient en France incrédulité et inquiétude concernant les dangers de ce nouvel « arsenal technologique » pour les « libertés individuelles ». D’aucuns étaient tenté d’y voir une spécificité chinoise, le signe d’un État autoritaire. Moins de deux mois plus tard, tandis que chaque sortie de nos domiciles est conditionnée à une déclaration préalable, que nos déplacements font l’objet de contrôles systématiques, la police française déploie à son tour ces mêmes engins sur tout le territoire.

Il ne s’agit pourtant pas d’un outil anodin : robo-militarisation de l’espace public et aérien, pollution sonore, coût énergétique, danger pour les biens et personnes en cas de défaillance, accès non autorisé aux espaces privés, l’usage policier des drones démultiplie la surveillance.

Tour de France du déploiement des drones et de leurs usages

De rapides recherches donnent pourtant à voir plus d’une quinzaine d’exemples où les drones sont utilisés pour imposer le confinement décidé par le gouvernement et intimider la population. Et il ne s’agit pas seulement d’y brancher un haut-parleur pour diffuser les consignes des autorités, mais bien, à l’aide des caméras, de surveiller la population, de repérer les attroupements, de mieux verbaliser les contrevenants, d’orienter les patrouilles au sol et même, dans certains cas, de filmer les personnes échappant à la police pour mieux les sanctionner après. Petit tour de France de ce déploiement inédit :

A Paris, la préfecture a déployé plusieurs drones pour diffuser des messages incitant au confinement, le tout au sein d’un « dispositif complet de surveillance et de contrôle de l’espace public dans le cadre des mesures de confinement destinées à protéger la population de la transmission du coronavirus » ;

A Ajaccio, la police survole les plages avec un drone pour « prévenir, voire même verbaliser, ceux qui avaient oublié les consignes de confinement » ;

A Nice, un drone « muni d’une caméra et d’un haut-parleur accompagne (…) des patrouilles de la Police nationale » et devrait bientôt être déployé à Cannes ;

En Haute-Garonne, les gendarmes (…) | « peuvent désormais utiliser un drone pour s’assurer que les règles de confinement sont respectées par tous ». La gendarmerie « basée à Muret a pu contrôler 75 personnes et réaliser 10 procès-verbaux en trois opérations avec ce drone équipée d’une caméra avec zoom dont l’image est envoyée sur une tablette » ;

En Moselle-Sud, les drones permettent « de couvrir une zone étendue en quelques minutes et de pouvoir contrôler des endroits difficiles d’accès »

A Metz, c’est avec un drone que « les policiers du commissariat de Metz ont repéré les contrevenants qui ont, ensuite, été verbalisés ;

A Limoges, un drone a été prêté à titre gracieux à la police par les pompiers « afin de surveiller que les mesures de confinement sont respectées ». Ce drone leur « permet effectivement de voir si les gens respectent bien le confinement, s’ils respectent aussi l’espace entre eux (…) de concentrer les patrouilles et les contrôles dans les endroits où il y a des attroupements injustifiés » ;

A Nantes, la police utilise un drone avec caméra et haut-parleur « pour détecter d’éventuels contrevenants » et « faire une capture d’image si un individu venait par exemple à prendre la fuite » ;

A Montpellier, les drones servent « à faire des reconnaissances dans les quartiers sensibles à Montpellier où des délinquants ne respectent pas le confinement », leur but étant de « d’opérer une reconnaissance pour savoir si on a des points de fixation aux abords de certaines cités sensibles pour éviter des embuscades et envoyer les moyens adéquats » ;

A Rennes, où un droneavec caméra « informe, par radio, de la position des contrevenants au confinement à ses collègues patrouillant» ;

Dans le Grand Est, où un drone avec haut-parleur et caméra est utilisé pour faire respecter le confinement, et où la région dit disposer de « 18 drones de gendarmerie opérés par 30 télépilotes [qui] seront mis à contribution en fin de semaine ».

Et la liste s’allonge de jour en jour : dans le Val-d’Oise ou les Côtes-d’Armor, avec haut-parleur et caméra pour orienter les patrouilles, mais aussi à Marseille, Amiens, Lille, Granville, Saint-Malo…. Et un tel déploiement n’est évidemment pas exclusif à la France – il a malheureusement lieu en ce moment partout en Europe (c’est le cas au Royaume-Uni, en Espagne, au Portugal…).

Démultiplication des pouvoirs de la police

C’est un déploiement massif, d’une ampleur inédite, qui décuple le pouvoir de surveillance et de sanction de la police. L’autre conséquence est évidemment la banalisation et la normalisation d’un tel outil, déjà largement utilisé pour la surveillance des migrants et des manifestations. Une banalisation qui pousse chaque personne à s’habituer au survol des espaces publics par des machines. Les agents de police, quant à eux, découvrent un nouveau gadget dans leur arsenal et l’expérimentent comme bon leur semble. Un outil qui, pour les industries du secteur, n’a aujourd’hui plus rien d’ « exotique ».

Car les industriels de la sécurité ne sont évidemment jamais bien loin. Comme pour tout dispositif technopolicier, les autorités délèguent et confient une partie de leur pouvoir de police à des sociétés privés. À Nice, c’est en effet une start-up locale, « Drone 06 » qui fait patrouiller ses drones pour la police (en promettant de ne pas filmer elle-même). Et à Paris, c’est l’entreprise Flying Eye qui loue ses machines à la préfecture de police à travers un accord-cadre, son dirigeant indiquant même qu’il reçoit en ce moment « toutes les deux heures un appel pour me commander du matériel ». Alors que les services de santé sont exsangues, la police et ses partenaires privés profitent de la crise pour multiplier les investissements dans ce coûteux matériel.

Vide juridique

Il n’existe aujourd’hui aucun cadre juridique spécifique pour l’utilisation des drones par la police. Cela avait déjà été souligné en 2015, réaffirmé depuis, et c’est encore et toujours le cas aujourd’hui. En réalité, le seul cadre existant semble constitué de deux arrêtés du 17 décembre 2015, l’un portant sur les normes de conception des drones, et l’autre sur leur utilisation. Les règles fixées par ces deux arrêtés (autorisation préalable, hauteur de vol…) concernent aussi bien les drones à usage civil que ceux de la police. Néanmoins, l’arrêté sur l’utilisation des drones permet, pour des activités de police, de déroger totalement aux règles édictées : « Les aéronefs qui circulent sans personne à bord appartenant à l’État, affrétés ou loués par lui et utilisés dans le cadre de missions de secours, de sauvetage, de douane, de police ou de sécurité civile peuvent évoluer en dérogation aux dispositions du présent arrêté lorsque les circonstances de la mission et les exigences de l’ordre et de la sécurité publics le justifient »

Pour résumer, il suffit donc à la police de considérer que sa mission d’ « ordre » et de « sécurité publique » le justifie, pour ne respecter aucune règle quant à l’utilisation de drones dans l’espace public1Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police..

C’est d’autant plus étonnant que le code de la sécurité intérieure prévoit des dispositions spécifiques pour la vidéosurveillance (« vidéoprotection » dans la novlangue d’État) mais également pour les caméras-piétons. L’encadrement de ces dernières avait d’ailleurs fait suite à la pression de la Cnil, en 2015, qui avait considéré, qu’au vu des nouveaux dangers que posaient les caméras-piétons pour la vie privée, « un encadrement légal, spécifique et adapté à de tels dispositifs, est nécessaire ». Aucun appel semblable n’a été fait pour les drones. En l’état du droit, ces déploiements dignes d’un État policier sont tout simplement inadmissibles.

À La Quadrature, nous serions évidemment enclins à attaquer en justice ces déploiements pour y mettre un coup d’arrêt. Mais un tel flou juridique rend plus difficile tout contentieux. Il nous est ainsi très difficile de trouver des autorisations, arrêtés ou autres actes administratifs autorisant ces déploiements, et que nous pourrions contester devant les juridictions (or, faute de tels actes, nos recours sont voués à l’échec)2Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.. D’ailleurs, si vous en trouvez, n’hésitez pas à nous le signaler sur le forum de notre campagne Technopolice.

References   [ + ]

1. Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police.
2. Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.

Orange recycle son service de géolocalisation pour la pandémie

Sat, 28 Mar 2020 10:43:00 +0000 - (source)

Depuis des années, Orange cherche à commercialiser la mine d’or que sont nos données de géolocalisation (la liste des antennes-relais auxquelles nos téléphones se connectent au fil la journée). La pandémie semble être pour l’entreprise une bonne occasion d’ouvrir son marché.

Flux Vision

En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs : fréquentation, durée de séjour, provenance, chemins parcourus. Les statistiques fournies ne permettent évidemment pas d’identifier chaque personne, mais elles sont réalisées de façon plus ou moins légale.

Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien. En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion1Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées..

La directive ePrivacy et la loi française interdisent le traitement de données de localisation non-anonymes sans notre consentement. Dans le cadre de Flux Vision, Orange ne demande jamais ce consentement. Pour des raisons encore obscures2Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web) et autorise à déposer et récupérer des fichiers sur notre ordinateur ou téléphone pour « la production de statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif économique ne justifie de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile. et sans aucune base légale, la CNIL tolère que les opérateurs téléphoniques violent la loi « dans le domaine du tourisme, de l’aménagement du territoire et du trafic routier ». En 2013, Orange avait pu profiter de cette situation mais, coincé entre l’illégalité et la tolérance de la CNIL, l’entreprise n’a plus proposé d’offre nouvelle depuis 7 ans.

Jusqu’à ce que l’occasion se présente enfin. Une crise sanitaire, un gouvernement défaillant, des stratégies à inventer, tout ce qu’il faut pour proposer un nouveau produit.

L’occasion de la crise

Le commissaire européen Thierry Breton, lui aussi, a vu l’occasion d’aider l’industrie qui l’a nourri : il a réuni les huit principaux opérateurs européens (Orange, Deutsche Telekom, Vodafone…) pour annoncer entre grands-techniciens non-médecins leur stratégie pour lutter contre la pandémie en surveillant la population. De quoi mettre en avant leurs offres commerciales.

Et justement, de son côté en France, le PDG d’Orange, Stéphane Richard, enchaîne les interventions média avec une stratégie qui semble assez claire : recycler son offre Flux Vision de 2013 pour la crise actuelle. Si Orange peut déjà informer les villes sur les mouvements de leurs touristes, il le pourra aussi pour leurs malades et leurs confinés. Et si Orange joue les bons élèves en temps de crise, il aura ouvert un nouveau marché durable. Il se sera même rapproché d’autres marchés similaires, encore peu avouables, que ce soit pour tracer les manifestant⋅es, les jeunes des quartiers pauvres, les sans-abris…

Une bien belle occasion pour se diversifier dans le sécuritaire.

Le soutien de la CNIL

Et que fait la CNIL ? Mediapart nous apprend qu’elle pousse le gouvernement vers certaines solutions qui, en pratique, sont principalement celles d’Orange.

Pour se justifier, la CNIL reprend le vocabulaire fallacieux d’Orange, qui se vante de fournir des statistiques « agrégées » afin de donner l’impression qu’il respecte la loi. Or, pour fournir des statistiques de déplacement « anonymes », Orange analyse d’abord des données personnelles, non-anonymes, sans le consentement des personnes. C’est illégal.

La CNIL aurait dû exiger qu’aucune statistique d’Orange ne puisse se fonder sur autre chose que des données purement techniques, sans lien avec les personnes, tel que le nombre de connexions aux antennes-relais. Par exemple, bien qu’on ne sache pas exactement comment Paris a évalué à 17% la baisse de sa population depuis le confinement, la ville aurait simplement pu comparer entre deux dates le nombre de connexions à ses antennes, démontrant qu’il n’est pas nécessaire de violer la loi pour produire des chiffres.

Une surveillance plus poussée

Hélas, la CNIL ne se contente pas de faire la promotion des offres commerciales d’Orange. Elle invite aussi le gouvernement à adopter une nouvelle loi dans l’hypothèse où il faudrait des mesures « plus poussées » – par exemple, cartographier chaque malade ou confiné, sans leur consentement. Pourtant, la directive ePrivacy interdit toute loi de ce type : les données de localisation ne peuvent être collectées sans le consentement des personnes que pour lutter contre les infractions (et seulement les crimes les plus graves, d’après les juges de l’UE) et non pour lutter contre la propagation d’un virus3Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de localisation sans le consentement des personnes si cela est justifié par la « sécurité nationale » ou la « sécurité publique ». La « sécurité nationale » est définie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justifie la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc exclu de la notion de « sécurité publique ».. Contrairement à ce qu’on peut lire dans la presse, le RGPD n’est pas à même d’autoriser le traitement de données de localisation. Seule la directive ePrivacy le pourrait. Elle l’interdit en l’espèce.

On aimerait croire que, si la CNIL invite le gouvernement à violer le droit européen, ce n’est pas simplement pour la grandeur industrielle du pays, mais aussi pour protéger notre santé. Sauf que ni la CNIL, ni Orange, ni personne n’a été capable de démontrer la nécessité médicale de surveiller sans leur accord les personnes confinées ou malades – surtout quand celles-ci sont indétectables en l’absence de test. Alors que Singapour propose une application basée sur un protocole ouvert permettant aux personnes de révéler volontairement leurs déplacements, pourquoi la CNIL défend-t-elle la proposition d’Orange, contraire au droit, beaucoup moins respectueuse de nos libertés et qui, elle, n’a fait aucune preuve de son intérêt contre le virus ?

Pour l’instant, le gouvernement semble insensible aux appels d’Orange, occupé par des choses plus importantes. Bien. Contrairement à la CNIL, nous n’hésiterons pas à l’attaquer s’il cédait aux ambitions hasardeuses des profiteurs de crise.

References   [ + ]

1. Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées.
2. Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web) et autorise à déposer et récupérer des fichiers sur notre ordinateur ou téléphone pour « la production de statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif économique ne justifie de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile.
3. Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de localisation sans le consentement des personnes si cela est justifié par la « sécurité nationale » ou la « sécurité publique ». La « sécurité nationale » est définie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justifie la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc exclu de la notion de « sécurité publique ».

Surveillance publicitaire : la CNIL se défile de nouveau sur le consentement aux cookies

Thu, 26 Mar 2020 17:13:47 +0000 - (source)

La période est à la priorité d’un capitalisme toxique face au respect des libertés. Les entreprises du numérique comptent bien exploiter nos difficultés face à la crise sanitaire pour leurs profits. Si la population reste connectée plus longtemps, il faut lui afficher plus de pub ciblée. La CNIL vient ainsi de repousser encore une fois son rôle d’autorité chargée de faire respecter le RGPD.

Pour rappel, en juillet 2019, la CNIL publiait des lignes directrices où elle rappelait que le RGPD exige que le dépôt de cookie et autres traceurs se fasse avec notre « consentement explicite ». C’est-à-dire que notre consentement ne peut plus être « déduit » du simple fait que nous sommes informé·es par un vulgaire « bandeau cookie ». Tant que nous ne cliquons pas explicitement sur un bouton « J’accepte » (en ayant la même possibilité de refuser), il est strictement interdit de nous pister et de réaliser des profits sur nos données personnelles.

Cette règle était déjà connue et en vigueur depuis l’entrée en application du RGPD, en mai 2018 – date à laquelle ces pratiques délinquantes de l’industrie publicitaire auraient dû cesser et être sanctionnées. Néanmoins, en juillet dernier, la CNIL avait explicitement annoncé qu’elle ne sanctionnerait le non-respect de ces règles qu’à partir de 6 mois après la publication d’une recommandation destinée à décrire les « modalités pratiques possibles de recueil d’un consentement conforme aux règles applicables » (voir notre communiqué de réaction). Un nouveau délai d’un an « bonus » pour la surveillance publicitaire illégale. Nous avions évidemment attaqué cette décision devant le Conseil d’État, qui avait rejeté notre demande (voir notre article).

Or, hier matin, l’industrie publicitaire publiait dans la presse une tribune larmoyante avec une injonction : « Les annonceurs ont mis en suspens leurs investissements. Dans ce contexte, il faut que certaines règles, qui doivent être mises en place par la CNIL sur la protection de la vie privée, dans le prolongement du RGPD, fassent l’objet d’un moratoire ». Quelques heures à peine plus tard, la CNIL s’exécute et décide de reporter de nouveau l’application du RGPD en matière de surveillance publicitaire. Elle nous informe ainsi par courrier que : « Afin d’aborder dans un contexte plus serein ce sujet majeur pour la protection des données personnelles comme pour l’économie de l’écosystème publicitaire, la présentation du projet de recommandation est reportée à une date ultérieure, qui sera fixée en fonction de l’évolution de la situation. »

L’industrie publicitaire pourra donc continuer pendant le confinement et les possibles reprises à traquer les individus en ligne pour les manipuler le mieux possible dans des actes de consommation en violant les libertés.

Si l’on peut tout à fait comprendre que la période soit difficile en termes de travail des agent·es (en remerciant les agent·es consciencieus·es qui souhaitent autant que nous l’arrêt de ces pratiques délictueuses), rien n’empêchait la CNIL d’indiquer que ces règles sur le consentement sont en vigueur depuis 2018, ou même de raccourcir d’autant le délai prévu pour l’application de la recommandation.

La toxicité de la surveillance publicitaire en ligne n’est plus à démontrer tant ses conséquences sociales, écologiques et politiques sont criantes, au point que la question de son interdiction se pose même sérieusement outre atlantique. Il est en effet temps de changer ce système de dépendance à la violation des libertés à des fins publicitaires en économisant aux réseaux ce surcoût indu. C’est aussi le bon moment pour les personnes et les entreprises qui dépendent de ces revenus qui prouvent encore une fois leurs instabilités pour les abandonner et réfléchir aux adaptations requises.

En cette période de confinement et d’augmentation de nos usages d’Internet, La Quadrature du Net et Résistance à l’Agression Publicitaire appelons encore une fois toutes et tous à Bloquer la pub sur le Net en suivant les indications sur bloquelapub.net et en faisant découvrir ces outils à vos proches face à cette industrie délinquante et à ce nouveau recul de l’autorité de contrôle dans l’application de sa mission.

La Quadrature du Net avec Résistance à l’Agression Publicitaire (R.A.P.)


Contre le COVID-19, la géolocalisation déjà autorisée

Thu, 19 Mar 2020 12:53:00 +0000 - (source)

Face au COVID-19, de nombreux États annoncent leur intention de recueillir massivement des données de géolocalisation auprès des opérateurs de communication. En Chine, aux États-Unis, en Italie, en Israël, en Corée du Sud, en Belgique. En dépit d’un amendement scélérat proposé par l’opposition, une telle ambition est pour l’heure absente du projet de loi français dédié à l’épidémie, actuellement débattu au Parlement. Et pour cause : depuis 2015, la loi renseignement semble déjà autoriser de telles mesures. L’an dernier, nous avons attaqué cette loi devant le juge de l’Union Européenne, dont nous attendons bientôt la décision. Prenons ici un moment pour en rappeler les dangers.

La loi renseignement adoptée en 2015 permet à l’État de surveiller la population pour une très large variété de finalités, notamment « pour le recueil des renseignements relatifs à la défense [des] intérêts économiques, industriels et scientifiques majeurs de la France ». Si, comme Emmanuel Macron, on admet facilement que « cette crise sanitaire sans précédent aura des conséquences […] économiques majeures », il faut conclure que la loi renseignement autorise déjà l’État à surveiller la population afin de lutter contre l’épidémie. Rien de surprenant au regard de la démesure des pouvoirs que lui a conférés le Parlement en 2015.

Parmi les mesures autorisées par la loi renseignement, l’article L851-1 du code de la sécurité intérieure prévoit que les services de renseignement peuvent exiger la transmission par les opérateurs téléphoniques des « données techniques relatives […] à la localisation des équipements terminaux utilisés » par leurs clients. En application de l’article L851-4, ces données peuvent même être « recueillies sur sollicitation du réseau et transmises en temps réel par les opérateurs ». Pour exiger ces transferts, l’administration agit seule, sans le contrôle ou l’autorisation préalable d’un juge.

L’État n’informe jamais la population quant à la façon dont il utilise concrètement la loi renseignement, celle-ci organisant une totale opacité. Nous n’avons à ce stade aucune information permettant de corroborer l’utilisation de ces pouvoirs de surveillance dans le cadre de la lutte contre l’épidémie du virus COVID-19. Mais, en droit, rien n’interdit à l’État d’user de ces pouvoirs, par exemple, pour identifier les personnes se déplaçant de villes en villes ou ayant visité certains lieux sensibles, voire pour s’assurer que les injonctions de confinement soient suffisamment respectées1L’article L821-2 du code de la sécurité intérieure prévoit que le Premier ministre autorise la mise en œuvre des techniques de renseignement à l’encontre de une ou plusieurs personnes qui, lorsque leur nom n’est pas déjà connu, sont « désignées par leurs identifiants ou leur qualité ». Aucun contingent ne limite le nombre de personnes pouvant être géolocalisées en même temps. Le notion de « qualité » des personnes surveillées est si large et indéfinie qu’il faut redouter quelle soit utilisée pour viser des caractéristiques générales telles « a fréquenté tel lieu » ou « a voyagé entre telle ville et telle ville à telle date ». S’agissant des personnes dont le nom est déjà connu des pouvoirs publics, telles que les malades dépistés, l’autorisation du Premier ministre pourrait les viser plus directement, par exemple pour surveiller leurs déplacements..

Si, aujourd’hui, l’administration utilisait la loi de 2015 en ce sens, serait-ce conforme au règlement général sur la protection des données (RGPD) ? En théorie, les données sensibles, telles que les données de santé que révélerait une telle surveillance (par exemple le fait que, en raison de ses déplacements, une personne présente un haut risque d’avoir contracté le virus), peuvent bien être traitées « pour des motifs d’intérêt public dans le domaine de la santé publique ».

À condition toutefois de respecter le reste du RGPD, ce qui n’est pas du tout le cas de la loi renseignement : une fois ces données collectées, cette loi laisse l’administration les ré-utiliser ensuite pour des finalités étrangères à la lutte contre l’épidémie (fichage politique, lutte contre la fraude, etc.). Si l’article L822-2 du code de la sécurité intérieure impose une suppression des données brutes de localisation au bout de 4 ans, il n’en est rien pour les « fiches » constituées sur la base de ces données : ni la durée de conservation, ni l’utilisation ultérieure de ces fiches n’est limitée. Cette violation du droit européen est une de nos principales critiques contre le texte dans notre affaire devant la Cour de justice de l’Union européenne – dont la décision devrait être rendue dans les mois à venir.

Dans cette situation de crise, en dépit des pressions politiques, le gouvernement doit résister à toute fuite-en-avant sécuritaire. Face au risque d’abus engendré par les pouvoirs démesurés que confère d’ores-et-déjà la loi renseignement à l’État, il doit également s’engager à faire immédiatement la transparence sur toutes les mesures de surveillance de la population mises en œuvre pour lutter contre la propagation du COVID-19. En attendant que les pouvoirs exorbitants que lui octroie la loi renseignement soient battus en brèche.

References   [ + ]

1. L’article L821-2 du code de la sécurité intérieure prévoit que le Premier ministre autorise la mise en œuvre des techniques de renseignement à l’encontre de une ou plusieurs personnes qui, lorsque leur nom n’est pas déjà connu, sont « désignées par leurs identifiants ou leur qualité ». Aucun contingent ne limite le nombre de personnes pouvant être géolocalisées en même temps. Le notion de « qualité » des personnes surveillées est si large et indéfinie qu’il faut redouter quelle soit utilisée pour viser des caractéristiques générales telles « a fréquenté tel lieu » ou « a voyagé entre telle ville et telle ville à telle date ». S’agissant des personnes dont le nom est déjà connu des pouvoirs publics, telles que les malades dépistés, l’autorisation du Premier ministre pourrait les viser plus directement, par exemple pour surveiller leurs déplacements.

Vidéosurveillance automatisée : le tribunal de Marseille refuse l’urgence

Thu, 12 Mar 2020 11:54:16 +0000 - (source)

Le tribunal administratif de Marseille vient de rejeter notre action en référé contre la ville de Marseille. Nous lui demandions d’annuler en urgence le déploiement de logiciels d’analyse automatisée sur les caméras de la ville (voir notre requête et l’ordonnance du juge).

Le tribunal nous rejette au motif que nous aurions dû attaquer le marché public conclu dès 2018 par la ville pour déployer ces dispositifs. Nous serions aujourd’hui hors délai pour les contester, quand bien même nous n’avons pu en prendre effectivement connaissance que très récemment et que leurs caractéristiques ont évolué et continueront d’évoluer.

Il faut bien comprendre que notre recours est rejeté pour une raison purement procédurale. Ce n’est en aucun cas le fond du dispositif qui est validé. La juge des référés n’a pas tranché sur la question de l’atteinte aux libertés que nous dénonçons.

Toutefois, en nous disant hors délai, le tribunal conforte les villes sécuritaires dans leur stratégie anti-démocratique : déployer leurs projets dans l’opacité la plus totale afin de freiner toute contestation, politique comme juridique. La stratégie de la mairie consiste depuis le début à œuvrer dans le silence : c’est au détour d’articles de presse que nous avons appris que cette surveillance serait mise en place d’ici fin 2019. Il aura fallu attendre le dernier moment pour qu’une lettre de la mairie du 31 décembre 2019 nous confirme qu’était mis en œuvre « un environnement test de 50 caméras ».

Mais qu’importe, la lutte est loin d’être terminée. Elle ne fait que commencer et ce recours n’en est que la première étape.

Par cette action en référé, nous espérions pouvoir utiliser une voie rapide et directe pour attaquer de tels systèmes qui se déploient déjà partout en France. Le tribunal a mis un coup d’arrêt à la contestation du dispositif marseillais. Mais, s’il nous faut prendre une autre voie contentieuse pour y parvenir, nous la prendrons, et reviendrons attaquer ce dispositif en surmontant l’obstacle posé aujourd’hui. Au-delà de Marseille, il faudra attaquer bien d’autres systèmes de vidéosurveillance automatisée, que nous avons déjà pu identifier à Valenciennes, à Nice, à Toulouse, à La Défense ou dans les Yvelines.

L’obstacle rencontré aujourd’hui démontre combien il est urgent de déchirer l’opacité imposée par nos adversaires. Inscrivez-vous sur Technopolice.fr pour nous aider à documenter puis déconstruire leur monde sécuritaire. Si vous disposez de documents, nous avons une plateforme pour vous permettre de nous les transmettre en toute discrétion. Enfin, nous avons toujours besoin de vos dons qui nous permettent d’engager de telles actions contentieuses.


Loi audiovisuelle : Aurore Bergé s’attaque à la neutralité du Net

Fri, 06 Mar 2020 14:50:54 +0000 - (source)

La commission culture de l’Assemblée nationale vient de voter en première lecture le projet de loi audiovisuelle. Cette loi est particulièrement large et dense : nous reviendrons petit à petit sur chaque point plus tard (nous avons déjà annoncé notre intention de détruire la HADOPI dans ce contexte).

Le vote d’hier a ajouté une nouvelle menace, considérable. Aurore Bergé, rapporteure du texte, a fait adopter une série d’amendements pour lutter contre la diffusion illicite d’événements sportifs. Les entreprises qui possèdent les droits de diffusion (Bein Sport, Canal+, et autres ayants-droit) pourront obtenir du juge de nouvelles mesures.

Depuis 2004, le juge des référés peut exiger des fournisseurs d’accès à Internet (FAI) qu’ils bloquent l’accès à un site Internet diffusant illégalement des contenus1Article 6, §8, de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.. L’article 23 de la loi audiovisuelle reprend ce principe en visant spécifiquement les sites « dont l’objectif principal ou l’un des objectifs principaux est la diffusion sans autorisation de compétitions ou manifestations sportives ». La nouveauté introduite par Aurore Bergé est que le juge pourra désormais exiger que les FAI bloquent tout nouveau site apparaissant au cours d’une période pouvant s’étendre jusqu’à 12 mois, et ce alors même que ce site « n’a pas été identifié à la date » où le juge aura pris sa décision.

Problème : les FAI ne pourront pas savoir quels sites bloquer puisque ceux-ci n’auront « pas été identifié[s] » dans la décision judiciaire. Un autre amendement parachève l’arbitraire et précise que les ayants-droit leur communiqueront « les données d’identification nécessaires ». Un autre problème surgit alors : les ayants-droit n’ont aucune autorité pour qualifier juridiquement des faits et il reviendra donc à chaque FAI d’évaluer seul (sans juge) la licéité des sites signalés. Surtout, les ayants-droit ne pourront pas leur signaler l’intégralité des sites (virtuellement infinis) que le juge a pourtant ordonné de bloquer. Pour respecter l’injonction, le FAI n’aura d’autre choix que de les détecter lui-même, typiquement en analysant les données transmises sur son réseau afin d’y déceler la rediffusion de tel match de foot ou de tel tournoi de pétanque.

Qu’il s’agisse d’évaluer les signalements ou de détecter les sites illicites, un tel système marque une rupture frontale avec la neutralité du Net. Les FAI sont extirpés de leur rôle passif pour endosser, de force, une mission de surveillance et de modification active des informations qu’ils acheminent, hors de tout encadrement judiciaire.

Ce nouveau système viole confortablement les lois européennes, ne serait-ce que l’article 15 de la directive eCommerce qui interdit d’imposer aux FAI « une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ». Le délire autoritaire d’Aurore Bergé est tel que même Franck Riester, ministre de la culture et auteur de ce projet de loi, s’en est ému en commission : « est-ce qu’on ne va pas trop loin ? […] il faut des garanties sur les libertés, il faut être proportionné ». Piétiner un principe aussi fondamental que la neutralité du Net, oui, c’est aller trop loin.

Le projet de loi sera débattu en séance publique à l’Assemblée nationale à partir du 31 mars. Nous continuerons d’ici-là notre analyse des autres points de ce texte.

References   [ + ]

1. Article 6, §8, de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

Première victoire en justice contre la reconnaissance faciale !

Thu, 27 Feb 2020 14:03:01 +0000 - (source)

Le 3 février dernier, La Quadrature du Net, La Ligue des Droits de l’Homme, la FCPE et la CGT Educ’Action des Alpes Maritimes étaient en audience devant le tribunal administratif (TA) de Marseille contre la mise en place d’un système de reconnaissance faciale à l’entrée de deux lycée de la région PACA.

Le TA a rendu sa décision hier, en statuant sur l’incompétence de la région PACA en matière d’encadrement et de surveillance des élèves annulant, de fait, la délibération lançant l’expérimentation du dispositif.

Ensuite, le tribunal reconnaît que cette délibération ne respecte pas le RGPD car les élèves n’ont pas pu donner de « consentement à la collecte de données personnelles de manière libre et éclairée », du fait de la relation d’autorité qui lie les élèves à l’administration de l’établissement.

Enfin, le tribunal, comme l’avait déjà souligné la CNIL à l’automne, a jugé que la reconnaissance faciale est une mesure disproportionnée pour gérer les entrées et sorties d’un lycée, d’autant que des mesures alternatives bien moins attentatoires aux droits existent pour ce faire. À ce sujet, le rapporteur public avait déclaré lors de l’audience que « la région utilise un marteau piqueur pour frapper une fourmi ».

En France, il s’agit de la première décision juridictionnelle sur la reconnaissance faciale, et de la première victoire contre elle ! Nous espérons qu’elle sera suivie d’autres décisions similaires menant à l’interdiction totale de la reconnaissance faciale. Pour rappel, nous publiions en décembre dernier une lettre commune avec 124 organisation appelant à interdire tous ses usages sécuritaires, notamment à l’adresse des équipes candidates aux élections municipales.

Lundi 2 mars 2020, toujours au tribunal administratif de Marseille, aura lieu l’audience de notre autre recours déposé avec la LDH contre la vidéosurveillance automatisée (qui repère entre autres les « comportements suspects » des individus sur la voie publique).

Défendre les libertés, ça n’a pas de prix, mais ça a un coût. Merci de faire un don si vous le pouvez.


Gendnotes, faciliter le fichage policier et la reconnaissance faciale

Tue, 25 Feb 2020 14:29:16 +0000 - (source)

Le gouvernement vient d’autoriser la gendarmerie à déployer une application mobile qui facilite la collecte de photos et d’informations sensibles (religion, politique, sexualité, prétendue origine raciale) et leur transfert dans des fichiers extérieurs – tel que le TAJ, qui permet la reconnaissance faciale, ou les fiches des services de renseignement, qui ont une activité de surveillance politique.

Samedi, a été publié un décret qui autorise les gendarmes à utiliser sur leur tablette l’application Gendnotes.

Cette application existe et est utilisée depuis plusieurs années sans cadre juridique : elle remplace la prise de note sur papier (qui devait être copiée sur ordinateur une fois rentré à la gendarmerie) par une prise de note directement informatique réalisée depuis le terrain.

Le décret précise désormais que, avec Gendnotes, les gendarmes peuvent prendre en photo n’importe quelle personne qu’ils suspectent d’avoir commis une infraction. Ils peuvent aussi enregistrer des informations sur leur religion, politique, sexualité ou prétendue origine raciale, à la simple condition que de telles informations soient « absolument nécessaires » aux fichiers de police judiciaire (pour lutter contre les crimes, délits, et certaines contraventions, telles que le « trouble à la sécurité » ou « l’atteinte à l’autorité de l’État ») ou de police administrative (les fiches des services de renseignement, doit-on redouter). Cette absolue nécessité n’est, en pratique, jamais vérifiée. La CNIL précise aussi « que l’enregistrement du code PIN ou du code PUK pourra être réalisé dans le cadre d’enquêtes afin de déverrouiller l’appareil », sans qu’il n’apparaisse clairement si cet enregistrement est toujours prévu ou non dans le décret.

Comme l’explique la CNIL, ces photos et informations sont au moins transmises au LRPGN (le logiciel de rédaction des PV de la gendarmerie)1La CNIL explique dans son avis du 3 octobre 2019 que Gendnotes « vise à dématérialiser la prise de notes […] en vue notamment d’alimenter de manière automatisée l’application métier « Logiciel de Rédaction des Procédures de la Gendarmerie Nationale » dénommée LRPGN »., qui les transmet à son tour au TAJ (traitement des antécédents judiciaires) si les gendarmes décident d’ouvrir une procédure2La CNIL explique dans son avis du 11 octobre 2012 que « les logiciels de rédaction des procédures de la police (LRPPN) et de la gendarmerie (LRPGN) alimentent, en début de procédure, le traitement d’antécédents TAJ ».. Dans ce cas, les informations seront conservées dans le TAJ pendant 20 ans, accessibles par toute la police et la gendarmerie et les photos pourront être utilisées ultérieurement par un système de reconnaissance faciale pour identifier des personnes (si l’application Gendnotes n’intègre pas de logiciel de reconnaissance faciale, elle facilite le transfert des photos vers le TAJ qui, lui, l’organise).

Par exemple, lors d’une manifestation ou d’un contrôle routier, les gendarmes pourront, lors d’une fouille, d’un contrôle d’identité ou autre interaction avec une personne qu’ils jugent suspecte, inscrire une identité et/ou une photo, avec si besoin plus d’informations, au sein de cette application. Si les gendarmes décident ensuite d’ouvrir une procédure, ces informations seront inscrites au TAJ.

Le décret semble au moins illégal en ce qu’il échoue à définir sa finalité ou en quoi il serait absolument nécessaire au travail des gendarmes. Il indique que le but de Gendnotes est de faciliter la transmission des données enregistrées vers « d’autres traitements de données », sans définir ni limiter ces autres traitements (ce que la CNIL lui avait pourtant demandé de faire). On peut redouter que Gendnotes vienne nourrir une infinité de fichiers, des services de renseignements par exemple, et soit dévoyé à des fins de surveillance politique.

Les conséquences d’un tel dévoiement sont considérablement aggravées par l’automatisation des ces enregistrement et échanges d’informations. Jusqu’alors, le risque de surveillance politique était mécaniquement limité par la dépendance au papier. Cette limite matérielle disparaît aujourd’hui. Les fichiers se multiplient et on automatise les facilités d’échanges entre ces différents fichiers en démultipliant à chaque fois les possibilités d’abus. Encore une fois ce ne sont pas les décrets qui encadrent les pratiques policières, mais les pratiques de la police qui font loi.

References   [ + ]

1. La CNIL explique dans son avis du 3 octobre 2019 que Gendnotes « vise à dématérialiser la prise de notes […] en vue notamment d’alimenter de manière automatisée l’application métier « Logiciel de Rédaction des Procédures de la Gendarmerie Nationale » dénommée LRPGN ».
2. La CNIL explique dans son avis du 11 octobre 2012 que « les logiciels de rédaction des procédures de la police (LRPPN) et de la gendarmerie (LRPGN) alimentent, en début de procédure, le traitement d’antécédents TAJ ».

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles