Autoblog de la La quadrature du nethttp://www.laquadrature.net/http://www.laquadrature.net/ Pour l’interopérabilité des réseaux sociauxhttps://www.laquadrature.net/?p=22424http://isyteck.com/autoblog/quadrature/index.php5?20231204_144516_Pour_l___interoperabilite_des_reseaux_sociauxMon, 04 Dec 2023 13:45:16 +0000L’interopérabilité, c’est-à-dire la capacité pour différents systèmes de communiquer entre eux, est omniprésente dans notre quotidien. Partout où sont établis des standards – dans la langue et l’écriture, dans la circulation routière, dans les pièces mécaniques de nos machines, dans la connectique de nos appareils électroniques, dans les formats de nos fichiers numériques –, un certain nombre de règles permettent à deux systèmes distincts de fonctionner comme un seul, formant un écosystème.

Le monde informatique est fait de ces règles que l’on appelle « protocoles ». Certaines entreprises font le choix de concevoir plutôt des protocoles propriétaires, c’est-à-dire de poser des barrière pour bloquer la communication avec d’autres systèmes qui ne seraient pas sous leur contrôle. Cela leur permet de s’assurer que les personnes qui utilisent leurs logiciels ou leurs matériels soient dépendantes de l’entreprise. L’entreprise Apple, par exemple, est connue pour fonder l’ensemble de son modèle économique sur ces stratégies de fermeture : si la communication entre les différents appareils et logiciels Apple est possible, elle est rendue difficile voire impossible avec d’autres appareils et logiciels n’appartenant pas à la marque. Posséder un ordinateur Apple implique d’utiliser le système d’exploitation d’Apple, d’utiliser la connectique Apple et d’intégrer des logiques d’utilisation souvent très différentes, rendant les utilisateur·rices captif·ves de leur écosystème.

Schéma de l'écosystème privateur de l'entreprise Apple

Les réseaux sociaux commerciaux comme Facebook, Twitter, Instagram, Youtube, TikTok et bien d’autres reposent sur l’absence de protocole pour communiquer vers l’extérieur : ils empêchent leurs utilisateur·rices d’opter pour d’autres moyens de communiquer et d’échanger des informations. Les contenus publiés sur l’un de ces réseaux sociaux ne sont accessibles qu’en passant par celui-ci. Toute communication vers l’extérieur est volontairement bloquée et il est parfois même nécessaire de se créer un compte pour consulter un contenu via une interface imposée (interface web ou application).

La stratégie des réseaux sociaux commerciaux fonctionne sur une logique de régie publicitaire. Pour être rentables, il leur faut rassembler un public auquel exposer la publicité de leurs annonceurs. Dans un premier temps, ces entreprises s’emploient à créer un logiciel de réseau social désirable, en mettant l’accent sur des fonctionnalités innovantes pour attirer des utilisateur·rices. L’usage de protocoles fermés n’est alors pas encore une nécessité. On se rappelle par exemple de Facebook, qui, entre 2008 et 2015, supportait le protocole XMPP dans sa messagerie privée, ce qui permettait à ses utilisateur·rices d’échanger avec les personnes ayant un compte AIM, ou utilisant d’autres messageries basées sur ce protocole. Ils constituent de cette manière une grosse base d’utilisateur·rices afin de renforcer ce qu’on appelle l’« effet réseau » de leur logiciel : plus il y a des personnes présentes sur le réseau social, plus cela en attire de nouvelles.

Une fois un certain seuil d’utilisateur·rices atteint, pour avoir une stratégie publicitaire plus offensive, les réseaux sociaux commerciaux investissent l’ensemble de leurs ressources pour servir la publicité. Cela a pour effet de dégrader le service, notamment en réorganisant les contenus créés sans but commercial en les diluant dans ceux « sponsorisés ». Le réseau social commercial n’est alors plus aussi attrayant pour le service qu’il offre, mais seulement en ce qu’il permet de communiquer avec les gens qui y ont un compte. La stratégie de mise en captivité devient alors une nécessité. Les techniques utilisées pour empêcher les utilisateur·rices de partir et en attirer d’autres malgré la dégradation du service passent alors par la fermeture des protocoles – voire l’impossibilité stricte de communiquer vers l’extérieur –, la complexification de l’accès au contenu pour les personnes non connectées, et bien d’autres obstacles.

Ce fonctionnement en silos semble être la norme aujourd’hui car cette méthode de captivité est efficace : alors qu’une grande partie des utilisateur·rices d’un réseau social commercial comme Facebook sont très critiques de ses méthodes de surveillance commerciale, de ses méthodes de modération, de son volontarisme à appliquer la censure réclamée par les États, de sa manière d’afficher en priorité des contenus publicitaires, iels continuent de l’utiliser car tous·tes leurs ami·es y sont.

Table des matières

Le caractère commercial à l’origine de la nécessité de centralisation

Modération, censure, espaces d’expression

L’obligation d’interopérabilité des réseaux sociaux comme outil de leur régulation

Conclusion

Schéma de l'origine de la surveillance et de la censure sur les réseaux sociaux et solutions apportées par l'interopérabilité

Le caractère commercial à l’origine de la nécessité de centralisation

Dissection d’un GAFAM, analyse technique de la logique de centralisation

Pour mieux comprendre comment les réseaux sociaux commerciaux concentrent autant de pouvoir, commençons par analyser ce qui les compose. Nous prendrons ici l’exemple de Facebook, mais il en est de même pour Youtube, Tiktok et les autres :

Schéma d'un réseaux social centralisé

Lorsque l’on parle de Facebook, on parle en réalité de plusieurs choses différentes. Premièrement, pendant longtemps, Facebook était le nom de l’entreprise qui commercialise le réseau social (depuis 2021, cette entreprise s’appelle Meta). Deuxièmement, c’est le nom du logiciel de réseau social. Ce logiciel détermine les règles applicables au service : il prévoit non seulement les fonctionnalités (l’échange de contenus privés, publics, d’images, etc.), mais aussi les conditions à respecter pour en bénéficier. Ce logiciel de réseau social détermine ainsi les restrictions, comme le fait d’empêcher de pouvoir communiquer avec d’autres logiciels que ceux de l’entreprise, via l’obligation d’utiliser des protocoles propriétaires. Ce logiciel est hébergé uniquement sur les serveurs de l’entreprise, ce qui garantit à cette dernière d’être la seule à pouvoir administrer le réseau social (c’est aussi ce qui lui confère une responsabilité juridique particulière). Troisièmement, Facebook est aussi le nom des interfaces qui permettent d’accéder au réseau social, que l’on appelle « clients ». Il s’agit à la fois de l’interface web accessible depuis un navigateur que des applications mobiles que l’internaute installe sur son smartphone.

Les stratégies de protocoles fermés sont appliquées à tous les étages techniques, ce qui confère au réseau social cette nature centralisée :

  • il n’est pas possible d’héberger les contenus que l’on poste sur le réseau social ailleurs que sur les serveurs de l’entreprise ;
  • le logiciel est construit de manière à ce qu’il ne soit pas possible d’accéder directement à des contenus publiés sur un autre réseau social ;
  • la connexion au logiciel de réseau social ne peut se faire que via des clients développés et proposés par le réseau social, il est impossible d’utiliser des clients alternatifs (ou alors de manière très difficile en raison du manque de documentation des API pour les développeurs·euses tiers·ces ou de leurs restrictions d’usages).

Le principe d’interopérabilité veut précisément briser ces stratégies de centralisation technique qui sont à l’origine de la concentration du pouvoir des réseaux sociaux sur leurs utilisateur·rices. L’interopérabilité rendrait au contraire toutes ces choses possibles : héberger ses contenus où l’on veut, employer le logiciel de réseau social que l’on veut pour communiquer avec qui on veut, ou encore utiliser un client de son choix.

Centraliser et enfermer pour mieux surveiller

Le fonctionnement en silo des réseaux sociaux commerciaux maintient leurs utilisateur·rices captif·ves et leur permet d’imposer leurs conditions. Leur modèle économique étant basé sur la publicité ciblée, ils traitent un très grand nombre d’informations. Premièrement, les réseaux sociaux collectent les données fournies directement par l’utilisateur·rice. Cela varie d’un réseau social à un autre (en fonction de la politique propre à chaque service), mais on retrouve souvent l’âge, le nom, la nationalité, les centres d’intérêts, etc. Deuxièmement, les réseaux sociaux déduisent des informations à partir de l’usage fait par l’internaute. Ils peuvent recréer le graphe social (c’est-à-dire avec qui l’internaute interagit et à quelle fréquence), mais ils peuvent également traiter les métadonnées, c’est-à-dire ce qui entoure une communication : heure, fréquence et lieu de connexion, type de matériels et de logiciels utilisés, temps passé sur un contenu, etc.

Le but de cette collecte d’information est de dresser des profils types d’utilisateur·rices afin de leur adresser la publicité la plus ciblée possible – donc la plus « efficace » possible commercialement parlant. Par exemple, si vous êtes abonné·e à une page ou un compte d’un bar LGBT et que vous « likez » des posts de la Marche des Fiertés, le réseau social pourra commencer à déduire votre orientation sexuelle. Les réseaux sociaux commerciaux investissent beaucoup d’énergie, de recherche et développement dans ce domaine car c’est ce qui leur permet de satisfaire leurs vrais clients et sources de revenus : les annonceurs.

En théorie, en Europe, le règlement général sur la protection des données (RGPD) interdit de récupérer ces données sans le consentement libre de l’utilisateur·rice. En vertu ce de texte, un consentement est « libre » s’il est donné sans la menace d’être exposé·e à des « conséquences » négatives, comme de ne pas pouvoir accéder au service ou devoir payer pour y accéder. Ce règlement n’est pas respecté par la plupart des réseaux sociaux commerciaux. La grande majorité des utilisateur·rices, s’iels avaient le choix, refuseraient de donner les informations sur lesquelles reposent l’économie entière des entreprises concernées. C’est sur cette base qu’en 2018 La Quadrature du Net a déposé, avec 12 000 utilisateur·rices, des plaintes collectives contre les réseaux sociaux commerciaux Facebook et Linkedin. La procédure est encore en cours devant la CNIL irlandaise.

Le RGPD et la nécessité du consentement individuel ne sont donc pas suffisant·es en pratique pour lutter contre la surveillance commerciale. Ce règlement est très peu appliqué et ne propose qu’une solution individuelle, qui place l’utlisateur·rice devant un choix sans liberté : consentir à la publicité ou renoncer à utiliser le réseau social (donc se couper de ses contacts). Nous pensons, à l’inverse, que les réseaux sociaux et leur politique de modération et de fonctionnement doivent être gérés collectivement par les utilisateur·rices iels-mêmes. Autrement dit, il ne sert à rien d’essayer de réparer les réseaux sociaux commerciaux, il est préférable de s’organiser directement pour reprendre le pouvoir des communautés.

Si les réseaux sociaux étaient interopérables, les internautes pourraient déménager vers des réseaux sociaux non commerciaux, qui n’imposent pas de surveillance à leurs utilisateur·rices, sans pour autant perdre le contact avec leurs proches qui ont toujours un compte sur un réseau social commercial.

Modération, censure, espaces d’expression

Centralisation : régime de modération unique

Il existe de nombreux régimes de modération qui répondent à des besoins différents. Tout le monde est confronté au quotidien, en dehors des réseaux sociaux, à une multitude de régimes. Par exemple, en présence d’enfants, il est souvent d’usage de surveiller son langage et de ne pas employer de vocabulaire grossier. En fonction du contexte professionnel ou amical dans lequel on se trouve, on adaptera son registre de mots. Cela ne représenterait donc aucun intérêt de vouloir unifier ces régimes d’expression et impliquerait même, au contraire, une perte de diversité culturelle et un blocage des perspectives d’évolution de la langue. La langue est interopérable dans le sens où elle fournit à la fois un certain nombre de standards permettant aux gens d’être compris entre eux sans empêcher pour autant que puissent exister des règles plus spécifiques dans certains groupes. Il peut s’agir de règles tacites ou de règles verbalisées par le groupe. Cette diversité de régimes d’expression coexiste sans que l’un d’entre eux soit intrinsèquement meilleur.

Nous avons expliqué plus haut comment le fonctionnement en silo des réseaux sociaux commerciaux leur permet de concentrer tous les pouvoirs et d’imposer unilatéralement un certain nombre de règles à l’ensemble de leurs utilisateur·rices. En pratique, cela revient à déposséder en partie les espaces de discussion de leur pouvoir de choisir un régime d’expression donné. Cette dépossession n’est, certes, pas entière, car un certain nombre de régimes d’expressions sont compatibles avec les règles fixées par le réseau social. En revanche, dès qu’il s’agit de vouloir publier un contenu interdit par le réseau social, même lorsque ce contenu n’est pas illégal, les utilisateur·rices se retrouvent bloqué·es dans leur expression, ou censuré·es.

Les questions de pouvoir d’expression ne sont pas spécifiques à l’usage des outils numériques mais générales à l’ensemble de la société. La liberté d’expression, la liberté d’opinion, la liberté de recevoir ou de communiquer des informations, la liberté de la presse ainsi que les limites de ces droits que sont la diffamation, l’injure ou le dénigrement entendent encadrer nos échanges. Ces droits et leurs limites sont souvent invoqués pour formuler deux critiques à l’égard de ces réseaux. La première provient d’utilisateur·rices frustré·es d’avoir vu des contenus légaux modérés, iels sont attaché·es à voir leur liberté d’expression assurée et voudraient que les réseaux sociaux commerciaux n’aient pas le droit de supprimer des contenus qui ne soient pas illégaux. La seconde provient d’utilisateur·rices sont confronté·es à des contenus qui les offensent et aimeraient ne plus l’être, même si ces contenus ne sont pas manifestement illégaux.

Ces deux critiques quant à l’excès ou au manque de censure de la part des réseaux sociaux sont caractéristiques du problème central : celui d’un régime de modération unique imposé par les plateformes.

Le choix d’une organisation centralisée, qui impose les même règles à une grande quantité de groupes et de personnes différentes, est assez absurde et insatisfaisant pour les utilisateur·rices des réseaux sociaux. Mais la centralisation engendre d’autres problèmes, que nous évoquons par la suite, davantage dus à la concentration des pouvoirs.

Censure passive due au modèle économique

La place privilégiée des contenus publicitaires

Les réseaux sociaux commerciaux ont cette particularité de ne pas seulement héberger le contenu de leurs utilisateur·rices, mais également celui de leurs clients : les annonceurs. Honneur aux payeurs, l’ensemble du réseau social est façonné dans un seul but : maximiser l’exposition au contenu publicitaire et renforcer son efficacité, c’est-à-dire conduire les utilisateur·rices à cliquer sur la publicité. Les données personnelles recueillies servent donc à dresser des profils d’utilisateur·rices pour leur adresser la publicité à laquelle iels seraient le plus sensibles, mais tout le reste du réseau social sert également cet objectif. Les algorithmes ont donc pour but de donner plus ou moins d’importance à tel ou tel contenu afin de le sur-visibiliser ou le sous-visibiliser, dans l’optique de pousser l’utilisateur·rice à rester le plus longtemps sur le réseau, et à être la ou le plus receptif·ve possible à la publicité.

Économie de l’attention, viralité boostée et censure par enterrement

L’ensemble de ces stratégies visant à pousser l’utilisateur·rice à rester longtemps sur la plateforme est couramment appelé « économie de l’attention ». En pratique, les algorithmes d’organisation des contenus repèrent ceux qui font polémique et qui provoquent un engagement spontané de la part des utilisateur·rices, afin de leur donner une place privilégiée en les faisant apparaître plus haut dans le flux de l’internaute ou dans les résultats de recherche, voire en envoyant une notification à l’utilisateur·rice. L’espace d’expression étant limité, cette mise en avant de certains contenus conduit également à sous-visibiliser les autres : les contenus plus complexes, plus étayés, nécessitant plus d’investissement de la part du public et n’obéissant pas aux critères de création de contenus valorisés par les réseaux sociaux commerciaux sont moins souvent mis en avant et proposés à la lecture. Ils subissent alors une censure invisible, dite « censure par enterrement ».

Ces mécanismes renforcent l’addiction au réseau social et sont à l’origine de la viralité mondiale de certains contenus. Ils sont également à l’origine de la grande propagation de contenus problématiques. Les contenus qui entraînent beaucoup d’engagement de la part des internautes sont souvent des contenus clivants et choquants. C’est le cas des contenus racistes, du harcèlement, des fausses informations, des images d’actes de violence.

Ces contenus suscitent de l’engagement de toute part : celleux qui les soutiennent les partagent en masse, et celleux qui s’y opposent sont offusqué·es et les partagent en masse pour les dénoncer. En 2019, la tuerie de l’église de Christchurch en Nouvelle-Zélande a été filmée et diffusée en direct par son auteur sur Facebook. Elle a été massivement partagée par des personnes d’extrême droite. Facebook n’a pas bloqué ces images et, pire, leur a donné une viralité supplémentaire car, étant choquantes, elles ont suscité beaucoup d’engagement.

Malheureusement, quand il s’agit de lutter contre les effets délétères des stratégies commerciales des réseaux sociaux, le réflexe des États n’est jamais de remonter aux causes du problème. La solution proposée est toujours d’en passer par une loi de censure, imposant aux réseaux sociaux de supprimer tel ou tel type de contenus, validant ainsi la giga-structure centralisée des réseaux sociaux commerciaux, pourtant à la base du problème.

Censure active

Les réseaux sociaux commerciaux ayant un grand pouvoir sur leurs utilisateur·rices, il est intéressant de voir et de critiquer les décisions prises par les entreprises qui les possèdent. On peut penser par exemple à la volonté de Mark Zuckerberg de mener une politique «  antisuicide » sur son réseau social (Facebook) reposant sur l’analyse automatisée des contenus et non un accompagnement humain, ou encore aux transformations qu’a subies Twitter après son rachat par Elon Musk en novembre 2022. On voit alors comment la volonté d’un seul homme ou d’une seule entreprise peut avoir des conséquences sur des millions de personnes. Mais il est plus intéressant encore de voir que la majorité des décisions qui sont prises viennent surtout d’autres forces extérieures à l’entreprise, et auxquelles les réseaux sociaux commerciaux doivent se plier pour conserver leur place hégémonique.

Le pouvoir des annonceurs

Le modèle économique basé sur la publicité motive les réseaux sociaux commerciaux à se modeler en fonction de celle-ci. Nous avons qualifié cette dynamique de « censure passive » car la censure n’en est qu’un effet secondaire. Mais il existe aussi une demande active de censure de la part des annonceurs, en particulier pour que leur publicité ne soit pas affichée à côté de certaines catégories de contenus. Récemment avec Twitter, des annonceurs se sont retirés en raison de la recrudescence de contenus d’extrême-droite. Cette pression possible des annonceurs sur les plateformes explique aussi pourquoi on retrouve souvent des règles de censure proscrivant la nudité. Cette influence n’est pas spécifique aux réseaux sociaux : partout où il y a un financement publicitaire, les annonceurs ont le pouvoir de retirer leur publicité (et donc leur financement) si leurs exigences en matière de censure ne sont pas respectées (la presse papier, également, est souvent tributaire du pouvoir de ses annonceurs).

Le pouvoir des États

Le pouvoir centralisé des réseaux sociaux commerciaux représente aussi une opportunité de pouvoir pour les États. Nous l’avons particulièrement vu durant ces cinq dernières années. Les volontés de censure des États viennent du constat d’un changement dans les dynamiques d’expression en ligne dont nous avons expliqué les causes (le caractère commercial des réseaux sociaux et leur caractère centralisé). Pour autant, le biais d’administration centralisée de l’État ou le manque de temps nécessaire à cette compréhension n’ont pas conduit les représentant·es politiques à vouloir remonter à la racine des problèmes. À chaque « problème » identifié — haine et harcèlement, contenus violents, fausses informations, etc — l’urgence les a toujours conduit à valider le pouvoir de l’instance centralisée des réseaux sociaux commerciaux en leur imposant de durcir leur modération, souvent dans des délais courts qui ne peuvent être respectés que par l’usage d’algorithmes de filtrage des contenus.

Le pouvoir de l’industrie culturelle

La création de contenus sur les réseaux sociaux est très prolifique et a apporté un renouveau dans les moyens d’expression et la production de contenus créatifs. Le vieux modèle de production d’œuvres culturelles, façonné lui aussi pour obéir à des impératifs économiques au détriment de l’écosystème créatif et des populations nécessitant un accès à la culture, n’a pas disparu pour autant. Sous la pression de l’industrie culturelle, les réseaux sociaux commerciaux — c’est particulièrement le cas de Youtube — ont mis en place des algorithmes pour censurer certains contenus qui ne respecteraient pas le droit d’auteur. L’industrie culturelle a par la suite, avec l’aide du législateur, réussi à imposer cette idée qu’il faudrait surveiller l’ensemble des contenus en ligne afin de repérer les œuvres « illégalement » partagées. Le fonctionnement de l’outil Content ID de Youtube, qui consiste à comparer les condensas (hash) de musiques et vidéos à une base de données de contenus protégés et, en cas de similitude, à bloquer le contenu a donc depuis été mis en place sur tous les grands réseaux sociaux commerciaux.

Centralisation et censure par algorithme

La très grande quantité de contenus que les réseaux sociaux commerciaux hébergent demande un lourd travail de modération. La motivation économique étant la raison première de leur existence, ils ont rapidement cherché à « rationaliser » la modération, à l’aide de la sous-traitance de ce travail à des « fermes de modérateurs » et à l’usage d’algorithmes de filtrage.

Les « fermes de modérateurs » sont des entreprises, souvent implantées dans des pays où les salaires sont très bas. Les conditions de travail y sont généralement très dures et les salarié·es sont exposé·es à une quantité phénoménale de contenus violents (aux conséquences psychiques lourdes sur les personnes) sortis de leur contexte (le contexte culturel variant d’un pays à l’autre, le contexte d’une publication serait de toute manière très difficile à appréhender). Leur travail sert à modérer les contenus des réseaux sociaux commerciaux et à entraîner des algorithmes dans le but d’automatiser la modération1Lire les travaux du sociologue Antonio Casilli sur les « travailleurs du clic » et la déconstruction du fantasme selon lequel l’intelligence artificielle remplacerait le travail humain. Casilli, Antonio. En attendant les robots – Enquête sur le travail du clic, Seuil, 2019.

Pour ces raisons, la modération par algorithme n’est pas souhaitable. Elle est en plus de cela largement fantasmée. Comme en témoigne l’exemple de la tuerie de Christchurch que nous présentions plus tôt : les algorithmes remplissent mal l’objectif de censure qui leur est donné et laissent passer des contenus qu’ils étaient censés censurer. Ces erreurs fonctionnent aussi dans l’autre sens : certains contenus qui ne devraient pas être censurés par l’algorithme le sont quand même. Diverses représentations d’œuvres d’art se sont ainsi retrouvées censurées, suscitant de vives polémique.

Le législateur, valide, encourage et va parfois jusqu’à imposer l’usage des algorithmes de filtrage en exigeant des délais très court aux retraits de contenus. La directive européenne sur le droit d’auteur et le règlement européen relatif à la prévention de la diffusion de « contenus à caractère terroriste » en ligne qui imposent l’usage de ces algorithmes semblent passer totalement à côté de la réalité de comment sont entraînés ces algorithmes et de leur soi-disant « efficacité ».

L’interopérabilité, et son objectif de décentralisation, permettrait de remettre en avant la modération humaine effectuée par des personnes concernées ayant un regard plus juste et contextualisé sur les contenus à modérer.

L’obligation d’interopérabilité des réseaux sociaux comme outil de leur régulation

L’interopérabilité des réseaux sociaux consiste à permettre à un·e utilisateur·rice inscrit·e sur une plateforme A de pouvoir communiquer avec celleux inscrit·es sur une plateforme B, et inversement, sans pour autant avoir besoin de compte sur cette deuxième plateforme. Un·e utilisateur·rice pourrait écrire à des personnes qui sont sur une autre plateforme et s’abonner à leurs fils d’actualités ou pages sans avoir besoin de compte chez les autres réseaux sociaux, donc sans accepter non plus leurs conditions générales d’utilisation et leur surveillance.

L’objectif principal de La Quadrature du Net lorsqu’elle demande au législateur de contraindre les plus gros réseaux commerciaux de devenir interopérables est de briser leurs silos afin que leurs utilisateur·rices puisse échapper à leur captivité et rejoindre d’autres réseaux. Le fait de briser ces silos a de nombreuses conséquences possibles, dont certaines nous semblent particulièrement désirables.

Casser les silos : ouvrir de nouveaux possibles

Comment cela fonctionne ? L’exemple du fédivers

Le fédivers (de l’anglais fediverse, mot-valise entre « fédération » et « univers ») est un grand réseau social permettant d’échanger des informations, des photos, des vidéos, de la musique, … Il est très différent des réseaux sociaux commerciaux dans sa conception, mais s’utilise de manière similaire au quotidien. Nous prenons cet exemple car il a connu un essor ces dernières années (notamment avec le logiciel Mastodon), mais il ne s’agit pas forcément pour autant de la meilleure solution technique : plusieurs voies sont en cours de développement et les choix techniques et standards choisis ont toujours des conséquences sur l’organisation des réseaux et sur les utilisateur·rices. L’avantage des protocoles ouverts comme ActivityPub (sur lequel se fonde le fédivers), ou encore Matrix, Solid, XMPP, Diaspora, etc., est qu’ils rendent possibles de créer des ponts entre eux, de « traduire » un protocole vers un autre2Souvent la mise en place de tel « bridge » n’est pas aussi efficace et fonctionnel que si le protocole utilisé était le même, mais cela permet tout de même de maintenir un lien entre eux.. Ces protocoles ont donc l’intérêt de faire fonctionner plusieurs réseaux sociaux comme un seul.

Dans le fédivers, tous les rôles que nous avons décrit plus haut sont gérés par des acteurs différents qui ont des noms différents : le réseau social s’appelle « fédivers », le protocole « ActivityPub », et les logiciels sont très nombreux (on vous en présente quelques uns plus bas). Cela peut donner une sensation de complexité pour les utilisateur·rices, mais c’est ce qui garantit l’ouverture du réseau, la possibilité d’en créer de nouvelles parties, et permet surtout la déconcentration des pouvoirs.

Dans le fédivers, on trouve par exemple des alternatives à Twitter : Mastodon est la plus connue, mais il existe aussi GNU social, Pleroma, Misskey et d’autres. Il y a Peertube, une alternative à Youtube, Plume, une alternative à Medium, Mobilizon qui permet d’organiser des événements (et remplace les événements Facebook), Pixelfed, qui permet de partager des images et se propose comme alternative à Instagram, Lemmy, une alternative aux sites-forums d’agrégation d’actualité comme Reddit, ou encore Funkwhale qui permet d’héberger et partager des fichiers audio et se propose en alternative à Deezer ou Spotify.

Notons la place importante de nos ami·es de Framasoft dans le développement de cet écosystème de logiciels libres, notamment à travers leur travail sur Mobilizon et Peertube ainsi que le rôle des CHATONS, collectif d’hébergeurs alternatifs qui hébergent et administrent de nombreuses instances de réseaux sociaux décentralisés3Cette liste de logiciels du fédivers est loin d’être exhaustive : il en existe bien d’autres, d’autant plus si on ajoute les logiciels utilisant d’autres protocoles interopérable qu’ActivityPub. Ces logiciels libres sont plus ou moins proches des logiciels privateurs desquels ils sont l’alternative et sont dans des états de développement plus moins avancés..

Le fédivers fonctionne sur le principe de fédération : pour faire partie du réseau, il faut créer ou rejoindre une instance. Une instance est une version installée sur un serveur d’un logiciel qui communique avec ActivityPub. N’importe qui peut donc créer une instance. La Quadrature du Net a par exemple une instance Mastodon, mamot.fr.

Voici un schéma d’une instance Mastodon.
Contrairement aux réseaux sociaux commerciaux, on peut y accéder via des clients différents :
Schéma d'une instance Mastodon

Contrairement aux réseaux sociaux commerciaux, plusieurs instances Mastodon peuvent se fédérer et permettre à leurs utilisateur·rices de communiquer entre elles tout en ayant des règles de modération différentes. Mais il y a également une nouveauté supplémentaire : différents logiciels, à partir du moment où ils sont basés sur ActivityPub, peuvent communiquer entre eux même si leurs usages sont différents. Ainsi, une personne avec un compte sur une instance Mastodon (dont l’usage est du micro-blogging) peut s’abonner à un compte PixelFed (partage d’images) ou bien commenter des vidéos hébergées sur une instance Peertube (partage de vidéos).

Schéma de plusieurs instances du Fédivers utilisant différents logiciels

Nombreux·ses sont les utilisateur·rices qui souffrent de la démultiplication des comptes sur les messageries et les réseaux sociaux. L’interopérabilité pourrait devenir une solution permettant à chaque utilisateur·rices d’avoir des comptes uniquement sur les services qui l’intéressent tout en ayant la possibilité de communiquer avec quelqu’un ayant un compte sur n’importe quel autre service interopérable.

Régulation de l’expression par la décentralisation

La première étape pour transformer l’écosystème des réseaux sociaux passe donc par la possibilité pour les utilisateur·rices de se diriger vers les alternatives existantes, qui leur montreront ce que donnent des logiques de modération différentes de celles des réseaux sociaux commerciaux. Les logiciels de réseaux sociaux existants utilisant des protocoles interopérables proposent déjà des services qui permettent aux utilisateur·rices de s’extraire de la surveillance et de l’organisation des contenus au service de la publicité, de choisir parmi une multitude de régimes de modération différents, et même d’en créer de nouveaux.

On peut d’ores et déjà observer la différence, en termes de diffusion des contenus, qu’apporte le caractère décentralisé des politiques de modération, via une comparaison entre Mastodon et Twitter. Sur Mastodon, la modération est effectuée à l’échelle des instances (et donc de chaque serveur sur lequel est installée le logiciel Mastodon). Elle est faite par des personnes humaines, se référant aux règles de modération établies par l’instance en question. Les contenus problématiques ne bénéficient pas d’une viralité boostée comme sur Twitter ; au contraire, leur viralité est même plutôt freinée par les décisions de modération de chaque instance au fur et à mesure que les contenus atteignent différentes instances en étant partagés par des utilisateur·rices.

Schéma de trois instances Mastodon ayant chacune leurs règles de modération

Ce système de modération est bien plus fin que la modération par algorithmes car les personnes humaines qui modèrent chaque instance ont une meilleure compréhension du contexte et se réfèrent à des règles collectives correspondant à l’espace d’expression dont elles sont les actrices. Par ailleurs, la décision de modérer ou non un contenu est beaucoup moins lourde de conséquences car elle n’entraîne pas pour tout le monde une interdiction d’accès au contenu : seule l’instance hébergeant le compte qui a posté le contenu peut le supprimer complètement. Une instance peut donc modérer un contenu chez elle, sans que cela n’impacte la manière dont le contenu sera vu sur les autres instances. Il n’y a donc pas de censure hégémonique. De cette manière, la logique décentralisée prend bien plus en compte la complexité du monde des espaces d’expression : elle accepte que la validité d’un propos ne soit pas binaire et dépende de l’espace où il est exprimé et des règles que celui-ci s’est données.

De nouveaux usages possibles grâce à l’interopérabilité

Ces initiatives sont pour la plupart en cours de développement et beaucoup de critiques peuvent leur être faites. Pour reprendre l’exemple précédent de la comparaison entre Mastodon et Twitter, de nombreux problèmes subsistent : Mastodon étant très largement inspiré de Twitter, il en copie le fonctionnement en favorisant par défaut les contenus publics, en étant construit comme une grande arène uniquement constituée de comptes d’individus, en valorisant le sentiment de récompense rattaché aux outils de mesure de la « performance d’un contenu » (les partages et les favoris), etc. Le fonctionnement par instance maintient corrélées les décisions de modération et la question de l’hébergement : les personnes ayant la capacité technique d’héberger une instance ont plus de pouvoir que les personnes qui n’ont pas cette capacité technique puisqu’elles en seront la plupart du temps administratrices.

Les critiques et pistes d’amélioration sont nombreuses et déjà très investies par l’écosystème de développeur·euses et d’utilisateur·rices des réseaux sociaux décentralisés. Parmi les réflexions en cours, celles s’intéressant aux modes de décisions collectives sont particulièrement intéressantes. Il y a un fort enjeu pour les groupes à avoir des outils en ligne qui leur permettent de s’organiser aussi librement qu’ils le souhaitent.

Ainsi, le protocole Scuttlebut propose un fonctionnement entièrement basé sur l’auto-hébergement et le pair-à-pair : les contenus sont hébergés directement par les utilisateur·rices et circulent de manière chiffrée au sein du réseau sur la logique du bouche-à-oreilles. Comme dans des discussions entre ami·es : on ne peut savoir ce qu’a dit quelqu’un que si quelqu’un d’autre nous le répète, le tout restant privé.

De même, Bonfire est un logiciel de réseau social basé sur ActivityPub qui permet de faire du microblogging. Il permet de reproduire les usages de type « Twitter », comme les alternatives que nous avons précédemment mentionnées, mais tente aussi de proposer de nouvelles fonctionnalités comme la possibilité de faire exister des logiques de groupes ou encore d’avoir une interface adaptable à différents usages.

Enfin, on soulignera les travaux de l’association Technostructures, qui formule plusieurs critiques à l’égard du protocole ActivityPub : le lien indissociable entre hébergement de l’instance et pouvoir de modération et le caractère public par défaut des contenus. C’est sur ce constat qu’elle développe Posca, un réseau social qui n’est pas basé sur le protocole ActivityPub mais sur le protocole Matrix (tout en proposant tout de même la fédération avec le fédivers via un pont). L’usage du protocole Matrix apporte aussi l’avantage que les échanges sont chiffrés.

Un autre enjeu est celui de l’avenir des réseaux sociaux. Les vieux réseaux sociaux commerciaux semblent depuis longtemps s’être figés. Parce qu’ils n’ont plus besoin d’attirer les utilisateur·rices avec de nouveaux usages intéressants depuis qu’ils les ont rendus captif·ves, on n’y voit quasiment plus rien de nouveau. Les quelques nouveautés ne servent que l’objectif économique des entreprises, comme la mise en avant par Meta de la réalité virtuelle à travers son idée de Metaverse qui répondait à une logique de création d’un nouveau marché (sur lequel Meta aurait eu un monopole grâce à son fonctionnement en silo) et s’est écroulée car ne répondant à aucun usage des utilisateur·rices. Il y a pourtant de nombreuses pistes à explorer pour proposer des usages réellement utiles aux groupes et aux personnes qui cherchent le bon moyen de communiquer. Promouvoir l’interopérabilité, c’est aussi rouvrir la question des usages médiatiques du Web et de leur devenir.

Forcer l’interopérabilité : stratégies politiques et juridiques

Il ne faut bien évidemment pas compter sur les réseaux sociaux commerciaux pour être interopérables de leur plein gré. La Quadrature du Net demande donc, depuis 2019, que soit instaurée dans le droit une obligation d’interopérabilité des grands réseaux sociaux.

Le refus du législateur jusqu’à présent d’instaurer une obligation d’interopérabilité

En France, la députée Laetitia Avia (LREM) a fait voté en 2020 une proposition de loi qui, sous couvert de lutte contre la haine en ligne, instaurait un gigantesque dispositif de censure obligatoire et arbitraire. Lors des débats parlementaires, La Quadrature a rappelé qu’il existe une autre manière de réguler les plateformes et de lutter contre la haine en ligne, sans passer par la censure, grâce à l’obligation d’interopérabilité afin de permettre aux internautes de quitter une plateforme toxique. Ainsi, en 2019, plus soixante-dix organisations, aux côtés de La Quadrature, demandaient au législateur d’obliger les grands réseaux sociaux commerciaux à être interopérables. Le choix du législateur a été d’ignorer cet appel, de rester dans une vision de régulation par la censure, et cette loi est aujourd’hui tombée dans les oubliettes de la République depuis que le Conseil constitutionnel l’a quasiment intégralement déclarée contraire à la Constitution.

Lorsque l’Union européenne a voulu réformer son cadre juridique sur le numérique avec le Digital Services Act (règlement sur les services numériques, ou DSA) et le Digital Markets Act (règlement sur les marchés numériques, ou DMA), de nombreuses associations de défense des libertés, dont La Quadrature, EDRi, ARTICLE 19, ou encore l’Electronic Frontier Foundation ont demandé à ce qu’une obligation d’interopérabilité des réseaux sociaux soit inscrite dans ces textes législatifs : l’Union européenne avait enfin l’occasion d’innover dans sa manière de réguler les géants du net. Le Parlement européen a été réceptif à cet appel : la version du DMA votée par le Parlement européen comportait une obligation d’interopérabilité des grands réseaux sociaux. Mais c’était sans compter sur les efforts de la France et de Cédric O, alors secrétaire d’État au numérique. Lors des négociations sur le DMA, la France, alors présidente du Conseil (l’autre organe législatif de l’UE à côté du Parlement européen), a obtenu, à la toute fin des négociations, le retrait de cette obligation d’interopérabilité.

Enfin, récemment, le gouvernement français a présenté en mai 2023 un projet de loi visant à sécuriser et réguler l’espace numérique (aussi appelé « SREN ») dont l’objectif est, entre autres, de réguler les plateformes en ligne. Là encore, de la même manière que la loi Avia, le gouvernement a préféré la solution de la censure à celle de l’interopérabilité des réseaux sociaux, grande absente. Et ici encore, alors que des député·es de gauche et du centre avaient proposé d’instaurer une forme d’obligation d’interopérabilité, le gouvernement s’y opposa. La raison de son refus ? Nous ne la connaîtrons pas : le ministre du numérique Jean-Noël Barraut n’a pas pris la parole pour s’expliquer, se contentant d’un lapidaire « Défavorable », et la majorité présidentielle suivit sagement l’avis négatif du ministre pour rejeter les amendements proposés.

Un rapport de force entre grandes plateformes et États d’une part, et société civile d’autre part

Alors que l’obligation d’interopérabilité des réseaux sociaux aurait pu devenir une réalité si la France et Cédric O n’avaient pas autant bataillé contre, les déclarations de ce dernier éclairent assez bien le rapport de force qui se joue aujourd’hui.

Dès 2019 en effet, Cédric O se montrait très réticent à l’idée d’obliger les grands réseaux sociaux à être interopérables. Devant la commissions des lois de l’Assemblée nationale, il regrettait le caractère « excessivement agressif pour le modèle économique des grandes plateformes » d’une obligation d’interopérabilité. Autrement dit, le secrétaire d’État a préféré sacrifier les libertés publiques et la possibilité d’explorer de nouvelles manières de s’exprimer en ligne sur l’autel des intérêts économiques des grandes plateformes.

Il y a donc un véritable rapport de force aujourd’hui autour de la question de l’obligation d’interopérabilité des réseaux sociaux, où grandes plateformes et États travaillent de concert. Meta, notamment, n’a pas hésité à critiquer l’interopérabilité pour ses risques – exagérés, nous revenons dessus plus bas – en termes de vie privée. Or, en juillet 2020, Facebook et Snapchat réussissaient à s’afficher aux côtés du Conseil national du numérique (CNNum) à l’occasion d’une table-ronde sur l’interopérabilité des réseaux sociaux et de la publication d’un rapport de l’institution très critique sur l’interopérabilité.

L’urgence à obliger les réseaux sociaux commerciaux à être interopérables

Il est particulièrement important d’agir et de faire en sorte que cette obligation d’interopérabilité des réseaux sociaux arrive vite, parce que de leur côté, les grands réseaux sociaux n’attendent pas. Reconnaissons un point à Cédric O lorsqu’il s’opposait pendant les débats sur la loi Avia à une telle obligation : elle remettra drastiquement en cause le modèle économique actuel des grands réseaux sociaux qui n’est possible, nous l’expliquions plus haut, que grâce à leur position hégémonique. Ces derniers n’investiront le champ de l’interopérabilité que s’ils y ont quelque chose à gagner.

Or, c’est précisément ce que voudrait faire Meta : lancer un réseau social interopérable sans attendre d’y être contraint par le législateur. L’entreprise a en effet annoncé à l’été 2023 que son nouveau réseau de microblogging, Threads, serait interopérable avec le reste du fédivers grâce au support du protocole ActivityPub. Bonne nouvelle ? Non, comme nous l’expliquions à l’époque. Meta profite de l’absence d’obligation d’être interopérable, donc de l’absence de régulation de ce domaine, pour devenir le plus gros acteur et ainsi, pouvoir peser sur les choix techniques du fédivers et du protocole ActivityPub.

En effet, aujourd’hui, parce qu’aucun réseau social n’a l’obligation d’être interopérable, le domaine de l’interopérabilité des réseaux sociaux n’est pas régulé. Cela fonctionne à peu près correctement lorsque l’écosystème des réseaux sociaux interopérables est composé de petits acteurs, qui ne cherchent pas le profit, donc qui ne voient pas le fédivers comme un marché à conquérir et qui ne cherchent pas à le canibaliser. Mais cet équilibre serait radicalement modifié avec l’arrivée d’une entreprise comme Meta : non seulement en raison de l’objectif commercial de Meta, mais également en raison du nombre d’utilisateur·rices qu’elles représenterait et du pouvoir d’influence que cela lui conférerait (les plus grosses instances Mastodon ont quelques centaines de milliers d’utilisateur·rices quand Facebook en a plusieurs milliards).

C’est pour cette raison qu’il est nécessaire que l’obligation d’interopérabilité s’accompagne d’une régulation de ce secteur. Aujourd’hui, même si la question de la nature de la régulation est ouverte, La Quadrature du Net estime, à défaut de meilleure solution, que celle-ci devrait prendre la forme d’un régulateur indépendant étatique, comme c’est le cas avec la régulation des télécoms et l’obligation de neutralité du net. En France, ce serait l’ARCEP, déjà chargée de réguler les télécoms. Ce régulateur aurait non seulement le pouvoir d’imposer aux géants les protocoles à implémenter (afin qu’un Meta ne puisse pas inventer son propre protocole fermé et ne l’ouvrir que partiellement pour garder le contrôle sur son évolution), mais pourrait également, avec des sanctions dissuasives, punir les réseaux sociaux commerciaux qui ne se plieraient pas à cette obligation (par exemple si un réseau social voulait se refermer après avoir capté une partie de la communauté, comme ce qu’il s’est passé avec Google et GTalk).

La proposition législative de La Quadrature

La Quadrature du Net a proposé à des député·es, à l’occasion du projet de loi SREN, d’instaurer une obligation d’interopérabilité par voie d’amendement. Deux amendements leur ont été proposés, qui peuvent être redéposés clé-en-main à l’occasion d’un futur véhicule législatif, voire être transformés en proposition de loi.

Le premier amendement vise à instaurer une véritable obligation d’interopérabilité. Il repose sur les définitions et seuils européen·nes et s’inspire de la proposition du Parlement européen d’instaurer une telle obligation dans le DMA. Lorsqu’un réseau social est un « contrôleur d’accès » (c’est-à-dire une grande plateforme) au sens de l’article 3 du DMA, il devra être interopérable. Cette obligation est contrôlée par l’ARCEP, qui voit ses pouvoirs de régulation et de sanction étendus à la question de l’interopérabilité.

Le deuxième amendement est un amendement de repli. Il n’instaure pas d’obligation d’interopérabilité, mais régule les plateformes qui, comme Meta, voudraient cannibaliser le fédivers. Cet amendement de repli repose sur les mêmes définitions du DMA, mais ne prévoit d’obligation de respecter les règles de l’ARCEP que si le réseau social commercial appartient à un « contrôleur d’accès » et est interopérable.

Prévoir les impacts de l’interopérabilité

Nous avons évoqué de nombreuses formes que peuvent prendre les réseaux sociaux grâce à l’interopérabilité, à travers les initiatives existantes : en reprenant certaines logiques des réseaux sociaux dominants dans une version décentralisée ou en proposant de nouvelles logiques de diffusion de l’information. On ne peut pas prévoir de manière certaine les dynamiques que provoqueraient une obligation d’interopérabilité. Toutefois, il est important d’envisager que cette obligation (ou la menace de la création d’une telle obligation) va provoquer des tentatives de « prise de marché » de la part du monde commercial.

Protocole ouvert = accès massif aux données ?

Pouvoir acceder aux informations et publications de nos proches sur les réseaux sociaux commerciaux, c’est aussi permettre aux personnes sur les réseaux sociaux commerciaux d’accèder aux informations et aux publications des personnes sur les réseaux sociaux non commerciaux qui ont une politique de gestions des données personnelles protectrice. Cela soulève donc la question suivante : l’interopérabilité risque-t-elle de donner une opportunité technique au réseaux sociaux commerciaux de récupérer également les informations issues des autres réseaux sociaux ? Bien sûr, cela serait parfaitement illégal, mais on ne peut pas faire confiance aux réseaux sociaux commerciaux pour respecter la loi, ils ne le font déjà pas.

Il est aujourd’hui déjà possible de collecter les informations publiquement accessibles sur un réseau social, en collectant les pages web qui contiennent les informations recherchées. Il est techniquement possible de faire une copie de toutes les pages publiques d’un réseau social pour analyser leur structure HTML et extraire le contenu (on appelle cela du scraping). Mais cette manière de faire est compliquée : il faut passer d’un contenu non-structuré (une page HTML) à un contenu structuré (l’information intéressante dans cette page HTML), ce qui n’est possible que par une analyse fine de la structure de la page HTML. Cette analyse est complexe mais les outils existent déjà ; c’est ce que fait par exemple l’administration fiscale française.

Or, l’intéropérabilité facilite la collecte par un acteur malveillant de données puisque le protocole servant à différentes instances pour communiquer entre elles (ActivityPub pour le fédivers) vise, précisément, à structurer les données. Mais cette facilitation technique de la collecte de données n’est pas le propre de l’interopérabilité : certains réseaux sociaux commerciaux proposent, parfois moyennant finances ou à des conditions strictes d’utilisation, des API (« application programming interface », ou « interface de programmation d’application ») qui permettent de structurer les données. Pour reprendre le cas de l’administration fiscale, celle-ci utilise ces API lorsqu’elle en a la possibilité et ne procède à du scraping que dans le cas où ces API ne sont pas disponibles.

Il est donc vrai que l’interopérabilité facilite le travail d’un acteur malveillant qui voudrait collecter des données. Mais il ne crée pas de nouveau risque à proprement parler, d’autant que ces outils de scraping sont largement à la portée des géants du Web.

Toutefois, ce débat – éminemment légitime – a pris de la place sur le fédivers lorsque l’entreprise Meta a annoncé la sortie de Threads, à terme basé sur le protocole ActivityPub donc pouvant communiquer avec d’autres instances du fédivers. Certain·es utilisateur·rices du fédivers ont notamment eu peur de voir leur données récupérées par Meta et de nombreuses instances ont même signé le « Fedipact », s’engageant à bloquer Threads.

En effet, une grande partie des utilisateur·rices du fédivers est particulièrement soucieuse aux questions de collecte de leur données personnelles. Nous ne pensons pas pour autant que cette crainte doive bloquer la possibilité de permettre aux personnes toujours captives des réseaux sociaux commerciaux de s’en echapper.

Décentraliser les espaces de discussions, c’est enlever du pouvoir aux États

Comme on l’a expliqué plus haut, l’interopérabilité a beaucoup d’avantages : pourquoi, alors, les États persistent-ils à vouloir maintenir des espaces de discussions centralisés au sein de quelques acteurs commerciaux ? Parce que cela répond à leur logique de recherche de pouvoir.

La régulation de l’expression en ligne est parsemé d’exemples où les États ont voulu accroître leur pouvoir. Il y a tout d’abord la question de la censure des expressions : avec le règlement européen « terroriste », il est possible pour une police de n’importe quel État de l’UE d’obliger le retrait d’un contenu, sans passer par un juge, qu’elle estimerait être à caractère terroriste. Avant les contenus terroristes, au début des années 2010, ce sont les contenus d’abus sur enfant qui ont, les premiers, été le prétexte pour ouvrir la boîte de Pandore de la censure administrative.

Or, il est beaucoup plus facile pour un État de discuter avec quelques acteurs commerciaux qui suivent des logiques de marchés et qui seront sensibles aux menaces économiques, qu’avec des collectifs informels, mouvants et difficilement palpables comme le fédivers en comporte. Les États ont donc intérêt à maintenir l’hégémonie des géants, puisqu’ils auront face à eux un petit nombre d’acteurs clairement identifiés.

Cette centralisation des réseaux sociaux permet de plus facilement faire pression sur eux pour censurer, y compris en dehors de tout cadre légal. Ainsi, à l’été 2023, lorsque des révoltes ont éclaté en France suite au meurtre par un policier d’un adolescent, la classe politique a ignoré les causes sociales de cette colère, et a préféré ressortir le vieux bouc émissaire des réseaux sociaux. Certains parlementaires et ministres, ainsi qu’Emannuel Macron, ont suggéré d’accentuer les obligations de censure s’imposant aux plateformes. Or, sans attendre une évolution législative, les réseaux sociaux commerciaux se sont s’exécuté. Ainsi, après une « convocation » par le ministère de l’intérieur, la responsable des affaires publiques de Snapchat, Sarah Bouchahoua (ancienne collaboratrice de Laetitia Avia), n’hésitait à révéler devant l’Assemblée nationale que, sur demande du gouvernement, le réseau social avait procédé au retrait de certains contenus. Une censure extralégale, qui repose sur une interprétation arbitraire et a maxima des conditions générales d’utilisation de la plateforme.

On voit bien le problème pour les États d’une généralisation des réseaux sociaux interopérables. Le ministre de l’intérieur ne pourra pas « convoquer » le fédivers. Ses décisions de censures, si elles sont illégitimes, seront d’un effet beaucoup plus réduit. Si une instance se voyait bloquée arbitrairement, ses utilisateur·rices pourraient migrer ailleurs.

Conclusion

Depuis 2019, date où nous avons commencé à expliquer aux parlementaires la nécessité de prévoir dans la loi une obligation d’interopérabilité, nos constats sur les dangers des pratiques hégémoniques des réseaux sociaux commerciaux n’ont pas bougé. Ce qui a évolué en revanche, c’est la volonté croissante des internautes de s’en libérer. Nous avons ainsi vu s’enchaîner les vagues de migration d’utilisateur·rices vers les alternatives. L’Internet libre aussi a bougé et foisonne de nouvelles initiatives porteuses d’idées à même de réellement réinventer le monde des réseaux sociaux. Nous avons également vu apparaître des stratégies d’interopérabilité adversarielle, c’est-à-dire des stratégies pour libérer de force les contenus présents sur les réseaux sociaux commerciaux et les rendre accessibles depuis d’autres services.

Malheureusement, nous avons aussi assisté à un enchaînement de lois de censure, cherchant à « réparer » les problèmes des réseaux sociaux tout en les confortant dans leur centralisation et leur hégémonie. L’interopérabilité devient une urgence.

Ce n’est pas la première fois que nos droits à communiquer et à partager des informations sont remis en question par la position hégémonique d’intermédiaires techniques à des fins commerciales. Dans les années 2010, les fournisseurs d’accès Internet ont cherché à tirer plus de profit de leur position en tentant de filtrer ou de ralentir l’accès à certains sites. Pour assurer un accès à Internet sans restriction de leur part, nous avons érigé la neutralité du net en principe fondamental d’Internet. Aujourd’hui face à la surveillance, la censure, les régimes de modération uniques et unilatéraux nous devons tous·tes ensemble pousser le principe d’interopérabilité et le rendre obligatoire pour les réseaux sociaux hégémoniques.

Nous plaçons la promotion l’interopérabilité des réseaux sociaux dans nos principaux combats pour l’année 2024. Ce principe est encore bien trop méconnu du grand public et une adhésion massives des populations faciliterait son insertion dans un texte de loi. Parlez donc de l’interopérabilité autour de vous !

Et pour soutenir La Quadrature du Net, n’hésitez pas à nous faire un don.

Faire un don

References

References
1 Lire les travaux du sociologue Antonio Casilli sur les « travailleurs du clic » et la déconstruction du fantasme selon lequel l’intelligence artificielle remplacerait le travail humain. Casilli, Antonio. En attendant les robots – Enquête sur le travail du clic, Seuil, 2019
2 Souvent la mise en place de tel « bridge » n’est pas aussi efficace et fonctionnel que si le protocole utilisé était le même, mais cela permet tout de même de maintenir un lien entre eux.
3 Cette liste de logiciels du fédivers est loin d’être exhaustive : il en existe bien d’autres, d’autant plus si on ajoute les logiciels utilisant d’autres protocoles interopérable qu’ActivityPub. Ces logiciels libres sont plus ou moins proches des logiciels privateurs desquels ils sont l’alternative et sont dans des états de développement plus moins avancés.
]]>
QSPTAG #299 — 1 décembre 2023https://www.laquadrature.net/?p=22359http://isyteck.com/autoblog/quadrature/index.php5?20231201_171527_QSPTAG__299_____1_decembre_2023Fri, 01 Dec 2023 16:15:27 +0000Algorithmes de suspicion de la CAF : la preuve par les faits

C’est une enquête qui a duré 18 mois. Dès avril 2022, conjointement avec le collectif Changer de Cap, nous demandions l’arrêt des pratiques discriminatoires de la Caisse d’allocations familiales (CAF), qui utilise un algorithme pour attribuer un « score de suspicion » aux bénéficiaires des aides sociales, pour détecter les personnes les plus susceptibles de percevoir des sommes indues. Sous prétexte de lutter contre la « fraude sociale » — une ambition très populaire dans l’idéologie de la chasse à « l’assistanat » — fraude réelle dont toutes les études au sein même des agences de l’État ont depuis longtemps démontré qu’elle est majoritairement une fraude aux cotisations de la part des employeurs notamment, il s’agit avec cet algorithme de débusquer plutôt les bénéficiaires qui, du fait de la complexité des règles relatives aux minima sociaux, auraient touché des sommes plus importantes que celles à quoi ils et elles auraient droit.

Le « bon sens » tel qu’il s’exprime sur les réseaux sociaux, et nous avons pu le constater à chaque publication de nos articles, ne trouve pas d’inconvénient à ce procédé : « Il faut bien attraper les fraudeurs ! Vous préférez ne rien faire ? ». On peut discuter le principe, mais ce n’est pas le sujet. Le problème, comme souvent, est dans la manière de faire.

En pratique, la CAF dispose d’environ 1 000 types de données différents sur les allocataires et en utilise une quarantaine pour passer au crible la vie d’environ 13 millions de personnes. Leur vie personnelle et intime, sous prétexte de leur donner ou non de l’argent public, devient l’objet d’une analyse et d’un jugement, de fond en comble. Le logiciel mouline cette masse d’informations avec son petit mécanisme et sort à la fin pour chaque bénéficiaire un « score de suspicion » compris entre 0 et 1. S’il se rapproche de 1, le risque de fraude est considéré comme étant plus grand, et la personne concernée fera l’objet d’un contrôle humain par des agents soumis à une pression de rentabilité. En pratique, la sanction algorithmique touche d’abord les personnes les plus pauvres, soit que l’allocation retirée ou réduite représente une partie importante de leurs revenus de survie, soit qu’elle en représente la totalité.

Plus grave encore : nous avions l’intuition, après l’étude de plusieurs cas particuliers, que les critères qui faisaient augmenter le score de suspicion incluaient le fait d’être d’origine étrangère, de toucher le RSA, ou d’être une femme seule qui élève des enfants. Pour en avoir le cœur net, nous avions demandé à la CAF, par l’intermédiaire d’une « demande Cada », de publier son algorithme de calcul. La CAF a refusé autant qu’elle a pu de fournir le code-source logiciel, sous prétexte que sa publication permettrait aux « fraudeurs » de le contourner — peut-être en arrêtant fourbement d’être une femme noire au RSA, par exemple ?

Mais, faute d’avoir accès à la version actuelle, nous avons enfin obtenu la communication d’une ancienne version de cet algorithme de « scoring », et notre analyse est sans appel : oui, l’algo de flicage de la CAF pénalise, dans sa structure même et dans le poids qu’il donne aux critères d’évaluation, les personnes à l’emploi précaire, qui doivent changer de logement souvent et, de manière générale, qui ont des parcours de vie compliqués. Autrement dit, les personnes les plus précaires se retrouvent traquées et sanctionnées par une administration sociale. Nous demandons par conséquent l’interdiction de cette technologie numérique de contrôle social, qui cache sous la prétendue neutralité de la technique une politique sociale discriminatoire, dégradante et injuste.

Notre analyse complète de l’algorithme de la CAF : https://www.laquadrature.net/2023/11/27/notation-des-allocataires-lindecence-des-pratiques-de-la-caf-desormais-indeniable/

Soutenez La Quadrature en 2024

Comme bon nombre d’associations, nous avons lancé il y a quinze jours notre campagne de soutien pour l’année qui vient. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent en 2024, principalement la promotion de l’interopérabilité des services Web, la lutte contre les algorithmes de contrôle social dans les administrations, la réflexion nécessaire autour du numérique dans le contexte de la crise écologique, et la défense du droit au chiffrement des communications.

Cette semaine, nos publications ont mis l’accent sur la question des algorithmes administratifs, dont notre travail sur l’algo de suspicion de la CAF était le point culminant. Vous pouvez retrouver l’ensemble de nos « fils » sur nos réseaux sociaux : la présentation de notre travail sur la CAF, une invitation à rejoindre la lutte contre les algos administratifs en demandant votre propre « score de risque », et un panorama du travail mené par ou avec nos partenaires européens.

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

La Quadrature dans les médias

Algo de la CAF

Divers

Agenda

  • 2 décembre 2023 : le groupe Saccage 2024 appelle à une journée d’action contre les Jeux Olympiques de Paris 2024, notamment en raison des mesures de surveillance numérique prévues par la loi JO. Plus d’informations : https://saccage2024.noblogs.org/archives/2480.
  • 8 décembre 2023 : Réunion d’information Technopolice à Rouen — à partir de 18h30, Maison des associations et la solidarité, 22 bis rue Dumont d’Urville, Rouen.
  • 14 décembre 2023 : Causerie mensuelle du groupe Technopolice Marseille — à partir de 19h, Manifesten, 59 Rue Adolphe Thiers, Marseille.
  • 14 décembre 2023 : Table ronde au festival OSINT à La Gaité Lyrique – à 11h, à La Gaité Lyrique, 259 rue Saint-Martin 75003 Paris. Plus d’informations sur https://www.gaite-lyrique.net/evenement/festival-osint
  • 27-30 décembre 2023 : La Quadrature sera au 37e Chaos Communication Congress à Hambourg : https://events.ccc.de/category/37c3/.
]]>
Notation des allocataires : l’indécence des pratiques de la CAF désormais indéniablehttps://www.laquadrature.net/?p=22126http://isyteck.com/autoblog/quadrature/index.php5?20231127_132334_Notation_des_allocataires____l___indecence_des_pratiques_de_la_CAF_desormais_indeniableMon, 27 Nov 2023 12:23:34 +0000Après plus d’un an de mobilisation contre les pratiques de notation des allocataires de la CAF au côté des collectifs Stop Contrôles et Changer de Cap1Vous pouvez les contacter à stop.controles@protonmail.com et contact@changerdecap.net.
, et après avoir détaillé le fonctionnement de l’algorithme de la CAF et son cadre politique, nous publions aujourd’hui le code source de cet algorithme de notation. Nous vous invitons aussi à consulter notre page de présentation sur l’utilisation d’algorithmes similaires au sein d’autres administrations.

Les détails techniques de l’algorithme (code, liste de variables et leurs pondérations) et de la méthodologie employée pour la construction de profils-types sont présentés dans cette annexe méthodologique.

Petit à petit, la lumière se fait sur un système de surveillance de masse particulièrement pernicieux2La CAF n’est pas la seule administration à utiliser ce type d’algorithmes, mais elle fut la première à le faire. Nous reviendrons bientôt sur une vision plus globale de l’utilisation de ce type d’algorithmes par les administrations sociales dans leur ensemble.
 : l’utilisation par la CAF d’un algorithme de notation des allocataires visant à prédire quel·les allocataires seraient (in)dignes de confiance et doivent être contrôlé·es.

Pour rappel, cet algorithme, construit à partir de l’analyse des centaines de données que la CAF détient sur chaque allocataire3Si l’algorithme lui-même n’utilise que quelques dizaines de variables pour calculer la note des allocataires, celles-ci sont sélectionnées après une phase dite d’« entraînement » mobilisant plus de 1000 informations par allocataire. Pour des détails techniques voir l’article de Pierre Collinet « Le datamining dans les caf : une réalité, des perspectives », écrit en 2013 et disponible ici.
, assigne un « score de suspicion » à chaque allocataire. Ce score, mis à jour chaque premier du mois, est compris entre zéro et un. Plus il est proche de un, plus l’algorithme juge qu’un·e allocataire est suspect·e : un contrôle est déclenché lorsqu’il se rapproche de sa valeur maximale4Les contrôles à la CAF sont de trois types. Les contrôles automatisés sont des procédures de vérification des déclarations des allocataires (revenus, situation professionnelle..), organisés via à l’interconnexion des fichiers administratifs (impôts, pôle emploi…). Ce sont de loin les plus nombreux. Les contrôles sur pièces consistent en la demande de pièces justificatives supplémentaires à l’allocataire. Enfin les contrôles sur place sont les moins nombreux mais les plus intrusifs. Réalisé par un.e contrôleur.se de la CAF, ils consistent en un contrôle approfondi de la situation de l’allocataire. Ce sont ces derniers qui sont aujourd’hui en très grande majorité déclenchés par l’algorithme suite à une dégradation de la note d’un allocataire (Voir Vincent Dubois, « Contrôler les assistés », p.258).
.

Lever l’opacité pour mettre fin à la bataille médiatique

Nos critiques portent tant sur la nature de cette surveillance prédictive aux accents dystopiques que sur le fait que l’algorithme cible délibérément les plus précaires5Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250. Voir aussi Dubois V., Paris M., Weill P-Edouard., 2016, Politique de contrôle et lutte contre la fraude dans la branche famille, Cnaf, Dossier d’études, n°183 disponible ici
. Face à la montée de la contestation, les dirigeant·es de la CAF se sont réfugié·es derrière l’opacité entourant l’algorithme pour minimiser tant cet état de fait que leur responsabilité dans l’établissement d’une politique de contrôle délibérément discriminatoire. Un directeur de la CAF est allé jusqu’à avancer que « l’algorithme est neutre » et serait même « l’inverse d’une discrimination » puisque « nul ne peut expliquer pourquoi un dossier est ciblé »6Extrait de la réponse d’un directeur de la CAF aux critiques opposées par le Défenseur des Droits à l’utilisation de cet algorithme.
.

C’est pourquoi nous avons bataillé de longs mois pour que la CAF nous donne accès au code source de l’algorithme, c’est à dire la « formule » utilisée par ses dirigeant·es pour noter les allocataires7La CAF nous avait initialement communiqué un code source « caviardé » dans lequel la quasi-totalité des noms de variables étaient masqués. Nous avons finalement obtenu le code de deux versions de l’algorithme. La première a été utilisée entre 2010 et 2014. La seconde entre 2014 et 2018. Six variables ont tout de même été occultées du modèle « 2010 » et 3 du modèle « 2014 ».
. Nous espérons que sa publication mette un terme à ces contre-vérités afin, qu’enfin, puisse s’installer un débat autour des dérives politiques ayant amené une institution sociale à recourir à de telles pratiques.

L’algorithme de la honte…

La lecture du code source des deux modèles utilisés entre 2010 et 2018 — la CAF a refusé de nous transmettre la version actuelle de son algorithme — confirme tout d’abord l’ampleur du système de surveillance de détection des allocataires « suspect·es » mis en place par la CAF.

Situation familiale, professionnelle, financière, lieu de résidence, type et montants des prestations reçues, fréquence des connexions à l’espace web, délai depuis le dernier déplacement à l’accueil, nombre de mails échangés, délai depuis le dernier contrôle, nombre et types de déclarations : la liste de la quarantaine de paramètres pris en compte par l’algorithme, disponible ici, révèle le degré d’intrusion de la surveillance à l’oeuvre.

Elle s’attache à la fois aux données déclarées par un·e allocataire, à celles liées à la gestion de son dossier et celles concernant ses interactions, au sens large, avec la CAF. Chaque paramètre est enfin analysé selon un historique dont la durée est variable. Visant tant les allocataires que leurs proches, elle porte sur les plus de 32 millions de personnes, dont 13 millions d’enfants, vivant dans un foyer bénéficiant d’une prestation de la CAF.

Quant à la question du ciblage des plus précaires, la publication du code source vient donner la preuve définitive du caractère discriminant des critères retenus. Ainsi, parmi les variables augmentant le « score de suspicion », on trouve notamment :

  • Le fait de disposer de revenus faibles,
  • Le fait d’être au chômage,
  • Le fait d’être allocataire du RSA,
  • Le fait d’habiter dans un quartier « défavorisé »8Concernant la variable liée au lieu de résidence, cette dernière fait a priori partie des variables masquées dans le code reçu. Elle est toute fois mentionnées dans la réponse de la CAF à la CADA, ce pourquoi il nous paraît raisonnable de l’inclure ici. Voir notre annexe méthodologique pour une discussion détaillée de la formule.
    ,
  • Le fait de consacrer une partie importante de ses revenus à son loyer,
  • Le fait de ne pas avoir de travail ou de revenus stables.

Comble du cynisme, l’algorithme vise délibérément les personnes en situation de handicap : le fait de bénéficier de l’Allocation Adulte Handicapé (AAH) tout en travaillant est un des paramètres impactant le plus fortement, et à la hausse, le score d’un·e allocataire.

En un graphique

Bien entendu, ces facteurs sont corrélés et ne peuvent être considérés indépendamment les uns des autres. Il est ainsi probable qu’une personne aux faibles revenus ait connu des périodes de chômage ou bénéficie de minima sociaux etc…

Disposant tant des paramètres que de leurs pondérations, nous avons pu construire différents profils-types d’allocataires pour lesquels nous avons calculé les scores de suspicion9Pour ce faire, nous avons simulé les données nécessaires – une trentaine de variables – pour chaque « profil-type » puis utilisé l’algorithme pour calculer leur note. Pour plus de détails, voir notre annexe méthodologique.
. Entre les différents profils-types, nous avons seulement fait varier les paramètres liées à la situation professionnelle, aux revenus, aux prestations reçues, à la situation maritale ou de handicap.

Nous tenons à préciser que pour réaliser ces simulations, nous devons faire de nombreuses hypothèses dont il est parfois difficile de savoir si elles sont justes ou non. Ainsi, les scores simulés ci-dessous sont donnés à titre indicatif seulement. Nos résultats sont toutefois cohérents avec les analyses de Vincent Dubois basées sur des statistiques agrégées10Le sur-ciblage des personnes en situation de handicap – bénéficiaires de l’AAH – ne concerne que celles disposant d’un travail. C’est ainsi que ces résultats sont compatibles avec les analyses du chapitre 10 du livre Contrôler les assistés de Vincent Dubois qui regroupent l’ensemble des personnes en situation de handicap. Voir notre annexe méthodologique pour une discussion détaillée de ce point.
. Dans un souci de transparence, nous détaillons leur construction — et ses limites — dans une annexe méthodologique11Voir notamment une méthodologie alternative utilisée par LightHouse Reports dans son article sur Rotterdam pour lequel les journalistes disposaient non seulement de la formule mais aussi de données sur les personnes visées. Elle est disponible ici.
.

Les profils-types correspondent tous à des foyers comprenant deux enfants à charge et sont censés correspondre à :

  1. Une famille « aisée » aux revenus stables et élevés,
  2. Une famille « modeste » dont les deux parents gagnent le SMIC,
  3. Un parent isolé gagnant aussi le SMIC,
  4. Une famille dont les deux parents sont bénéficiaires des minima sociaux,
  5. Une famille dont un des parents est travailleur·se en situation de handicap : pour ce profil, nous simulons le score de la personne bénéficiant de l’AAH trimestrialisée.

Les résultats sont éclairants comme le montre le graphique ci-dessous. Les « scores de suspicion » des foyers les plus aisés sont bien plus faibles que ceux des foyers bénéficiant des minima sociaux ou de l’AAH trimestrialisée.

On observe également le ciblage des familles monoparentales, dont 80% sont des femmes12Voir la note de l’Insee disponible ici.
. Nos simulations indiquent que ce ciblage se fait indirectement — la CAF ayant peut-être jugé que l’inclusion d’une variable « mère célibataire » était trop risquée politiquement — en intégrant des variables comme le revenu total du foyer et le nombre de mois en activité cumulés sur un an des responsables du foyer, dont la nature vient mécaniquement défavoriser les foyers ne comprenant pas deux parents13A revenus égaux, un parent seul gagne moins que deux parents. Quant au nombre de mois d’activité sur une année, il ne dépassera jamais 12 par an pour une famille monoparentale mais peut aller jusqu’à 24 pour un couple. Ce ciblage est particulièrement fort dans les mois qui suivent une séparation, ce type d’évènement dégradant fortement le score d’un·e allocataire. Voir nos analyses additionnelles en annexe méthodologique.
.

Effets de seuil, discriminations et double peine

Il y a quelques mois, la CAF cherchait à minimiser la stigmatisation des plus précaires engendrée par son algorithme en expliquant que « les scores de risques les plus élevés » ne concernent pas « toujours les personnes les plus pauvres » car « le score de risque n’intègre pas comme seule donnée la situation financière »14C’est ce qu’elle a déjà fait dans son « Vrai/Faux » sur le datamining où elle expliquait que « les scores de risques les plus élevés » ne concernent pas « toujours les personnes les plus pauvres » car « le score de risque n’intègre pas comme seule donnée la situation financière ».
. Nos analyses viennent démontrer à quel point ce raisonnement est fallacieux.

Ce que montre notre graphique c’est justement que les variables socio-économiques ont un poids prépondérant dans le calcul du score, désavantageant structurellement les personnes en situation de précarité. Ainsi, le risque d’être contrôlé suite à un événement considéré comme « facteur de risque » par l’algorithme – déménagement, séparation, décès – se révèle inexistant pour un allocataire aisé puisque son score est initialement proche de zéro. A l’inverse, pour un allocataire du RSA dont le score est déjà particulièrement élevé, le moindre de ces évènements risque de faire basculer son score au-delà du seuil à partir duquel un contrôle est déclenché.

Pire, la plupart des variables non financières sont en fait liées à des situations d’instabilité et d’écart à la norme – séparation récente, déménagements, changements de loyers multiples, modification répétée de l’activité professionnelle, perte de revenus, erreurs déclaratives, faible nombre de connexions web… – dont tout laisse à penser qu’elles sont elles-mêmes liées à des situations de précarité. A l’opposé de ce que veut faire croire la CAF, tout indique que cet algorithme fonctionne plutôt comme une « double peine » : il cible celles et et ceux qui, parmi les plus précaires, traversent une période particulièrement compliquée.

Clore le (faux) débat technique

La CAF ayant refusé de nous communiquer la version la plus récente de son algorithme, nous nous attendons à ce que ses dirigeant·es réagissent en avançant qu’iels disposent d’un nouveau modèle plus « équitable ». En anticipation, nous tenons à clarifier un point fondamental : il ne peut exister de modèle de l’algorithme qui ne cible pas les plus défavorisé·es, et plus largement celles et ceux qui s’écartent de la norme définie par ses concepteurs.

Comme nous l’expliquions ici de manière détaillée, si l’algorithme de la CAF a été promu au nom de la « lutte contre la fraude », il a en réalité été conçu pour détecter les « indus » (trop-perçus). Ce choix a été fait pour des questions de rentabilité : les indus sont plus nombreux et plus faciles à détecter que des cas de fraude dont la caractérisation nécessite, en théorie, de prouver une intention15Les témoignages collectés par Stop Contrôles ou Changer de Cap montrent que la nécessité de prouver l’intentionnalité pour qualifier un indu de fraude – dont les conséquences pour un•e allocataire sont plus lourdes – est très régulièrement bafouée.
.

Or, ces indus ont pour cause principale des erreurs déclaratives involontaires, dont toutes les études montrent qu’elles se concentrent principalement sur les personnes aux minima sociaux et de manière plus générale sur les allocataires en difficulté. Cette concentration s’explique d’abord par le fait que ces prestations sont encadrées par des règles complexes — fruit des politiques successives de « lutte contre l’assistanat » — multipliant le risque d’erreurs possibles. Pour reprendre les termes d’un directeur de la lutte contre la fraude de la CNAF : « ce sont les prestations sociales elles-mêmes qui génèrent le risque […] ceci est d’autant plus vrai pour les prestations liées à la précarité […], très tributaires de la situation familiale, financière et professionnelle des bénéficiaires. »16Voir Daniel Buchet. 2006. « Du contrôle des risques à la maitrise des risques ». Disponible ici.
.

Nul besoin donc de connaître le détail de la formule de l’algorithme pour prédire quelles populations seront ciblées car c’est l’objectif politique de l’algorithme — détecter les trop-perçus — qui le détermine. C’est pourquoi laisser s’installer un débat autour de l’inclusion de telle ou telle variable est un jeu de dupes statistiques. La CAF pourra toujours substituer à une variable jugée politiquement « sensible » d’autres critères jugés « acceptables » permettant d’aboutir au même résultat, comme elle semble déjà le faire pour les mères célibataires17Il serait ainsi relativement facile pour la CAF de supprimer la référence directe aux minima sociaux ou à l’AAH dans son algorithme en se limitant à l’utilisation de la variable « faits générateurs trimestriels ». Cette dernière ne concerne que les allocations nécessitant une déclaration de ressources trimestrielles : AAH trimestrielle, APL, RSA et prime d’activité. S’agissant du ciblage des allocataires du RSA et de l’AAH, la CAF pourrait ainsi prétendre, sans trop perdre de précision, avoir modifié son algorithme en ne retenant dans le calcul que cette variable « faits générateurs trimestriels » tout en continuant à cibler les personnes aux minima sociaux.
.

Logiques policières, logiques gestionnaires

Dire cela, c’est enfin dépasser le débat technique et reconnaître que cet algorithme n’est que le reflet de la diffusion de logiques gestionnaires et policières au sein de nos administrations sociales au nom des politiques de « lutte contre la fraude ».

C’est en transformant les allocataires en « assisté·es », puis en risques pour la survie de notre système social que le discours de « lutte contre l’assistanat » a fait de leur contrôle un impératif de « bonne gestion »18Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.. Qu’importe que toutes les estimations montrent que la « fraude sociale » est marginale et que c’est au contraire le non-recours aux aides qui se révèle être un phénomène massif.

Devenu objectif institutionnel, le contrôle doit être rationalisé. Le numérique devient alors l’outil privilégié de « la lutte contre la fraude sociale » par la capacité qu’il offre aux dirigeant·es de répondre aux injonctions de résultats tout en offrant un alibi technique quant aux pratiques de discrimination généralisée que leur tenue impose.

Ces logiques sont saillantes dans la réponse écrite par la CAF pour s’opposer à la transmission du code de son algorithme, avant d’y être contrainte par la Commission d’Accès aux Documents Administratifs (CADA). Elle assume ouvertement un discours policier en avançant comme principal argument que cette communication consisterait en une « atteinte à la sécurité publique » car « en identifiant les critères constituant des facteurs de ciblage, des fraudeurs pourraient organiser et monter des dossiers frauduleux ».

Enfin, un chiffre transmis dans la même réponse témoigne de l’emballement gestionnaire à l’œuvre et vient souligner la disproportion entre les moyens techniques déployés et les enjeux financiers. L’algorithme est entraîné pour détecter des trop-perçus s’élevant à 600 euros sur deux ans. Soit donc, 32 millions d’intimités violées par un algorithme à la recherche de… 25 euros par mois.

Lutter

L’Assurance maladie, l’Assurance vieillesse, les Mutualités Sociales Agricoles ou dans une moindre mesure Pôle Emploi : toutes utilisent ou développent des algorithmes en tout point similaires. À l’heure où ces pratiques de notation se généralisent, il apparaît nécessaire de penser une lutte à grande échelle.

C’est pourquoi nous avons décidé de faire de ces pratiques de contrôle algorithmique une priorité pour l’année à venir. Vous trouverez ici notre page dédiée à ce sujet, que nous alimenterons régulièrement.

References

References
1 Vous pouvez les contacter à stop.controles@protonmail.com et contact@changerdecap.net.

2 La CAF n’est pas la seule administration à utiliser ce type d’algorithmes, mais elle fut la première à le faire. Nous reviendrons bientôt sur une vision plus globale de l’utilisation de ce type d’algorithmes par les administrations sociales dans leur ensemble.

3 Si l’algorithme lui-même n’utilise que quelques dizaines de variables pour calculer la note des allocataires, celles-ci sont sélectionnées après une phase dite d’« entraînement » mobilisant plus de 1000 informations par allocataire. Pour des détails techniques voir l’article de Pierre Collinet « Le datamining dans les caf : une réalité, des perspectives », écrit en 2013 et disponible ici.

4 Les contrôles à la CAF sont de trois types. Les contrôles automatisés sont des procédures de vérification des déclarations des allocataires (revenus, situation professionnelle..), organisés via à l’interconnexion des fichiers administratifs (impôts, pôle emploi…). Ce sont de loin les plus nombreux. Les contrôles sur pièces consistent en la demande de pièces justificatives supplémentaires à l’allocataire. Enfin les contrôles sur place sont les moins nombreux mais les plus intrusifs. Réalisé par un.e contrôleur.se de la CAF, ils consistent en un contrôle approfondi de la situation de l’allocataire. Ce sont ces derniers qui sont aujourd’hui en très grande majorité déclenchés par l’algorithme suite à une dégradation de la note d’un allocataire (Voir Vincent Dubois, « Contrôler les assistés », p.258).

5 Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250. Voir aussi Dubois V., Paris M., Weill P-Edouard., 2016, Politique de contrôle et lutte contre la fraude dans la branche famille, Cnaf, Dossier d’études, n°183 disponible ici

6 Extrait de la réponse d’un directeur de la CAF aux critiques opposées par le Défenseur des Droits à l’utilisation de cet algorithme.

7 La CAF nous avait initialement communiqué un code source « caviardé » dans lequel la quasi-totalité des noms de variables étaient masqués. Nous avons finalement obtenu le code de deux versions de l’algorithme. La première a été utilisée entre 2010 et 2014. La seconde entre 2014 et 2018. Six variables ont tout de même été occultées du modèle « 2010 » et 3 du modèle « 2014 ».

8 Concernant la variable liée au lieu de résidence, cette dernière fait a priori partie des variables masquées dans le code reçu. Elle est toute fois mentionnées dans la réponse de la CAF à la CADA, ce pourquoi il nous paraît raisonnable de l’inclure ici. Voir notre annexe méthodologique pour une discussion détaillée de la formule.

9 Pour ce faire, nous avons simulé les données nécessaires – une trentaine de variables – pour chaque « profil-type » puis utilisé l’algorithme pour calculer leur note. Pour plus de détails, voir notre annexe méthodologique.

10 Le sur-ciblage des personnes en situation de handicap – bénéficiaires de l’AAH – ne concerne que celles disposant d’un travail. C’est ainsi que ces résultats sont compatibles avec les analyses du chapitre 10 du livre Contrôler les assistés de Vincent Dubois qui regroupent l’ensemble des personnes en situation de handicap. Voir notre annexe méthodologique pour une discussion détaillée de ce point.

11 Voir notamment une méthodologie alternative utilisée par LightHouse Reports dans son article sur Rotterdam pour lequel les journalistes disposaient non seulement de la formule mais aussi de données sur les personnes visées. Elle est disponible ici.

12 Voir la note de l’Insee disponible ici.

13 A revenus égaux, un parent seul gagne moins que deux parents. Quant au nombre de mois d’activité sur une année, il ne dépassera jamais 12 par an pour une famille monoparentale mais peut aller jusqu’à 24 pour un couple. Ce ciblage est particulièrement fort dans les mois qui suivent une séparation, ce type d’évènement dégradant fortement le score d’un·e allocataire. Voir nos analyses additionnelles en annexe méthodologique.

14 C’est ce qu’elle a déjà fait dans son « Vrai/Faux » sur le datamining où elle expliquait que « les scores de risques les plus élevés » ne concernent pas « toujours les personnes les plus pauvres » car « le score de risque n’intègre pas comme seule donnée la situation financière ».

15 Les témoignages collectés par Stop Contrôles ou Changer de Cap montrent que la nécessité de prouver l’intentionnalité pour qualifier un indu de fraude – dont les conséquences pour un•e allocataire sont plus lourdes – est très régulièrement bafouée.

16 Voir Daniel Buchet. 2006. « Du contrôle des risques à la maitrise des risques ». Disponible ici.

17 Il serait ainsi relativement facile pour la CAF de supprimer la référence directe aux minima sociaux ou à l’AAH dans son algorithme en se limitant à l’utilisation de la variable « faits générateurs trimestriels ». Cette dernière ne concerne que les allocations nécessitant une déclaration de ressources trimestrielles : AAH trimestrielle, APL, RSA et prime d’activité. S’agissant du ciblage des allocataires du RSA et de l’AAH, la CAF pourrait ainsi prétendre, sans trop perdre de précision, avoir modifié son algorithme en ne retenant dans le calcul que cette variable « faits générateurs trimestriels » tout en continuant à cibler les personnes aux minima sociaux.

18 Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.
]]>
QSPTAG #298 — 24 novembre 2023https://www.laquadrature.net/?p=22088http://isyteck.com/autoblog/quadrature/index.php5?20231124_174012_QSPTAG__298_____24_novembre_2023Fri, 24 Nov 2023 16:40:12 +0000Campagne de soutien 2024 : gros plan sur le Chiffrement

Comme bon nombre d’associations, vous le savez, nous avons lancé la semaine dernière notre campagne de soutien pour l’année qui vient. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent en 2024, principalement la promotion de l’interopérabilité des services Web, la lutte contre les algorithmes de contrôle social dans les administrations, la réflexion nécessaire autour du numérique nécessaire dans le contexte de la crise écologique, et la défense du droit au chiffrement des communications.

Cette semaine, nos publications ont mis l’accent sur la défense du chiffrement. Vous pouvez retrouver l’ensemble de ces « fils » sur nos réseaux sociaux : ici la présentation générale de la problématique, ici la nécessité du chiffrement pour que les réseaux soient structurellement compatibles avec le droit fondamental à la vie privée, ici les risques que le règlement européen CSAR, surnommé « Chat Control », fait peser sur le chiffrement de bout en bout des messageries instantanées, ici le rappel des fantasmes du ministre de l’Intérieur selon qui le chiffrement des communications par les militant·es politiques couvre la prolifération des projets « clandestins » fomentés par « les extrêmes », et enfin ici nous racontons comment le chiffrement, dans la logique de la DGSI, est carrément devenu un élément à charge dans le procès des inculpé·es de l’affaire du « 8 décembre ».

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

Censure constitutionnelle des mouchards audio, mais la géolocalisation passe l’épreuve

Le 16 novembre dernier, le Conseil constitutionnel, après avoir examiné la loi de programmation et d’orientation du ministère de la justice (LOPJ), a censuré la disposition qui autorisait les services de renseignement et de police à transformer les objets connectés en « mouchards » en les activant à distance (avec des techniques d’intrusion), pour utiliser leur micro ou leur caméra en toute discrétion dans le cadre de leurs enquêtes.

L’Observatoire des Libertés et du Numérique (OLN), dont La Quadrature du Net fait partie, s’était prononcé contre cette légalisation de l’espionnage policier, mal bordée par des conditions trop faciles à élargir dans l’usage, une fois l’idée rendue acceptable et banalisée.

Aujourd’hui, l’OLN se réjouit donc de la censure des « mouchards » comme micros ou comme caméras à distance, tout en soulignant le gros défaut de cette censure : l’activation à distance des objets connectés pour géo-localiser leur propriétaire reste autorisée par la loi. Si cela paraît moins grave, alors la stratégie du « chiffon rouge » chère au gouvernement aura fonctionné encore une fois : introduire une mesure inacceptable pour camoufler une mesure tout aussi contestable mais moins scandaleuse. Vous ne voulez pas être légalement écouté·es par les services de renseignement ? D’accord, d’accord… Mais vous serez légalement localisé·es.

La réaction de l’OLN : https://www.laquadrature.net/2023/11/23/censure-de-la-surveillance-par-mouchard-loln-ne-crie-pas-victoire/

La Quadrature dans les médias

Reconnaissance faciale et police

Agenda

  • 30 novembre 2023 : Rencontre autour de Contre-histoire d’Internet — à partir de 19h, La Carmagnole, Montpellier.
  • 2 décembre 2023 : le groupe Saccage 2024 appelle à une journée d’action contre les Jeux Olympiques de Paris 2024, notamment en raison des mesures de surveillance numérique prévues par la loi JO. Plus d’informations : https://saccage2024.noblogs.org/archives/2480.
  • 8 décembre 2023 : Réunion d’information Technopolice à Rouen — à partir de 18h30, Maison des associations et la solidarité, 22 bis rue Dumont d’Urville, Rouen.
  • 14 décembre 2023 : Causerie mensuelle du groupe Technopolice Marseille — à partir de 19h, Manifesten, 59 Rue Adolphe Thiers, Marseille.
  • 14 décembre 2023 : Table ronde au festival OSINT à La Gaité Lyrique – à 11h, à La Gaité Lyrique, 259 rue Saint-Martin 75003 Paris. Plus d’informations sur https://www.gaite-lyrique.net/evenement/festival-osint
  • 27-30 décembre 2023 : La Quadrature sera au 37e Chaos Communication Congress à Hambourg : https://events.ccc.de/category/37c3/.
]]>
Censure de la surveillance par mouchard : l’OLN ne crie pas victoirehttps://www.laquadrature.net/?p=21959http://isyteck.com/autoblog/quadrature/index.php5?20231123_131029_Censure_de_la_surveillance_par_mouchard____l___OLN_ne_crie_pas_victoireThu, 23 Nov 2023 12:10:29 +0000 Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 23 novembre 2023.

Le 16 novembre 2023, le Conseil constitutionnel a rendu sa décision sur la loi de programmation de la justice en censurant une disposition relative à l’activation à distance des objets électroniques. Pour les organisations de l’Observatoire des libertés et du numérique (OLN) qui s’étaient fortement opposées à cette mesure, cette décision est plus que bienvenue. Pour autant, elle ne saurait constituer une victoire criante.

Il faut se souvenir des récentes décisions de ce même Conseil constitutionnel faisant peu cas du respect des libertés : validation de la vidéosurveillance algorithmique dans la loi JOP 2024, légalisation des drones, blanc-seing à l’assouplissement de la procédure pénale dans la LOPMI au nom d’une « efficacité opérationnelle »… Si l’on peut saluer le sursaut de la décision de la semaine dernière, il est difficile d’y déceler une volonté de mettre fin à la fuite en avant sécuritaire, tant cette institution l’a accompagnée ces dernières années. Pour caractériser une atteinte au droit à la vie privée, le Conseil retient qu’il existe un risque pour les tierces personnes étant dans le champ d’une éventuelle captation déclenchée par cette activation à distance du micro ou de la caméra. Si nous saluons l’établissement d’une telle limite, qui pourra servir d’argument pour d’autres types de surveillance, nous regrettons que le Conseil ne prenne jamais en compte le changement de paradigme philosophique et politique qu’implique la possibilité de transformation de tout objet numérique en mouchard de la police.

Cette absence dans le raisonnement s’illustre par la validation pure et simple de l’activation à distance des fonctions de géolocalisation de téléphone et autres objets connectés (voiture, balises airtag, montre etc) qui repose exactement sur le même procédé technique que le dispositif censuré : la compromission d’un périphérique, en y accédant directement ou par l’intermédiaire d’un logiciel espion pour en prendre le contrôle à distance. Or, une telle possibilité soulève de graves problèmes en termes de vie privée, de sécurité et d’intégrité des preuves. On le comprend, le caractère intrusif de cette technique, pourtant au cœur des scandales Pegasus et Predator Files, n’intéresse pas le Conseil.

Pour justifier cette nouvelle forme de surveillance, le gouvernement et ses soutiens ont répété que les services de renseignement seraient déjà autorisés à activer à distance les micros ou caméras de terminaux. Pourtant, la lecture de l’article L. 853-2 du code de la sécurité intérieure montre précisément l’inverse : ne peuvent être mis en œuvre par les services de renseignement que des dispositifs qui permettent d’accéder à des données qui « s’affichent sur un écran », telles qu’une personne les « introduit par saisie de caractère » ou « telles qu’elles sont reçues et émises par des périphériques. » Autrement dit, le droit actuel ne permet aux services de renseignement que d’enregistrer l’activité d’une personne sur un téléphone ou un ordinateur, mais en aucun cas d’activer à son insu une fonctionnalité supplémentaire comme un micro ou une caméra. Cette pratique, pourtant avancée pour justifier le bien-fondé de la mesure, semble donc illégale et doit être sérieusement questionnée.

De façon générale, on assiste à un essor toujours plus important des technologies de surveillance et à une banalisation de leurs usages par les services de police et de renseignement alors que, souvent, elles ne répondent à aucun cadre. Ces pratiques illégales se généralisent aussi bien dans les ministères que sur le terrain, et la licéité de ces outils n’est jamais une préoccupation de ceux qui les utilisent. Qu’il s’agisse de logiciels illégaux de surveillance algorithmique et reconnaissance faciale, de fichage sauvage ou ou encore d’exploitation de téléphone en garde à vue, l’impunité se répand, l’illégalité se banalise. Dans ce contexte et avec ces tendances lourdes, la décision du Conseil constitutionnel est salutaire mais nous apparaît malheureusement trop peu engageante pour y voir un avertissement fort contre la surveillance.

Organisations signataires membres de l’OLN : Globenet, Creis-Terminal, la Ligue des droits de l’Homme (LDH), Le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM), La Quadrature du Net (LQDN).

]]>
QSPTAG #297 — 16 novembre 2023https://www.laquadrature.net/?p=21834http://isyteck.com/autoblog/quadrature/index.php5?20231117_181059_QSPTAG__297_____16_novembre_2023Fri, 17 Nov 2023 17:10:59 +0000Campagne 2024 : c’est le moment de soutenir La Quadrature !

Comme chaque fin d’année à l’approche de l’hiver, nous lançons notre campagne de soutien pour financer l’année qui vient. Si vous pouvez faire un don pour nous aider à travailler en 2024, c’est maintenant, et c’est ici !

Pour nous, c’est bien sûr aussi un moment important pour réfléchir aux chantiers qui nous attendent, en plus de ceux qui nous occupent déjà beaucoup. Sans cesse il faut faire des choix, décider où mettre le temps et l’énergie qui ne sont pas illimitées. Alors on se donne une sorte de « feuille de route » pour garder le cap, sans s’interdire bien sûr de se consacrer aux surprises bonnes ou mauvaises de l’actualité quand elles se présenteront. Cette « feuille de route » est ici.

Nous porterons plus haut que jamais l’idée et la nécessité d’obliger les services web à l’interopérabilité, seul moyen de lutter contre la recentralisation du Web et la tyrannie de l’économie de l’attention. Nous lutterons autant que nécessaire contre les algorithmes utilisés par les administrations pour criminaliser et punir les bénéficiaires des services sociaux. Nous défendrons le droit au chiffrement des communications, attaqué de toutes parts par les gouvernements français et européens sous prétexte de lutter contre le terrorisme, au mépris du droit fondamental qu’est le secret des correspondances, vital pour les démocraties. Et enfin, nous réfléchirons à ce que le numérique fait au monde, non seulement selon les points de vues sociaux et politiques qui sont les nôtres depuis toujours, mais aussi du point de vue écologique, dans le contexte bien connu de la destruction de l’écosystème par les activités humaines. Quels usages faut-il promouvoir et lesquels abandonner ? Il nous semble que La Quadrature à quelque chose à en dire : « l’écologie sans la politique, c’est du jardinage », dit le dicton.

Nous aurons donc beaucoup à faire dans l’année qui vient. Alors si vous le pouvez, soutenez-nous ! Tous les dons sont les bienvenus, même les tout petits, et les dons mensuels même minimes auront toujours notre prédilection parce qu’ils nous permettent d’envisager le budget de l’année avec plus de sérénité. Merci pour tout ce que vous pourrez faire, et merci aussi de faire connaître cette campagne de soutien sur vos réseaux sociaux !

Lire notre feuille de route pour 2024 : https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://www.laquadrature.net/donner/

Révélation : la police nationale utilise de manière illégale les logiciels de VSA de la société Briefcam

C’est l’association Disclose qui a publié l’information après une enquête approfondie : la police nationale utilise en toute illégalité et en toute connaissance de cause les logiciels de la société Briefcam, qui appliquent un traitement algorithmique aux photos et aux flux de vidéosurveillance pour analyser les images et identifier des personnes par reconnaissance faciale.

Nous avons documenté depuis quelque temps l’utilisation de ce logiciel ou d’outils similaires par les polices municipales, mais nous n’avions pas de preuves concernant les pratiques de la police nationale. C’est aujourd’hui chose faite>. Nous rappelons dans un article de réaction à cette publication de Disclose les éléments juridiques qui posent l’illégalité du dispositif, et nous en appelons aussi à la CNIL, beaucoup trop conciliante jusqu’à présent avec les usages illégaux de la reconnaissance faciale et de logiciels d’analyse par les forces de police.

Lire l’article de Disclose : https://disclose.ngo/fr/article/la-police-nationale-utilise-illegalement-un-logiciel-israelien-de-reconnaissance-faciale/
Notre réaction : https://www.laquadrature.net/2023/11/14/videosurveillance-algorithmique-a-la-police-nationale-des-revelations-passibles-du-droit-penal/

Une coalition d’associations européennes attaque le Règlement Terro en France

Le 8 novembre denier, six organisations européennes — La Quadrature du Net, Access Now, ARTICLE 19, European Center for Not-for-Profit Law, EDRi et Wikimedia France — ont déposé devant le Conseil d’État un recours contre le décret qui doit adapter dans le droit français les dispositions du « règlement Terro » européen (ou TERREG) adopté en 2021.

Mais en quoi ce contentieux français concerne-t-il nos partenaires européens ? C’est que ce recours en France est pour nous un point d’entrée : nous demandons au Conseil d’État de transmettre à la Cour de justice de l’Union européenne (CJUE) une « question préjudicielle » sur la validité du TERREG. Nous pensons que ce règlement, qui permet aux forces de police d’un pays de l’UE d’ordonner à un site web de bloquer dans un délai d’une heure (oui, une heure) tout contenu supposé être à caractère terroriste, contrevient au regard des droits fondamentaux protégés par le droit de l’UE.

La procédure durera plusieurs mois, avant que le gouvernement français produise sa réponse, et probablement plusieurs années avant que la CJUE ne rende sa décision. Mais comme nous rejetons les dispositions numériques du TERREG depuis sa première ébauche en 2018, on peut dire que La Quadrature a les idées longues. On suit l’affaire et on vous tiendra au courant !

Lire l’article : https://www.laquadrature.net/2023/11/09/une-coalition-de-6-organisations-attaque-en-justice-le-dangereux-reglement-de-lue-sur-les-contenus-terroristes/

La Quadrature dans les médias

Reconnaissance faciale et VSA

JO et VSA

Surveillance

Recours contre le TERREG

Loi SREN

Procès du 8 décembre

Divers

Agenda

]]>
De nouveaux combats pour 2024https://www.laquadrature.net/?p=21750http://isyteck.com/autoblog/quadrature/index.php5?20231115_144027_De_nouveaux_combats_pour_2024Wed, 15 Nov 2023 13:40:27 +0000La Quadrature du Net défend depuis quinze ans les droits et les libertés fondamentales de toutes et tous à l’ère du numérique. Ces quinze années de combat n’auraient pas été possibles sans vous, merci beaucoup ! Et nous avons besoin de vous pour continuer la lutte en 2024 !

Les chantiers que nous suivons depuis quinze ans déjà, vous les connaissez sans doute : contre la criminalisation du partage de la culture depuis la loi Hadopi de 2008, pour la neutralité du Net, contre l’exploitation des données personnelles et la tyrannie de la publicité en ligne, contre la censure et la surveillance du Web par les États, contre la Technopolice, les drones et la vidéosurveillance algorithmique.

Mais de nouvelles questions surgissent, de nouveaux fronts se réactivent, où nous sentons que nous pouvons jouer un rôle utile. On a vu les administrations publiques s’armer d’algorithmes dans la guerre aux pauvres et aux « fraudeurs », avec pour effet l’amplification des discriminations structurelles, le tout sous sous prétexte de modernité caricaturale, de pseudo-efficacité et de « dématérialisation ». On a vu la logique de la surveillance s’immiscer partout et s’étendre à tous les aspects de nos vies publiques et intimes. D’abord pour les besoins d’une surenchère publicitaire qui a transformé le Web en gigantesque galerie marchande, où chacune de nos curiosités, chacun de nos intérêts et chacune de nos relations amoureuse ou amicale devient l’enjeu d’une vente, d’un produit, ou d’un « service » toujours plus inutile et farfelu. Ensuite, et surtout, pour les besoins d’un pouvoir politique et étatique friand de fichage et toujours plus intrusif, beaucoup trop content d’exploiter nos innombrables traces numériques pour mieux nous surveiller, nous connaître, et anticiper nos comportements politiques et sociaux. Face à ces défis, nous voulons amplifier de nouveaux chantiers — sans pour autant oublier ceux sur lesquels nous travaillons déjà.

D’abord, nous continuerons de porter toujours plus loin et toujours plus haut (ça tombe bien, on entre dans une année olympique) l’idée d’un Web interopérable. L’Internet ouvert et horizontal des débuts, qui fut une réalité incontestable, s’est retrouvé ces quinze dernières années mis en « silos » par les grandes plateformes et les réseaux sociaux privés (Facebook, Twitter, Instagram bien sûr, mais aussi YouTube, etc.). Aujourd’hui, quitter un de ces réseaux c’est perdre les relations et les échanges qui sont tout le sel du Web. Alors que si les différents services sont interopérables, on peut déménager sans perdre de vue personne, et choisir l’environnement dans lequel on se sent libre de s’exprimer sans être soumis à l’hostilité qui fait vivre les plateformes et détruit le tissu des sociétés. Nous porterons avec entêtement cette idée simple, qui a déjà une réalité technique (dans le Fédivers par exemple), jusqu’à ce que les lois européennes et françaises en fassent un principe de base du Web et de l’Internet en général.

Nous allons aussi continuer notre travail d’enquête et de lutte contre les algorithmes de contrôle social, jusqu’à leur disparition. Aujourd’hui, des algos de « scoring » ou de profilage traquent les bénéficiaires des minima sociaux, que ce soit à la CAF, à Pôle Emploi ou ailleurs, pour transformer en enfer la vie des personnes les plus précaires, sous prétexte de lutter contre les abus. En réalité, ici comme ailleurs, l’outil numérique n’a servi qu’à introduire une surveillance très fine des vies les plus ordinaires pour contester les droits des personnes et criminaliser les comportements marginaux. Le numérique ne doit pas être l’instrument complaisant d’une politique sociale qui déresponsabilise la société dans son ensemble et déshumanise les personnes. Nous ferons tout pour que ces outils dangereux soient remplacés par une volonté d’humanité et le désir d’une société plus aimante et plus juste.

Ensuite, nous défendrons partout où il le faudra le droit au chiffrement des données et des communications. C’est une vieille lune des États, quels qu’ils soient : accéder aux correspondances des citoyens pour des raisons de police. Le « cabinet noir », c’était autrefois ce lieu secret métaphorique où la police lisait discrètement les lettres des opposants avant de les remettre en circulation. Alors que le numérique menace de rendre tout transparent aux yeux du pouvoir, le chiffrement des données a rétabli un peu de l’équilibre perdu entre le secret des correspondances et la prétention du « cabinet noir » à tout voir. Sans le chiffrement des communications, n’importe qui d’un peu déterminé peut accéder aux photos et aux blagues que vous échangez avec votre famille, aux échanges scientifiques inaboutis des chercheurs, aux discussions des groupes politiques ou syndicaux, etc. Le secret des communications est un des piliers de la démocratie bien tempérée : la transparence totale des opinions aux yeux de l’État est exactement la définition d’un régime policier. Pour mille raisons, dont le fait qu’il s’agit d’un droit fondamental, nous devons donc défendre notre droit au chiffrement et au secret contre tous les sophismes sécuritaires et policiers. Et plus les États voudront forcer ce droit au secret, plus nous aurons de raisons urgentes de le protéger.

Enfin, nous ne pouvons plus longtemps faire l’impasse sur les dangers immédiats et majeurs que notre mode de vie numérique fait collectivement peser sur les conditions de notre survie, et celle d’innombrables autres espèces. L’écosystème dont nous faisons partie craque de toutes parts, on le sait, on le voit, et la surproduction numérique a largement sa part dans ce désastre. Porté par le culte incontesté de la croissance et de la nouveauté permanente, le numérique entraîne avec lui une industrie colossale et polluante, qui détruit des territoires et des vies, pour alimenter notre ivresse d’écrans et de connectivité. Des mines de cobalt et de lithium jusqu’aux entrepôts des géants de la distribution mondiale, de la frénésie consumériste à l’économie de l’attention qui nous retient avec des procédés d’addiction, le numérique est aujourd’hui sans conteste un facteur de destruction autant que d’échanges, de liberté et de savoir. Il faut donc rendre au « digital » le poids de son corps physique, et à la « dématérialisation » sa matérialité, pour réfléchir aux outils et aux usages qui nous paraissent devoir être sauvés, préservés, cultivés ou inventés, et ceux auxquels ils nous faut renoncer.

Vaste programme ! Et on ne s’arrêtera pas à cela. Notre campagne Technopolice va connaître des rebondissements avec l’expérimentation prochaine de la vidéosurveillance algorithmique légalisée par la loi relative aux Jeux Olympiques. Nous voulons aussi participer de manière plus résolue à lutter contre la surveillance numérique croissante à laquelle font face les groupe militants. Enfin, nous envisageons d’ouvrir un front contre l’« intelligence artificielle », qui déferle partout sans qu’une résistance organisée puisse y faire face.

Tout cela pour vous dire à quel point votre soutien et vos dons seront précieux pour cette nouvelle année qui s’annonce !

Faire un don !

L’équipe de La Quadrature du Net

]]>
Vidéosurveillance algorithmique à la police nationale : des faits passibles du droit pénalhttps://www.laquadrature.net/?p=21732http://isyteck.com/autoblog/quadrature/index.php5?20231114_192347_Videosurveillance_algorithmique_a_la_police_nationale____des_faits_passibles_du_droit_penalTue, 14 Nov 2023 18:23:47 +0000Dans un article publié aujourd’hui, le média d’investigation Disclose révèle que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale a recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui serait, d’après Disclose, « activement utilisée ».

Cela fait désormais près de cinq ans qu’à travers la campagne Technopolice, La Quadrature du Net, en lien avec des collectifs partout dans le pays, documente l’usage illégal de la vidéosurveillance algorithmique (VSA) par les forces de police municipale. De fortes présomptions existaient quant à son utilisation par la police nationale. Nous l’évoquions d’ailleurs dans notre dossier sur la VSA publié lors de la campagne contre la loi sur les jeux olympiques et paralympiques (voir page 20). La confirmation faite aujourd’hui n’en est pas moins choquante. Non seulement compte tenu de l’échelle du déploiement de cette technologie, avec des licences Briefcam couvrant plusieurs départements. Mais aussi en raison des dissimulations dont ce marché public hautement sensible a fait l’objet de la part de hauts fonctionnaires et de responsables politiques.

Il faut se souvenir de Gérald Darmanin qui, l’an dernier en préparation des débats sur l’article 10 de la loi Jeux Olympiques, reconnaissait qu’il n’existait aucune base légale pour l’utilisation policière de ces technologies d’analyse automatisée. L’intelligence artificielle transforme radicalement l’économie politique de la vidéosurveillance, raison pour laquelle nous refusons la VSA. Même dans le cadre d’enquêtes judiciaires, l’État se devrait au minimum de prévoir une base juridique claire pour l’encadrer.

Tout aussi choquant est le sentiment d’impunité généralisé que révèle cette affaire. Les cadres de la Direction Générale de la Police Nationale, de même que les ministres successifs, ont sciemment organisé le secret par peur de la controverse, se sachant hors du droit.

Rappelons-le : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. » (cf. art. 226-18 et -19 du code pénal). Par ailleurs, tout·e fonctionnaire est tenu·e de signaler sur le champ une infraction dont il ou elle aurait connaissance au procureur (article 40 du code de procédure pénale). Enfin, Disclose explique que pour financer le renouvellement des licences Briefcam, « la hiérarchie policière a pioché dans le « fonds concours drogue » ». Ce qui pourrait s’apparenter à du détournement de fonds publics.

Ces faits sont extrêmement graves. L’impuissance chronique à laquelle se condamnent les contre-pouvoirs institutionnels, de la CNIL à l’IGPN, est elle aussi symptomatique d’une crise systémique de l’État de droit. L’actualité donne d’ailleurs une nouvelle et triste illustration de cette coupable inaction : la CNIL s’est contentée d’un « rappel à l’ordre » à l’encontre de deux ministères après le détournement de fichiers et l’envoi au printemps dernier de 2 millions de messages de propagande destinés à manipuler l’opinion au sujet de la réforme des retraites.

]]>
Une coalition de 6 organisations attaque en justice le dangereux règlement de l’UE sur les contenus terroristeshttps://www.laquadrature.net/?p=21545http://isyteck.com/autoblog/quadrature/index.php5?20231109_121534_Une_coalition_de_6_organisations_attaque_en_justice_le_dangereux_reglement_de_l___UE_sur_les_contenus_terroristesThu, 09 Nov 2023 11:15:34 +0000Le 8 novembre 2023, une coalition de six organisations – La Quadrature du Net (LQDN), Access Now, ARTICLE 19, European Center for Not-for-Profit Law (ECNL), European Digital Rights (EDRi) et Wikimedia France – a déposé un recours devant la plus haute juridiction administrative française, le Conseil d’État, contre le décret français adaptant le règlement européen relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (également connu sous le nom de « TERREG »).

Elles demandent au Conseil d’État de saisir la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle sur la validité du TERREG au regard des droits fondamentaux protégés par le droit de l’UE.

Ce règlement permet aux forces de police d’un pays de l’UE d’ordonner à un site web, à un réseau social ou à tout fournisseur de services en ligne hébergeant des contenus créés par les utilisateurs de bloquer, dans un délai d’une heure, tout contenu supposé être à caractère terroriste – et cela dans tous les États membres de l’UE. Ces fournisseurs de services peuvent également être contraints de mettre en œuvre des « mesures spécifiques » pour prévenir la publication de contenus terroristes. Ces « mesures spécifiques » – dont la nature reste à la discrétion des fournisseurs de services – peuvent inclure, par exemple, des dispositifs de filtrage automatisé, afin d’analyser l’ensemble des contenus avant leur publication. Ces systèmes automatisés sont incapables de prendre en compte le contexte de la publication et sont notoirement prédisposés à commettre des erreurs, entraînant la censure de contenus protégés tels que le travail de journalistes, la satire, l’art ou les contenus documentant les violations des droits humains. En outre, l’obligation d’adopter des « mesures spécifiques » peut violer l’interdiction d’imposer une obligation générale de surveillance en vertu du règlement sur les services numériques (Digital Services Act, ou DSA).

Depuis que la proposition législative a été publiée par la Commission européenne en 2018, les organisations de la société civile parties au litige – comme beaucoup d’autresont dénoncé le risque de violation des droits fondamentaux qu’implique le TERREG. Bien que la lutte contre le terrorisme soit un objectif important, le TERREG menace la liberté d’expression et l’accès à l’information sur internet en donnant aux forces de l’ordre le pouvoir de décider de ce qui peut être dit en ligne, sans contrôle judiciaire indépendant préalable. Le risque d’excès et d’abus des forces de l’ordre en matière de suppression de contenu a été largement décrit, et augmentera inévitablement avec ce règlement. Cette législation renforce également l’hégémonie des plus grandes plateformes en ligne, car seules quelques plateformes sont actuellement en mesure de respecter les obligations prévues par le TERREG.

« La question de la modération des contenus en ligne est grave et la réponse ne peut être une censure policière technosolutionniste, simpliste mais dangereuse », déclare Bastien Le Querrec, juriste à La Quadrature du Net, l’ONG cheffe de file de la coalition.

La défense de l’affaire par le gouvernement français est attendue pour les prochains mois. La décision du Conseil d’État n’est pas attendue avant l’année prochaine.

La Quadrature du Net (LQDN) promeut et défend les libertés fondamentales dans le monde numérique. Par ses activités de plaidoyer et de contentieux, elle lutte contre la censure et la surveillance, s’interroge sur la manière dont le monde numérique et la société s’influencent mutuellement et œuvre en faveur d’un internet libre, décentralisé et émancipateur.

Le European Center for Not-for-Profit Law (ECNL) est une organisation non-gouvernementale qui œuvre à la création d’environnements juridiques et politiques permettant aux individus, aux mouvements et aux organisations d’exercer et de protéger leurs libertés civiques.

Access Now défend et améliore les droits numériques des personnes et des communautés à risque. L’organisation défend une vision de la technologie compatible avec les droits fondamentaux, y compris la liberté d’expression en ligne.

European Digital Rights (EDRi) est le plus grand réseau européen d’ONG, d’expert·es, de militant·es et d’universitaires travaillant à la défense et à la progression des droits humains à l’ère du numérique sur l’ensemble du continent.

ARTICLE 19 œuvre pour un monde où tous les individus, où qu’ils soient, peuvent s’exprimer librement et s’engager activement dans la vie publique sans crainte de discrimination, en travaillant sur deux libertés étroitement liées : la liberté de s’exprimer et la liberté de savoir.

Wikimédia France est la branche française du mouvement Wikimédia. Elle promeut le libre partage de la connaissance, notamment à travers les projets Wikimédia, comme l’encyclopédie en ligne Wikipédia, et contribue à la défense de la liberté d’expression, notamment en ligne.

]]>
QSPTAG #296 — 13 octobre 2023https://www.laquadrature.net/?p=21306http://isyteck.com/autoblog/quadrature/index.php5?20231013_141527_QSPTAG__296_____13_octobre_2023Fri, 13 Oct 2023 12:15:27 +0000Filtre anti-arnaques : la censure administrative embarquée dans le navigateur ?

Parmi les mesures contestables et contestées de la loi « visant à sécuriser et réguler l’espace numérique » (SREN), l’obligation des filtres anti-arnaques n’est pas la moindre. L’article 6 du projet de loi oblige les navigateurs web à bloquer les sites identifiés par les autorités administratives (la police) comme étant des arnaques (phishing, mineurs de Bitcoin, usurpation d’identité, etc.).

Aujourd’hui déjà, la police peut exiger que les plateformes et les fournisseurs d’accès à Internet (FAI) censurent les contenus terroristes ou pédocriminels. Dans ce cas, les FAI paramètrent leurs serveurs DNS, chargés de traduire les URL des sites (www.laquadrature.net) en adresses IP (185.34.33.4). Après cette modification, le site n’est plus trouvable à partir de son URL et se trouve donc hors d’atteinte pour la grande majorité des internautes. Sauf si.
Sauf si l’internaute sait choisir son DNS et contourner l’interdiction en passant par un autre serveur. Il est donc tout à fait possible, et pas très difficile à vrai dire, de contourner une censure par DNS. C’est un procédé utilisé lorsque certains États bloquent les DNS nationaux, comme cela s’est vu lors des révoltes du Printemps arabe en 2011 par exemple.

Mais la solution choisie dans le projet de loi pour les « arnaques » implique directement le navigateur web de l’internaute. Les navigateurs incluent déjà des listes de sites ou de pages web malhonnêtes, sur lesquelles les utilisateurs pourraient croiser des virus ou des scripts malveillants. Si le navigateur détecte une tentative de connexion à l’une de ces pages « dangereuses », il prévient l’internaute, qui a le choix de passer outre à ses risques et périls. L’outil est donc envisagé à l’heure actuelle comme un service que les navigateurs choisissent de rendre à l’utilisateur, qui garde la main sur la décision finale.

Avec ce que le projet de loi SREN propose, les listes seraient non seulement tenues par la police, mais s’imposeraient surtout aux navigateurs. Une pratique très différente dans sa philosophie, et qui ouvre la porte à tous les excès possibles, à la censure de sites politiques par exemple, quand le fait sera installé et qu’il suffira de l’étendre pour censurer à discrétion tous les sites « gênants ».
Plus de détails dans notre article paru le 5 octobre dernier, avant le vote de l’article 6 à l’Assemblée ce mercredi 11 octobre.

Lire l’article : https://www.laquadrature.net/2023/10/05/projet-de-loi-sren-et-filtre-anti-arnaque-les-navigateurs-comme-auxiliaires-de-police/

La Quadrature dans les médias

Vidéosurveillance algorithmique

Divers

Agenda

  • 3-27 octobre : procès de l’affaire du « 8 décembre », audiences publiques les après-midis du mardi au vendredi à partir de 13h30 au tribunal de Paris (porte de Clichy). Les débats sur la question du chiffrement devraient commencer aux alentours du mercredi 18, mais le calendrier des audiences change sans cesse au gré des retards pris dans les auditions.
  • 13 octobre : Félix Tréguer sera l’invité de David Dufresne dans « Au Poste », à l’occasion de la publication de son livre « Contre-histoire d’Internet » aux éditions Agone : https://www.auposte.fr/convocation/contre-histoire-de-linternet-avec-felix-treguer/
  • 2 novembre : rencontre avec Félix Tréguer à 18h à la librairie L’Hydre aux mille têtes à Marseille (96 rue Saint-Savournin, 13001) dans le cadre de la parution de son livre « Contre-histoire d’Internet » aux éditions Agone.
]]>
QSPTAG #295 — 6 octobre 2023https://www.laquadrature.net/?p=21277http://isyteck.com/autoblog/quadrature/index.php5?20231006_160350_QSPTAG__295_____6_octobre_2023Fri, 06 Oct 2023 14:03:50 +0000Sensivic, couic

Voilà déjà deux ans que nous avons attaqué en justice et devant la CNIL l’initiative de la mairie d’Orléans qui voulait installer dans certaines rues les micros de surveillance de l’entreprise Sensivic pour détecter « des sons anormaux ». Des cris de misère, des ventres qui gargouillent, des protestations contre la suppression des services publics ? Non : des bruits de bombe de peinture, de bagarre, de verre brisé ou des éclats de voix. Petit problème : le système implique « d’analyser en permanence le son ambiant pour pouvoir détecter des anomalies ». N’allez pas raconter votre dernier secret amoureux dans les rues d’Orléans.

Suite à notre action, Sensivic (aujourd’hui en redressement judiciaire) et la ville d’Orléans ont reçu la visite de la CNIL qui a étudié de près cette surveillance. Finalement, par un courrier du 27 septembre dernier, l’autorité nous a informé qu’elle considère illégal le couple maléfique constitué par les caméras et les micros dans les rues. On détaille dans l’article pourquoi cette position est insatisfaisante à nos oreilles – les micros tout seuls seraient-ils donc plus acceptables ?

Lire l’article : https://www.laquadrature.net/2023/09/30/audiosurveillance-algorithmique-a-orleans-la-cnil-donne-raison-a-la-quadrature-sur-lillegalite-du-dispositif/

Affaire du « 8 décembre » : le chiffrement mis en procès

C’est un sujet grave dont nous parlons depuis le mois de juin dernier. Un groupe de sept personnes est inculpé du chef de terrorisme, pour diverses raisons sans lien apparent, et surtout sans trace d’un projet terroriste avéré. Mais les enquêteurs de la DGSI et le parquet national antiterroriste ne doutent pas de leur intuition et pensent que les intentions terroristes des inculpé·es sont d’autant plus certaines qu’elles sont cachées.

Et ce n’est même pas une blague : pour l’accusation, le fait que les accusé·es utilisaient des messageries chiffrées (Signal par exemple) et des disques durs chiffrés est la marque évidente d’une « culture de la clandestinité ». Encore plus fort : alors qu’elle a saisi tous les appareils électroniques des accusé·es, ordinateurs et téléphones, et qu’elle a pu lire 80 à 90 % de leur contenu, l’accusation prétend que les preuves d’un projet terroriste se cachent forcément dans les 10% restants, qui sont chiffrés. Comme le dit l’un des avocats d’une inculpée, « l’absence de preuve devient une preuve ».

L’histoire serait absurde si elle n’était pas très grave. D’abord, des vies ont été détruites : surveillance, prison, procès, emplois perdus, désastre psychologique. Et pour nous, les prémisses et les conséquences du raisonnement policier et judiciaire concernent tout le monde : tout le monde utilise des messageries chiffrées. Whatsapp par exemple, qui est le moyen de communication utilisé pour un très grand nombre de conversations amicales et familiales, est une messagerie chiffrée. Les journalistes, les lanceur·euses d’alerte, les militant·es politiques et syndicales, les chercheur·euses, les industriel·les, ont besoin de protéger leurs communications. Au quotidien, le secret des correspondances est protégé par le droit, comme principe de base de libertés civiles et du débat démocratique. Le droit à la vie privée est la condition sine qua non à l’exercice d’autres libertés fondamentales.

Si l’utilisation d’outils de chiffrement devenait, lors de ce procès et de son verdict, un élément incriminant ou aggravant, alors nous serions toutes et tous des terroristes, des malfaiteurs ou des comploteurs en puissance. Et si les outils de chiffrement était interdits, alors nos échanges numériques seraient accessibles à toutes les personnes malintentionnées et à toutes les polices. Cela n’est pas envisageable. C’est pourquoi nous suivons de très près ce procès, pour les droits de toutes et tous.

Lire l’article : https://www.laquadrature.net/2023/10/02/affaire-du-8-decembre-le-droit-au-chiffrement-et-a-la-vie-privee-en-proces/

La Quadrature dans les médias

Technopolice (reconnaissance faciale)

Technopolice (audiosurveillance algorithmique)

Technopolice (police prédictive)

Loi SREN (Espace numérique)

Règlement CSAR (Chat control)

Chiffrement et « 8 décembre »

Agenda

  • 6 octobre : rencontre avec Félix Tréguer à 19h à la librairie Le Monte-en-l’air à Paris (2 rue de la Mare, 75020) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
  • 6 octobre : Rencontres Radicales d’Alternatiba – Table ronde sur la répression. Césure – 13 rue Santeuil 75005, 19h.
  • 3-27 octobre : procès de l’affaire du « 8 décembre », audiences publiques les après-midis du mardi au vendredi à partir de 13h30 au tribunal de Paris (Porte de Clichy).
  • 12 octobre : causerie mensuelle Technopolice Marseille, de 19h à 20h, au Manifesten (59 rue Adolphe Thiers, Marseille).
]]>
Projet de loi SREN et filtre « anti-arnaque » : les navigateurs comme auxiliaires de policehttps://www.laquadrature.net/?p=21259http://isyteck.com/autoblog/quadrature/index.php5?20231005_173733_Projet_de_loi_SREN_et_filtre_____anti-arnaque________les_navigateurs_comme_auxiliaires_de_policeThu, 05 Oct 2023 15:37:33 +0000Le projet de loi visant à sécuriser et réguler l’espace numérique (« SREN », parfois appelé projet de loi « Espace numérique »), qui est actuellement débattu en hémicycle à l’Assemblée nationale, comporte un article 6 qui crée une nouvelle excuse pour imposer un mécanisme de censure administrative : la protection contre les « arnaques » en ligne. Cet article ne se contente pas de créer un nouveau prétexte pour faire retirer un contenu : pour la première fois, il exige également que les fournisseurs de navigateurs Internet participent activement à cette censure.

L’article 6 du projet de loi SREN prévoit en effet d’obliger les navigateurs Internet à censurer les sites qui proposeraient des « arnaques ». Cette censure administrative se ferait sur demande de la police (c’est-à-dire sans passer par un juge) si celle-ci estime qu’un contenu en ligne constitue une « arnaque ». Il faut entendre par « arnaque » les contenus qui usurperaient l’identité d’une personne, collecteraient de manière illicite des données personnelles, exploiteraient des failles de sécurité pour s’introduire dans le terminal de l’internaute ou tenteraient de tromper l’internaute par une fausse page de paiement ou de connexion (phishing, ou hameçonnage). Pour comprendre ce texte, présentons d’abord comment la censure se passe aujourd’hui en France.

La faible efficacité de la censure par DNS

Aujourd’hui, lorsqu’une censure d’un site est demandée, soit par un juge, soit par la police, elle passe par un blocage DNS. Pour simplifier, le DNS est le système qui traduit un nom de domaine en une adresse IP (par exemple www.laquadrature.net correspond à l’adresse IP 185.34.33.4). Quand un internaute veut consulter un site Internet, son périphérique interroge un service appelé « serveur DNS » qui effectue cette traduction. Chaque fournisseur d’accès Internet (FAI) fournit des serveurs DNS, de manière transparente pour l’abonné·e, qui n’a pas besoin de configurer quoi que ce soit : les serveurs DNS du FAI sont paramétrés par défaut.

Les injonctions de censure jouent aujourd’hui sur ce paramétrage par défaut : les FAI soumis à une obligation de censurer un site font mentir leur service DNS. Ainsi, au lieu de retourner à l’internaute la bonne adresse IP, le serveur DNS du FAI répondra qu’il ne connaît pas l’adresse IP du site censuré demandé, ou répondra par une adresse IP autre que celle du site censuré (par exemple pour rediriger l’internaute vers les serveurs du ministère de l’intérieur, comme c’est le cas avec la censure des sites terroristes ou des sites pédopornographiques).

La censure par DNS menteur a deux problèmes majeurs. Premièrement, elle est facilement contournable : il suffit à l’internaute de changer de serveur DNS. L’internaute peut même, lorsque sa box Internet le permet, paramétrer des serveurs DNS différents de ceux de son FAI, pour ne pas avoir à faire ce changement sur chaque périphérique connecté à son réseau. Deuxièmement, cette censure n’est pas précise : c’est tout le nom de domaine qui est bloqué. Il n’est ainsi pas possible de bloquer une page web seule. Si un FAI voulait bloquer avec un DNS menteur l’article que vous êtes en train de lire, il bloquerait aussi tous les autres articles sur www.laquadrature.net.

Lorsque le principe de la censure sur Internet a été introduit en droit, les législateurs dans le monde ont tâtonné pour trouver un moyen de la rendre effective. Différentes techniques ont été expérimentées avec la censure par DNS, et toutes posaient de sérieux problèmes (voir notamment l’article de Benjamin Bayart sur le site du FAI associatif French Data Network). Finalement, la censure par DNS menteur, lorsqu’elle ne consiste pas à renvoyer vers les serveurs d’un ministère1Lorsque les serveurs DNS d’un FAI répondent par une adresse IP qui n’appartient pas au site demandé mais à un tiers, ce tiers, qui recevra le trafic ainsi redirigé, sera capable de savoir quels sites censurés un·e abonné·e a voulu consulter. Ainsi, lorsqu’un serveur DNS répond par une adresse IP du ministère de l’intérieur lorsqu’on lui demande un site terroriste ou pédopornographique censuré (dans le but d’afficher le message d’avertissement du gouvernement), le ministère de l’intérieur sait que tel·le abonné·e a voulu accéder à tel site censuré. Qu’un gouvernement puisse connaître les détails d’une partie de la navigation d’un·e internaute pose d’évidents problèmes de vie privée., a l’avantage de ne poser que peu de restrictions aux libertés fondamentales. Et le status quo aujourd’hui est de préférer cette technique de censure peu efficace à d’autres qui poseraient des problèmes techniques ou conduiraient à devoir surveiller tout le trafic.

En France, on n’a pas de pétrole, mais on a des idées

C’est là que le gouvernement français innove avec son idée de censure par les navigateurs Internet. L’article 6 du projet de loi SREN vise à obliger les navigateurs à censurer des sites qui auraient été notifiés par la police parce qu’ils proposeraient des « arnaques ». Pour cela, le gouvernement compte sur une technologie déjà présente dans les principaux navigateurs : les filtres anti-phishing.

Aujourd’hui, les principaux navigateurs protègent leurs internautes en comparant les URL des sites visités avec une liste d’URL connues pour être dangereuses (par exemple, si le site héberge des applications malveillantes ou un faux formulaire de connexion pour tenter de voler des identifiants). Il existe différentes listes d’URL dangereuses, notamment Google Safe Browsing (notamment utilisée par Firefox) ou Microsoft Defender SmartScreen (utilisée par Edge) : le navigateur, à partir d’une copie locale de cette liste, va vérifier que l’internaute n’est pas en train de naviguer vers une URL marquée comme dangereuse. Et si c’est le cas, un message d’avertissement est affiché2Vous pouvez tester vous-même dans Firefox avec cette adresse de test de Mozilla. Rassurez-vous, le site en question n’est pas dangereux, il ne s’agit que d’une démonstration..

Mais cette censure n’est pas obligatoire : l’internaute peut passer outre l’avertissement pour un site et il peut désactiver totalement cette censure dans les paramètres de son navigateur. Celle-ci est également transparente : les listes d’URL bloquées sont téléchargées localement, c’est-à-dire qu’elle sont intégralement connues par l’ensemble des internautes (voir, pour Firefox, l’explication du fonctionnement sur le site de Mozilla).

Or, avec ce projet de loi SREN, le législateur entend s’inspirer de ces filtres, mais en changeant leur esprit. Les navigateurs devront obligatoirement intégrer un mécanisme de censure des sites d’« arnaques » et, même si l’internaute pourra passer outre un avertissement, ce mécanisme ne pourra pas être désactivé dans son ensemble.

Certes, le gouvernement voulait initialement aller plus loin : dans la version du texte présentée en juillet au Sénat, il n’était pas question de laisser la possibilité à l’internaute de contourner un blocage. Exit le bouton « J’ai compris » : si la police avait décidé qu’une URL était dangereuse, il n’était pas envisagé que vous puissiez accéder à cette adresse. En commission spéciale à l’Assemblée nationale, des député·es ont modifié le texte issu des travaux du Sénat pour ajouter la possibilité de contourner un blocage exigé d’un navigateur. Leur élément de langage était tout trouvé : ne parlez plus de « censure », il ne s’agit désormais que de « filtrage ». Bon, peut-être n’avaient-ils pas ouvert un dictionnaire : « Filtrage, n.m. […] Censure des informations jugées non conformes à la loi ou aux bonnes mœurs » nous rappelle le Wiktionnaire.

Malgré cette maigre atténuation des dangers de cette censure par rapport à la version du Sénat, le principe de cet article 6 n’a pas été remis en cause par les député·es en commission spéciale : les navigateurs devront toujours, en l’état actuel du projet de loi, censurer les URL notifiées par la police.

Un texte flou qui sapera la confiance dans les navigateurs

Ce nouveau mécanisme de blocage comporte énormément de parts d’ombre. Par exemple, le texte ne précise pas comment les navigateurs devront l’intégrer. Le décret d’application que devra adopter le gouvernement pour préciser la loi pourrait très bien, en raison du flou de la rédaction actuelle, exiger l’utilisation d’une sorte de boîte noire non-libre pour faire cette censure. Cela aurait comme conséquence que les navigateurs Internet aujourd’hui libres, comme Firefox, ne le seraient plus réellement puisqu’ils intégreraient cette brique non-libre du gouvernement.

Par ailleurs, le projet de loi est également flou sur la question de la transparence des URL bloquées. En l’état actuel du texte, les URL censurées ne doivent être rendues publiques que 72h après une injonction de censure. Autrement dit, la police pourrait exiger des navigateurs qu’ils ne dévoilent pas aux internautes quelles URL sont censurées. Dès lors, à défaut de ne pouvoir embarquer la liste complète des URL bloquées, les navigateurs devraient interroger la police (ou un tiers agissant pour son compte) à chaque fois qu’une page web serait demandée par l’internaute pour vérifier si celle-ci n’est pas soumise à une injonction de blocage. Ce faisant, la police (ou ce tiers) connaîtrait l’intégralité de la navigation Internet de tout internaute.

Au-delà du flou entretenu sur cet article 6, les navigateurs deviendront, avec ce texte, des auxiliaires de police. Ils devront opérer pour le compte de la police cette censure. Ils devront assumer à la place de l’État les cas de surcensure qui, vu la quantité de contenus à traiter, arriveront nécessairement3Cette surcensure arrive déjà aujourd’hui avec les filtres anti-phishing intégrés par défaut. Cela s’est par exemple produit avec des instances Mastodon.. Ils devront engager leur crédibilité lorsque des abus seront commis par la police. Alors que ce filtre anti-arnaque voulait redonner confiance aux internautes lorsqu’ils ou elles naviguent en ligne, c’est bien l’inverse qui se produira : le gouvernement retourne les navigateurs contre leurs utilisateur·rices, en imposant à ces dernier·es des censures possiblement injustifiées et potentiellement arbitraires. Comment, dans ce cas, faire confiance à un navigateur dont le comportement est en partie dicté par la police ?

Et c’est sans parler de cet effet cliquet qui se met en place à chaque nouvelle mesure sécuritaire. Il est impossible de revenir sur de nouvelles formes de contrôle par l’État : initialement présentées comme limitées, elles finissent inévitablement par être étendues. Avec son texte, le gouvernement envoie un signal fort à sa police et aux autres administrations : une fois l’État capable de faire bloquer sans juge les « arnaques » par les navigateurs, tout le monde pourra avoir sa part du gâteau de la censure par navigateur. Demain, la police voudra-t-elle faire censurer les discours politiques ou d’actions écologistes sous prétexte de lutte contre le terrorisme ? Les parlementaires voudront-ils faire bloquer des contenus haineux comme au temps de la loi Avia ? L’Arcom, qui a récupéré les pouvoirs de l’Hadopi en matière de droit d’auteur, voudra-telle bloquer les sites de streaming ?

Prendre les internautes pour des enfants incapables

Une fois encore, la CNIL est brandie en garde-fou qui permettrait de neutraliser et faire oublier tous les dangers de ce texte. Le projet de loi prévoit ainsi qu’une « personnalité qualifiée » de la CNIL sera notifiée des URL censurées et pourra enjoindre à la police de cesser un blocage abusif.

Or, ce « garde-fou » n’est pas sans rappeler celui, similaire et totalement défaillant, que l’on retrouve en matière de censure des sites terroristes ou pédopornographiques : lorsque la police veut faire censurer un contenu à caractère terroriste ou pédopornographique, une personnalité qualifiée de l’Arcom est chargée de vérifier que la demande est bien légitime. Avant l’Arcom, c’était à une personnalité qualifiée de la CNIL, Alexandre Linden, que revenait cette tâche. En 2018, il dénonçait le manque de moyens humains à sa disposition, ce qui a conduit à l’impossibilité de contrôler l’ensemble des demandes de censure. En 2019, il réitérait son appel et rappelait que les moyens nécessaires à son contrôle n’étaient toujours pas là. En 2020, il alertait sur les obstacles techniques mis en place par le ministère de l’intérieur.

Avec la censure des contenus terroristes ou pédopornographiques, ce sont déjà près de 160 000 contenus qui ont été vérifiés en 2022. Or, ce filtre « anti-arnaque » opèrerait un changement d’échelle : avec environ 1000 nouvelles menaces quotidiennes, il faudrait deux à trois fois plus de vérifications. Autant dire qu’il est illusoire de compter sur un tel garde-fou. Pire ! La police n’aura pas à motiver ses décisions de blocage lorsqu’une « mesure conservatoire » est prise, c’est-à-dire dans les cinq jours suivants la détection de l’arnaque, lorsque la police attend l’explication du site concerné. La personnalité qualifiée devra donc vérifier la véracité des « mesures conservatoires » sans connaître la raison pour laquelle la police a ordonné la censure.

En quoi la protection des internautes justifie-t-elle d’imposer une censure qu’ils ou elles ne pourront que contourner au cas par cas avec un message dont l’objectif est de dissuader de continuer ? Le gouvernement adopte une nouvelle fois une posture paternaliste auprès des internautes qui, pour leur bien, devraient accepter d’être pris·es par la main et de se voir imposer des mesures coercitives.

Reconnaissons un point : ce filtre « anti-arnaques » part d’une bonne intention. Mais l’imposer comme le fait l’article 6 du projet de loi SREN est un non-sens. Ce filtre aurait sa place dans un ensemble de mesures facultatives, mais qui ne relèvent pas de la loi : si le gouvernement est persuadé qu’il peut proposer un filtre « anti-arnaques » complet, fiable et à jour, pourquoi ne confie-t-il pas à la police le soin de maintenir une liste anti-phishing concurrente à celles de Google ou Microsoft ? Si ce filtre est de qualité, les navigateurs seront incités à l’intégrer, de leur plein gré et en laissant la liberté à l’internaute de le désactiver. Non, au contraire, le législateur préfère imposer sa solution, persuadé d’avoir raison et que forcer la main des navigateurs et des internautes serait une bonne chose. Et tant pis si cette censure ne sert à rien puisque, comme pour la censure des sites pornographique, les origines du problème ne sont pas abordées : rien n’est prévu dans ce projet de loi pour éduquer les citoyen·nes aux risques sur Internet, aucun nouveau moyen pour la CNIL ou l’ANSSI et son service cybermalveillance.gouv.fr n’est envisagé.

La vision paternaliste qui se dégage de ce filtre « anti-arnaque » montre bien la philosophie de l’ensemble de ce projet de loi : réguler Internet par l’excès d’autorité. Taper du poing sur la table, montrer que le gouvernement agit même si cela est parfaitement inefficace, et finalement sacrifier les libertés fondamentales sur l’autel du marketing politique en se ménageant de nouveaux moyens de surveillance et de censure. Le législateur ne doit pas tomber dans le piège, tendu par la commission spéciale, d’un « filtrage » qui serait acceptable : ce texte prévoit bel et bien une censure administrative par les navigateurs inacceptable en elle-même. Il est donc fondamental que cet article 6 et, au-delà, l’ensemble du projet de loi soient rejetés. Alors pour nous aider à continuer à défendre un Internet libre, vous pouvez nous faire un don !

References

References
1 Lorsque les serveurs DNS d’un FAI répondent par une adresse IP qui n’appartient pas au site demandé mais à un tiers, ce tiers, qui recevra le trafic ainsi redirigé, sera capable de savoir quels sites censurés un·e abonné·e a voulu consulter. Ainsi, lorsqu’un serveur DNS répond par une adresse IP du ministère de l’intérieur lorsqu’on lui demande un site terroriste ou pédopornographique censuré (dans le but d’afficher le message d’avertissement du gouvernement), le ministère de l’intérieur sait que tel·le abonné·e a voulu accéder à tel site censuré. Qu’un gouvernement puisse connaître les détails d’une partie de la navigation d’un·e internaute pose d’évidents problèmes de vie privée.
2 Vous pouvez tester vous-même dans Firefox avec cette adresse de test de Mozilla. Rassurez-vous, le site en question n’est pas dangereux, il ne s’agit que d’une démonstration.
3 Cette surcensure arrive déjà aujourd’hui avec les filtres anti-phishing intégrés par défaut. Cela s’est par exemple produit avec des instances Mastodon.
]]>
Affaire du « 8 décembre » : le droit au chiffrement et à la vie privée en procèshttps://www.laquadrature.net/?p=21247http://isyteck.com/autoblog/quadrature/index.php5?20231002_154832_Affaire_du_____8_decembre________le_droit_au_chiffrement_et_a_la_vie_privee_en_procesMon, 02 Oct 2023 13:48:32 +0000Le 3 octobre prochain s’ouvrira le procès de l’affaire dite du « 8 décembre ». Sept personnes sont accusées d’association de malfaiteurs terroriste. Pour construire le récit du complot terroriste, les services de renseignement de la DGSI chargés de l’enquête judiciaire, le parquet national antiterroriste (PNAT) puis le juge d’instruction instrumentalisent à charge le fait que les inculpé·es utilisaient au quotidien des outils pour protéger leur vie privée et chiffrer leurs communications. Face à cette atteinte inédite, que nous documentions longuement il y a quelques mois, le temps de ce procès va donc être crucial dans la bataille contre les velléités récurrentes de l’État de criminaliser des pratiques numériques banales, sécurisées et saines, pratiques que nous défendons depuis toujours.

« Il reconnaissait devant les enquêteurs utiliser l’application Signal »

Comme le souligne le journal Le Monde qui a consacré un long article au « 8 décembre », cette affaire repose « sur des bases fragiles ». Parmi celles-ci, nous sommes particulièrement inquiets de la place donnée à l’utilisation des outils de chiffrement ou, plus largement, des moyens pour protéger sa vie privée. Un des enjeux de ce procès sera donc de savoir si une telle pratique peut être utilisée à charge par la police et la justice pour étayer la la présomption d’un projet terroriste. Un tel parti pris de la part du juge constituerait un passage de cap extrêmement dangereux, puisque toute forme de confidentialité deviendrait alors suspecte par défaut.

Dans ce dossier, protéger sa vie privée et chiffrer ses communications n’est plus seulement suspect mais devient constitutif d’un « comportement clandestin », un moyen de cacher un projet criminel. À travers différentes notes, la DGSI s’est ainsi affairée à démontrer comment l’utilisation d’outils comme Signal, Tor, Proton, Silence, etc., serait une preuve de la volonté de dissimuler des éléments compromettants. Et en plus de cela, comme nous le dénonçions en juin dernier, la DGSI justifie l’absence de preuves d’un projet terroriste par l’utilisation d’outils de chiffrement : les éléments prouvant une intention terroriste sont nécessairement, selon elle, dans ces fameux messages chiffrés et inaccessibles. Le serpent se mord la queue, ce qui amène les avocats d’un des inculpé·es à dénoncer le fait qu’« ici, l’absence de preuve devient une preuve ».

Plus inquiétant encore, l’enquête de la DGSI est parsemée d’approximations voire d’erreurs techniques, qui seront ensuite reprises par le PNAT puis le juge d’instruction. Ainsi, les enquêteurs confondent Tor et Tails dans certaines pièces du dossier. Le résultat de l’enquête pointe également comme un élément de culpabilité le fait que les inculpé·es chiffrent le contenu de leur téléphone ou de leur ordinateur. Toujours avec beaucoup de confusions techniques, la DGSI reproche ainsi aux personnes en cause d’utiliser LUKS, un outil disponible sous Linux pour chiffrer ses disques, pourtant banal et recommandé pour protéger ses données. Mais, de manière générale, l’ensemble du dossier tend à démontrer que la police et la justice ignorent que le chiffrement par défaut des supports de stockage est mis en place par les principaux développeurs de logiciels. Et ces mêmes autorités oublient que leurs périphériques aussi sont chiffrés (en tout cas nous l’espérons pour elles !).

En somme, il est reproché aux inculpé·es de respecter des règles élémentaires de sécurité informatique. Ce qui est parfois appelé « hygiène numérique »1Voir par exemple le guide de l’ANSSI sur l’hygiène numérique. devient le symbole d’un prétendu comportement clandestin.

Les États relancent leur guerre contre le chiffrement

Il existe depuis toujours une tension politique autour du chiffrement des communications électroniques, et cela est bien logique puisque le chiffrement est politique par nature. Martin Hellmann, un des chercheurs en mathématiques ayant participé à la conception du chiffrement asymétrique dans les années 1970, justifiait à l’époque sa démarche par sa crainte que « l’utilisation croissante des outils de traitement automatisés représente une réelle menace pour l’économie et la vie privée ». Pour lui, les techniques de chiffrement fiables constituaient une manière d’empêcher le développement de la « surveillance d’un État policier s’appuyant sur l’informatisation » 2Voir la citation de Corrigan-Gibbs, « Keeping Secrets », dans la thèse de Félix Tréguer, « Pouvoir et résistance dans l’espace public : une contre-histoire d’Internet (XVe-XXIe siècle) » accessible sur https://shs.hal.science/tel-01631122. Voir aussi le livre Contre-histoire d’Internet : Du XVe siècle à nos jours, édition revue et actualisée, Agone, 2023.. On le comprend, l’émergence de cette technologie n’est pas le résultat de découvertes scientifiques fortuites mais bien le fruit d’un rapport de force naissant. Et cela explique pourquoi les États ont toujours opposé une résistance à son développement et à son utilisation, une volonté de contrôle trahie par un discours transformant leurs créateur·rices et les utilisateur·rices du chiffrement en criminels potentiels.

En effet, dès la publication des travaux d’Hallman et de ses camarades, le gouvernement des États-Unis a fait pression pour que cette technique reste dans le domaine militaire, afin de pouvoir en maîtriser le développement. Ensuite, dans les années 1990, la démocratisation du chiffrement, notamment via le protocole PGP, donne de nouvelles sueurs froides au gouvernement états-unien qui repart à l’attaque. Ce dernier propose alors de mettre en place des « Clipper Chips », c’est-à-dire l’obligation d’installer une puce contenant une « porte dérobée » dans tout système chiffré, permettant un accès aux données pour les autorités judiciaires et administratives.

Commence alors une « crypto-war » qui oppose l’administration Clinton et les nombreux activistes défendant le droit à la cryptographie. Le gouvernement fédéral se défend en expliquant que « si les technologies cryptographiques sont rendues librement accessibles à l’échelle mondiale, elles seraient sans aucun doute largement utilisées par les terroristes, les trafiquants de drogue et autres criminels qui portent préjudice aux Américains sur le territoire national et à l’étranger. » Mais ce discours de criminalisation échoue et le chiffrement est retiré de la liste des « armes et munitions » en 1996, ouvrant la voie à sa libéralisation. En France, bien que poussée par des militant·es, cette libéralisation du chiffrement n’a eu lieu qu’en 1999, faisant de la France un des derniers États à vouloir garder cette technique sous son contrôle.

Les attaques contre le chiffrement ont refait surface dans les années 2010, à un moment où la population a tout à la fois pris conscience des méga-programmes de surveillance étatiques, vécu des épisodes d’attentats donnant lieu à un climat sécuritaire intense, et pu accéder à des messageries chiffrées grand public. Cette conjoncture a ainsi donné de nouvelles occasions aux différents ministres de l’intérieur (Cazeneuve, Castaner puis Darmanin), députés, ou président pour redonner corps à la criminalisation aussi bien des concepteur·rices des outils fondés sur du chiffrement (pensons par exemple à l’affaire de l’iPhone de San Bernardino qui a mis Apple au centre des critiques) que de ses utilisateur·rices.

La crainte d’un précédent irrémédiable

Avec l’affaire du « 8 décembre », nous assistons donc à une matérialisation de ce discours qui tente de faire croire que le chiffrement des communications serait l’apanage des criminels et terroristes. Sauf qu’il ne s’agit plus d’une déclaration politique opportuniste pour étendre des pouvoirs voulus depuis des décennies. Nous parlons cette fois-ci d’une accusation policière et judiciaire aux conséquences concrètes et graves, qui a participé à mettre des personnes en prison. Nos inquiétudes sont grandes face à la possibilité que les juges puissent adhérer à cette narration criminalisant les outils de protection de la vie privée. Cela créerait un précédent aussi bien juridique que politique, en plus d’avoir des conséquences humaines désastreuses pour les principales personnes concernées. La confidentialité, ici numérique mais qui pourrait s’étendre demain à des pratiques physiques, deviendrait alors une présomption de culpabilité. Se protéger, adopter des mesures de sécurité pour soi et les autres serait alors un motif de poursuites.

Isabela Fernandes, la directrice exécutive du Tor Project nous a fait part de son soutien dans cette bataille à venir. Pour elle, « le chiffrement ne doit pas être compris à tort comme un signe d’intention malveillante mais, doit au contraire être vu comme une composante fondamentale du droit à la vie privée et à la sécurité informatique des personnes. Dès lors que de plus en plus d’aspects de nos vies ont lieu en ligne, le chiffrement est garant de la capacité à protéger sa vie privée et ses droits. »

Elle ajoute : « De nombreux outils préservant la vie privée sont utilisés par les membres de la Commission européenne et des organes d’État. Les gouvernements ont la responsabilité d’assurer le droit à la liberté d’expression et à la vie privée pour toutes et tous afin de protéger un fondement des sociétés démocratiques – plutôt que de promouvoir une interprétation biaisée de qui peut bénéficier de ces droits et qui ne le peut pas. »

C’est bien parce que déduire de l’utilisation d’outils pour protéger sa vie privée et chiffrer ses communications un comportement clandestin vient nourrir un dossier pénal très faible que plus de 130 personnes et organisations ont dénoncé cela dans une tribune parue dans Le Monde. À l’heure où l’État étend ses filets de plus en plus loin, autorise la surveillance à distance des objets connectés , y compris ceux des journalistes sous prétexte de sécurité nationale, assimile les revendications écologiques à du terrorisme pour mieux justifier sa débauche de moyens répressifs et intrusifs, perquisitionne les journalistes qui révèlent des crimes de guerre commis avec la complicité de l’État, veut mettre fin à toute idée d’anonymat en ligne ou à tout secret des correspondances, nous assistons actuellement à un emballement autoritaire terriblement inquiétant.

Ce procès est une énième attaque contre les libertés fondamentales, mais surtout un possible aller sans retour dans le rapport que l’État entretient avec le droit à la vie privée. Alors votre mobilisation est importante ! Rendez-vous demain, 3 octobre, à 12h devant le tribunal de Paris (Porte de Clichy) pour un rassemblement en soutien aux inculpé·es. Puis si vous le pouvez, venez assister aux audiences (qui se tiendront les après-midis du 3 au 27 octobre au tribunal de Paris) afin de montrer, tous les jours, solidarité et résistance face à ces attaques.

References

References
1 Voir par exemple le guide de l’ANSSI sur l’hygiène numérique.
2 Voir la citation de Corrigan-Gibbs, « Keeping Secrets », dans la thèse de Félix Tréguer, « Pouvoir et résistance dans l’espace public : une contre-histoire d’Internet (XVe-XXIe siècle) » accessible sur https://shs.hal.science/tel-01631122. Voir aussi le livre Contre-histoire d’Internet : Du XVe siècle à nos jours, édition revue et actualisée, Agone, 2023.
]]>
Audiosurveillance algorithmique à Orléans : la CNIL donne raison à La Quadrature sur l’illégalité du dispositifhttps://www.laquadrature.net/?p=21242http://isyteck.com/autoblog/quadrature/index.php5?20230930_145122_Audiosurveillance_algorithmique_a_Orleans____la_CNIL_donne_raison_a_La_Quadrature_sur_l___illegalite_du_dispositifSat, 30 Sep 2023 12:51:22 +0000En 2021, La Quadrature du Net avait attaqué un dispositif d’audiosurveillance algorithmique déployé à Orléans dans le cadre d’une convention avec l’entreprise de surveillance Sensivic. Cette semaine, la CNIL vient de nous donner raison en soulignant l’illégalité de ce dispositif technopolicier.

En 2021, la ville d’Orléans concluait avec une startup locale, Sensivic, un contrat pour expérimenter une nouvelle forme de surveillance policière de l’espace public : l’audiosurveillance algorithmique (ASA). Comme ce qui avait été tenté à Saint-Étienne, le projet consistait à déployer des « détecteurs de sons anormaux » (c’est-à-dire des « mouchards ») sur des caméras de surveillance.

L’ASA est un des composantes de la Technopolice qui s’affirme sur le territoire français, aux côtés de la vidéosurveillance algorithmique (VSA), des drones ou de la reconnaissance faciale. Il est essentiel de la freiner et de la combattre partout où elle se déploie. C’est la raison pour laquelle nous avions donc attaqué la convention entre Orléans et Sensivic, aussi bien devant la justice administrative que devant la CNIL. C’est aujourd’hui que la CNIL, après plus de deux ans d’instruction, vient de nous donner raison.

Pas d’oreilles pour les caméras

La CNIL vient ici rappeler ce qu’elle avait déjà dit à Saint-Étienne. En effet, en 2019, avec l’aide de l’entreprise Serenicity, Saint-Étienne avait envisagé un projet similaire de surveillance sonore : la CNIL avait déjà à l’époque considéré qu’il est illégal de capter des sons dans l’espace public pour améliorer la vidéosurveillance.

Le projet orléanais que nous avons attaqué prévoyait bien lui aussi une analyse automatisée de tous les sons de l’espace public dans l’objectif d’aider les caméras à repérer certains comportements suspects. Malgré tout ce qu’a pu baratiner Sensivic dans le cadre de notre contentieux, la CNIL rappelle le droit : ce dispositif de micros, couplé à la vidéosurveillance, est illégal car le droit existant ne permet en aucun cas une telle surveillance.

Après Saint-Étienne, une telle décision à Orléans permet au moins de clarifier les choses et de mettre un frein, aussi petit soit-il, à l’industrie de la surveillance qui cherche par tous les moyens à revendre ses logiciels de surveillance de masse.

La CNIL relègue l’ASA au rang de technologie inutilisable

Cette position de la CNIL est néanmoins décevante.

D’une part, alors qu’il ne s’agissait que de l’application stricte d’une décision déjà prise dans le passé à Saint-Étienne, la CNIL a mis presque trois ans à instruire ce dossier et à prendre une décision. Trois ans pendant lesquels l’ASA a pu se normaliser et se développer. Trois ans de gagnés pour la Technopolice. Notons que nous sommes d’ailleurs toujours en attente de la décision du tribunal administratif sur ce même dossier.

D’autre part, la CNIL limite son raisonnement à la question du couplage de l’ASA avec la vidéosurveillance. A contrario, elle considère que, lorsque l’ASA n’est pas couplée à de la vidéosurveillance, il pourrait ne pas y avoir de traitement de données personnelles. Cette analyse de la CNIL, bien que sans conséquence pratique, reste très contestable juridiquement. En bref, elle semble laisser une marge à l’industrie de la surveillance sur la question de l’analyse automatisée des sons.

Considérer qu’il n’y a de traitement de données personnelles que lorsque l’ASA est couplée avec un dispositif de vidéosurveillance (ou n’importe quel un mécanisme d’identification des personnes) est juridiquement contestable. Mais cela n’a pas de conséquence pratique directe : l’objectif de l’ASA est bien de connaître la source d’un bruit, c’est-à-dire d’être couplée à un autre dispositif. Ce « complément naturel à l’image dans les systèmes de sécurité et de vidéosurveillance », pour reprendre les mots de Sensivic, est bien illégal.

Cette victoire devant la CNIL est une bonne nouvelle. Au tour de la justice administrative, désormais, de rendre sa décision. Il est urgent, aujourd’hui, de mettre un terme définitif à ces projets de surveillance sonore. Alors pour nous aider à continuer la lutte, vous pouvez participer à documenter cette surveillance ou faire un don.

Mise à jour du 24 octobre 2023 : nous venons d’informer le tribunal administratif d’Orléans de la position de la CNIL (notre mémoire est consultable ici).

]]>
QSPTAG #294 — 22 septembre 2023https://www.laquadrature.net/?p=21214http://isyteck.com/autoblog/quadrature/index.php5?20230922_181956_QSPTAG__294_____22_septembre_2023Fri, 22 Sep 2023 16:19:56 +0000Loi SREN : un catalogue de mauvaises nouvelles

Le projet de loi « visant à sécuriser et réguler l’espace numérique » (SREN), voté en juillet dernier par le Sénat mais actuellement en discussion à l’Assemblée, est dans son état actuel un grand fourre-tout de mesures pour « civiliser » le « Far-West » qu’est encore aujourd’hui le web dans l’esprit des politiques.

De nombreux faits divers sont venus alimenter cette vision noire d’internet, coupable de tous les maux de la société : après le terrorisme, la pédophilie, la désinformation, les mouvements sociaux spontanés ou les émeutes de banlieue, les maux qui justifient une action énergique sont aujourd’hui le harcèlement scolaire et la pornographie accessible aux enfants. Et comme à chaque fois, on n’imagine rien d’autre que davantage de répression, de censure et de surveillance, confiées à des acteurs privés (les grandes plateformes de réseaux sociaux, en général) sans contrôle de la justice et avec les encouragements des services administratifs et policiers de l’État.

Bien sûr, personne ne songe à nier ou à minimiser les problèmes ni les faits de société qui sont à l’œuvre. En revanche, il est de notre rôle de prendre la parole quand les moyens imaginés pour les résoudre sont démesurés, inefficaces, ou carrément dangereux : surveiller tout et tout le monde présente beaucoup de risques pour une société démocratique… Nous avons donc publié le 12 septembre un long article d’analyse — aussi dense et copieux que la loi — pour présenter les points qui nous inquiètent.

Le projet de loi aborde la problématique du harcèlement en ligne par la manière autoritaire : une personne condamnée, donc bien connue et punie en proportion de ses actes, serait désormais bannie des réseaux sociaux. À charge aux plateformes de se débrouiller pour identifier les nouveaux comptes créés par une personne condamnée. Comment y arriver, si chacun ne doit pas fournir son identité civile pour créer le moindre compte ?
Même logique encore contre les arnaques en ligne (phishing et autres) : une liste de sites identifiés à bloquer serait fournie par l’État et intégrée directement dans les navigateurs web. Un moyen parfait pour créer des listes à tout faire où se retrouveraient des sites à teneur politique ou contestataire.

Par ailleurs, le projet de loi ne propose aucune solution favorisant l’autogestion des contenus en ligne, comme l’interopérabilité des réseaux sociaux que nous défendons depuis plusieurs années. En permettant la création d’instances spécifiques, gérées par une communauté qui se dote de règles, elle permettrait pourtant aux internautes jeunes et vieux d’évoluer dans des espaces modérés où les contenus haineux et pédopornographiques seraient exclus, et au pire cantonnés à des espaces plus faciles à identifier et à isoler. La promotion des plateformes géantes entraîne le recours à des moyens massifs qui attentent aux droits du plus grand nombre.

Le texte présente enfin des mesures contre l’accès jugé trop facile des enfants et des jeunes à la pornographie en ligne. L’obligation faite aux sites depuis 2020 de filtrer l’entrée aux mineurs n’ayant rien changé, le projet de loi SREN introduit une nouvelle obligation de prouver son âge. Devoir faire usage de son identité civile pour naviguer sur Internet, voilà une nouveauté très dérangeante. Comme chaque point de cette loi mérite une analyse particulière, nous avons également publié le 19 septembre un article consacré à la question de l’accès au porno, écrit en partenariat avec l’association Act-Up.

Passé en commission des lois cette semaine, le projet de loi sera discuté en séance par l’Assemblée à partir du 4 octobre prochain.

L’analyse complète de la loi : https://www.laquadrature.net/2023/09/12/projet-de-loi-sren-le-gouvernement-sourd-a-la-realite-dinternet/

L’article sur l’accès au porno : https://www.laquadrature.net/2023/09/19/projet-de-loi-sren-et-acces-au-porno-identifier-les-internautes-ne-resoudra-rien/

Règlement CSAR : la fin des échanges confidentiels ?

Les instances de l’Union européenne travaillent en ce moment sur un projet de règlement contre la pédopornographie intitulé « Child Sexual Abuse Regulation » (CSAR) et souvent appelé « Chat control » par les acteurs européens. Idée forte du texte : pour lutter contre les violences sexuelles faites aux enfants, il est demandé aux hébergeurs de contenus en ligne de détecter les contenus pédopornographiques et de surveiller les conversations des utilisateurs.

En réalité, l’analyse des images postées par les utilisateurs de services en ligne existe déjà, pratiquée par Meta, envisagée par Apple, et encouragée à titre expérimental, pour 3 ans, par un précédent règlement européen de 2021. Le CSAR doit justement prendre le relais et inscrire cette obligation d’analyse et de filtrage dans le marbre. L’enjeu est colossal. Dans ce cadre comme dans celui de la loi SREN, la lutte contre la pédopornographie, totem inattaquable et légitime, justifie l’abolition de la confidentialité de tous les échanges en ligne.

Le pseudonymat, le chiffrement des échanges, le secret des correspondances, la vie privée qui va de pair avec la liberté d’expression, tout disparaît devant une seule cause élevée en absolu — et pour des résultats que des études et des services de police ne jugent même pas probants.

Lire l’article complet :
https://www.laquadrature.net/2023/09/18/reglement-csar-la-surveillance-de-nos-communications-se-joue-maintenant-a-bruxelles/

La Quadrature dans les médias

Loi SREN

VSA et JO

Divers

Agenda

  • 23 septembre : soirée de soutien aux inculpé·es du « 8 décembre » au Centre Paris Anim’ Montparnasse (Jardin Atlantique, 26 allée du Chef d’Escadron de Guillebon, 75014) — discussion à 16h avec L’Envolée et La Quadrature du Net, puis grand concert de 18h à 23h : https://www.agendamilitant.org/Concert-de-soutien-aux-inculpee-es-du-8-12.html.
  • 25 septembre : discussion «  Affaire du « 8 décembre » : antiterrorisme et criminalisation du chiffrement » à la Bourse du Travail à Paris (29 boulevard du Temple, 75003) — à partir de 19h avec La Quadrature du Net, le SNJ, N0thing to Hide et les avocats des inculpé·es.
  • 26 septembre : La Quadrature participera à une discussion sur le chiffrement et la surveillance organisée par EDRi à partir de 16h30 à Bruxelles (lieu à préciser) : https://edri.org/take-action/events/save-the-date-join-edri-to-talk-encryption-surveillance-and-privacy/.
  • du 28 septembre au 1er octobre : deuxième édition du Festival Technopolice à Marseille ! Films, ateliers et débats, toutes les infos ici : https://technopolice.fr/festival-2023/.
  • 28 septembre : rencontre avec Félix Tréguer à 18h à la librairie L’Hydre aux mille têtes à Marseille (96 rue Saint-Savournin, 13001) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
  • 29 septembre : apéro mensuel au Garage (115 rue de Ménilmontant, 75020 Paris) à partir de 19h : apportez un petit truc à manger ou à boire si vous pouvez et venez discuter avec nous !
  • 6 octobre : rencontre avec Félix Tréguer à 19h à la librairie Le Monte-en-l’air à Paris (2 rue de la Mare, 75020) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
  • ]]> Projet de loi SREN et accès au porno : identifier les internautes ne résoudra rienhttps://www.laquadrature.net/?p=21195http://isyteck.com/autoblog/quadrature/index.php5?20230919_111614_Projet_de_loi_SREN_et_acces_au_porno____identifier_les_internautes_ne_resoudra_rienTue, 19 Sep 2023 09:16:14 +0000Article co-écrit par La Quadrature du Net et Act Up-Paris.

    Parmi les nombreuses mesures du projet de loi visant à sécuriser et réguler l’espace numérique (« SREN » ou « Espace numérique ») figurent deux articles qui renforcent le contrôle des sites proposant du contenu à caractère pornographique, en leur imposant de vérifier l’âge des internautes pour bloquer l’accès aux mineur·es. Nous revenons, La Quadrature du Net et Act Up-Paris, sur cette mesure et ses dangers (voir aussi l’analyse globale de La Quadrature sur le projet de loi SREN).

    Vérification de l’âge et blocage

    À l’été 2020, la loi n° 2020-936 a renforcé les obligations pesant sur les sites proposant du contenu à caractère pornographique afin d’empêcher les mineur·es d’accéder à ces derniers. D’une part, elle a renforcé le délit que commet un site à caractère pornographique s’il est accessible à un·e mineur·e : demander à l’internaute de déclarer sur l’honneur qu’il ou elle est majeur·e ne suffit pas. D’autre part, cette loi a introduit une obligation pour ces sites de recourir à des dispositifs de vérification de l’âge des internautes. La sanction en cas d’absence de vérification de l’âge est la censure. L’Arcom, autorité née de la fusion entre le CSA et la Hadopi, est chargée de mettre en demeure les sites ne vérifiant pas correctement l’âge des internautes, puis de saisir la justice pour les faire censurer si les mises en demeures sont restées sans effet.

    À l’époque, La Quadrature constatait que, encore une fois, les élu·es n’avaient rien compris à ce qu’est Internet. Vouloir mettre en place une obligation de vérifier l’âge des internautes en empêchant la seule technique respectueuse des libertés fondamentales qu’est l’auto-déclaration de l’internaute revient à supprimer le droit à l’anonymat en ligne. Act Up-Paris s’était prononcée également contre de tels procédés de censure, contre-productifs tant pour protéger les mineur·es de l’exposition aux contenus pornographiques que pour l’indépendance des travailleur·ses du sexe.

    Le projet de loi SREN actuellement débattu à l’Assemblée montre que le gouvernement et les élu·es qui soutiennent ce texte n’ont toujours pas compris le fonctionnement d’Internet et les enjeux en termes de libertés fondamentales. En effet, à ses articles 1er et 2, ce texte va encore plus loin dans l’obligation de vérifier l’âge des internautes qui souhaiteraient accéder à un site à caractère pornographique : si ces deux articles étaient votés en l’état, l’Arcom pourrait imposer aux plateformes ses propres choix techniques pour vérifier l’âge (à travers l’édiction d’un référentiel), puis censurer elle-même, sans passer par un juge, les sites qui ne se plieraient pas à ses exigences (par des injonctions de blocage et de déréférencement).

    Contourner le juge

    Ce projet de loi prévoit deux contournements du juge : celui-ci ne décidera plus du bien-fondé d’une censure avant que celle-ci ne soit prononcée, et il ne décidera plus de la manière de procéder à la vérification de l’âge.

    En effet, premièrement, le ministre Jean-Noël Barrot à l’origine de ce projet de loi ne cache pas que l’objectif est de ne plus attendre la justice pour censurer les sites : le projet de loi confie, dans son article 2, le soin à l’Arcom de censurer elle-même les sites, au lieu de passer par la justice, dans un mouvement de défiance envers cette dernière. M. Barrot justifiait ainsi devant le Sénat le rôle du référentiel qu’édictera l’Arcom : « En réalité, le référentiel vient sécuriser la capacité de l’Arcom à ordonner le blocage et le déréférencement. Et puisque nous prévoyons dans les articles 1er et 2 d’aller beaucoup plus vite, en contournant la procédure judiciaire, pour procéder à ce blocage, il faut que nous puissions fixer, à tout le moins, les conditions dans lesquelles le blocage et le déréférencement puissent être prononcés par l’Arcom. »

    Le ministre a admis également dans la presse que ce mécanisme pourrait parfaitement conduire à censurer des réseaux sociaux comme Twitter. En effet, censurer Twitter est une demande récurrente de certaines associations de protection de l’enfance qui avaient formellement saisi l’année dernière l’Arcom afin qu’elle obtienne le blocage judiciaire du réseau social. Pourtant, à notre connaissance, l’autorité n’a jamais fait droit à cette demande, très certainement parce qu’une telle censure serait refusée par la justice. Demain, si ce texte passait, l’autorité pourrait exiger directement le blocage d’un réseau social comme Twitter, d’autant plus que le gouvernement l’y incite.

    Deuxièmement, le contournement du juge réside également dans les règles qui s’appliqueront aux sites pour vérifier l’âge. En effet, l’Arcom sera chargée d’établir un référentiel pour déterminer les caractéristiques obligatoires de la vérification de l’âge. Aujourd’hui, en l’absence de précision dans la loi, c’est le juge qui, lorsqu’il est saisi d’une demande de l’Arcom de censure d’un site, regarde si la vérification de l’âge est techniquement possible et décide de prononcer ou non une censure en fonction des outils disponibles et des conséquences pour les droits fondamentaux. Mais demain, ce sera l’Arcom qui décidera de comment procéder à cette vérification1On relèvera également le grand risque d’inconstitutionnalité de ce nouveau pouvoir accordé à l’Arcom. Depuis une décision de 1989, le Conseil constitutionnel considère que, s’il est possible de confier à une autorité administrative un pouvoir réglementaire, c’est-à-dire un pouvoir d’édicter des règles contraignantes, celui-ci ne peut porter que sur « des mesures de portée limitée tant par leur champ d’application que par leur contenu ». En l’espèce, le Conseil constitutionnel avait censuré des dispositions qui confiaient au CSA le soin d’édicter des règles générales qui devaient s’imposer aux personnes régulées. Cette jurisprudence s’oppose donc également à ce que le référentiel que l’Arcom devra établir soit édicté par l’autorité elle-même.. Ce référentiel s’imposera aux sites, qui n’auront pas d’autre choix que de s’y conformer sous peine d’être censuré, même si cela aurait des conséquences dramatiques pour les libertés fondamentales.

    Ce contournement du juge est particulièrement inquiétant dans un État de droit. La justice est vue par le gouvernement comme un frein, un obstacle qu’il faudrait « contourner ». Pour le ministre, la fin justifie les moyens : parce que la justice est considérée comme trop lente, elle doit être contournée. Les mêmes dangers pour les libertés que dans le reste des cas de censure administrative se poseront ici : la justice pourra toujours se prononcer sur le bien-fondé d’une censure, mais une fois seulement que celle-ci sera mise en place. Agir d’abord, réfléchir ensuite.

    Surveillance automatisée des contenus et risques de sur-censure

    À première vue, on serait tenté de se dire que l’obligation de vérification de l’âge pour les sites proposant du contenu pornographique n’est pas très grave car elle est limitée. Mais comme on l’a dit juste avant, les réseaux sociaux seront eux aussi concernés.

    Pour une plateforme dont l’objet principal est de proposer du contenu à caractère pornographique, l’étendue de cette obligation de vérifier l’âge des internautes est facile à déterminer : avant l’accès à la moindre page de ces sites, la vérification de l’âge devra être faite. Mais il est beaucoup plus difficile pour un site dont l’objet principal n’est pas de proposer un tel contenu, notamment les réseaux sociaux, de distinguer ce qui relèverait de la pornographie ou non.

    L’obligation de vérifier l’âge des internautes avant d’accéder à un contenu pornographique va donc, de fait, imposer aux plateformes de réseaux sociaux d’analyser automatiquement tous les contenus que publieraient leurs utilisateur·rices afin de déterminer les contenus à caractère pornographique, pour activer la vérification de l’âge quand cela sera nécessaire. Une analyse humaine n’est en effet pas envisageable en raison de la masse à traiter. Et comme la responsabilité repose sur les plateformes, elles seront nécessairement incitées à englober des contenus qui ne relèvent pas de la pornographie, dans le doute et par crainte d’une sanction pénale et d’une censure administrative2Une telle obligation de surveillance généralisée des contenus est radicalement contraire au droit européen puisque la directive e-commerce précise à son article 15 que « les États membres ne doivent pas imposer aux prestataires (…) une obligation générale de surveiller les informations qu’ils transmettent ou stockent »..

    Le résultat sera catastrophique car les plateformes censureront par exemple les contenus de prévention en santé sexuelle. En effet, aujourd’hui, des associations de santé comme le Projet Jasmine de Médecins du Monde font des maraudes virtuelles pour toucher les travailleur·ses du sexe les plus éloigné·es de l’accès au soin. D’autres, comme Grisélidis, effectuent des maraudes en ligne sur les applications pour toucher les personnes mineur·es qui se prostituent. Or, ces différentes actions, qui visent à accompagner et aider ces personnes, seront impactées par cette censure. Aujourd’hui déjà, les campagnes de santé sexuelle sont limitées car les algorithmes invisibilisent tout ce qui touche aux sexualités : la simple mention du mot « sexe » fait perdre de la visibilité aux contenus en ligne et la nudité est censurée (voir par exemple la censure par Meta d’une une de Télérama contre la grossophobie, ou la censure d’une campagne de prévention d’Act-Up Paris). Le public que ces associations tentent d’aider subit aujourd’hui déjà des suppression de comptes sur les réseaux sociaux, et ce projet de loi aggravera cela. Le principal risque pour les associations de santé communautaire est de perdre le contact avec ces personnes particulièrement vulnérables.

    Fin de l’anonymat en ligne

    Enfin, de manière encore plus grave, cette vérification de l’âge implique la fin de l’anonymat en ligne. On rappellera que le principe est le droit à l’anonymat en ligne, qui est protégé tant par le droit de l’Union européenne3Le considérant 14 de la directive e-commerce précise que « La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet. » La CJUE rattache également ce droit à naviguer anonymement sur Internet aux articles 7 (droit à la vie privée) et 8 (droit à la protection des données personnelles) de la Charte UE des droits fondamentaux : « Ainsi, en adoptant cette directive [e-privacy n° 2002/58], le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte, de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » (CJUE, gr. ch., 6 octobre 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, pt. 109). Par ailleurs, la CJUE parle d’anonymat, et non de pseudonymat. que par la Convention européenne de sauvegarde des libertés fondamentales (CESDH)4La Cour européenne des droits de l’Homme (CEDH) considère, au visa de l’article 10 de la CESDH qui protège le droit à la liberté d’expression, qu’il existe un principe de droit à l’anonymat sur Internet (CEDH, gr. ch., 16 juin 2015, Delfi AS c. Estonie, n° 64569/09, § 147). Ce droit à l’anonymat est également issu du droit à la vie privée de la CEDH puisque la Cour considère qu’un internaute conserve une attente raisonnable relative au respect de sa vie privée lorsque son adresse IP est traitée lors de sa navigation en ligne, alors même que l’adresse IP est, dans ce contexte, une donnée personnelle rendue publique par la navigation (CEDH, 24 avril 2018, Benedik c. Slovénie, n° 62357/14, §§ 100–119).. Or, le projet de loi SREN remet directement en cause ce principe en ligne.

    Le texte ne dit pas comment la vérification de l’âge devra se faire : c’est sur l’Arcom, lorsqu’elle édictera son référentiel, que reposera cette mission. Il existe plusieurs manières de vérifier l’âge en ligne. La plupart sont relativement peu fiables et constitueraient de graves atteintes aux libertés fondamentales (analyse biométrique du visage, analyse de l’historique, utilisation d’une carte bancaire, envoi de sa carte d’identité au site). Il existe également une manière non-fiable mais qui offre l’avantage de ne pas créer d’atteinte disproportionnée aux libertés : l’auto-déclaration par l’internaute. Mais le législateur a explicitement écarté cette dernière en 2020.

    La solution qui revient régulièrement, parce qu’elle serait la moins mauvaise solution, est l’identité numérique et on peut s’attendre à ce que l’Arcom s’oriente vers cette solution dans son référentiel. L’identité numérique consiste à s’identifier en ligne à l’aide d’un service autre. Les GAFAM ont leur système d’identité numérique (par exemple Google qui permet de s’identifier sur un site tiers à l’aide du compte Google de l’internaute), l’État également (avec ses services FranceConnect et France Identité). Or, l’identité numérique, si elle est bien implémentée via un tiers de confiance, permet de limiter les informations traitées. Comme le relevait le laboratoire d’innovation numérique de la CNIL (le LINC), passer par un tiers de confiance qui sera chargé de vérifier l’âge pour le compte d’un site internet permet à ce dernier de ne pas connaître l’identité de l’internaute. Avec ce mécanisme, l’internaute se connecte à ce tiers de confiance à l’aide d’une identité numérique d’État pour justifier de son identité donc de son âge. Puis le tiers de confiance délivre un certificat de majorité (aussi appelé ici « jeton » ou « token ») à l’internaute. Enfin, l’internaute transmet au site ce certificat pour prouver qu’il ou elle a 18 ans ou plus. Concrètement, cela prend la forme d’une page de connexion sur la plateforme du tiers de confiance et la transmission du certificat est effectuée automatiquement par le navigateur de l’internaute vers le site qui demande la majorité.

    Cette solution, parfois appelée « en double aveugle », a beau être la moins mauvaise, elle reste dangereuse. Certes, le site qui doit vérifier l’âge de l’internaute ne connaît pas son identité réelle (mais seulement s’il a 18 ans ou plus) et le tiers de confiance ne sait pas sur quel site l’internaute se connecte (parce que le certificat de majorité n’est pas présenté directement par le tiers de confiance au site). En revanche, une telle solution implique nécessairement de devoir justifier de son identité à un moment avant de pouvoir accéder à un service en ligne : même si l’internaute ne se connecte pas directement auprès du site voulant vérifier l’âge, il devra justifier de son identité auprès d’un tiers. L’anonymat n’est plus possible si un site impose à ses internautes de s’identifier pour vérifier leur âge. Dit autrement, lorsque le législateur impose de vérifier l’age des internautes, il empêche fatalement tout anonymat en ligne.

    Et cette affirmation est d’autant plus vraie que d’autres mesures voulues par la majorité impliquent de vérifier l’âge au-delà des contenus à caractère pornographique.

    Interdire, interdire, interdire

    Comme La Quadrature du Net le relevait, la vérification de l’identité des internautes avant d’accéder à du contenu à caractère pornographique s’insère dans une série de prises de positions et de lois en défaveur de l’anonymat en ligne. En juillet, le Parlement a adopté une proposition de loi Horizons qui instaure une « majorité numérique ». Cette loi veut imposer aux plateformes en ligne5Le texte parle de « réseaux sociaux » mais la définition est tellement large qu’elle englobe également les messageries interpersonnelles ou les sites ayant un espace de discussion, comme par exemple n’importe quel blog en ligne : « On entend par service de réseaux sociaux en ligne toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. » d’empêcher leurs utilisateur·rices de moins de 13 ans de se créer un compte, de s’assurer que celles et ceux ayant entre 13 et 15 ans ont bien l’accord de leurs parents, et, pour les mineur·es entre 15 et 18 ans de permettre à leurs parents de suspendre a posteriori leur compte sans avoir à se justifier. Heureusement que la rapporteure du texte au Sénat a torpillé la loi en soumettant son entrée en vigueur au feu vert de la Commission européenne qui ne devrait jamais être donné6Dans une affaire pendante devant la Cour de justice de l’Union européenne (CJUE) concernant les obligations de modération qui s’imposent aux plateformes, l’avocat général (magistrat chargé de rentre un avis à la Cour sur l’affaire) a estimé qu’un État membre ne peut imposer à une plateforme en ligne une obligation générale qui n’est pas prévue par le droit de l’UE. Autrement dit, si la Cour suivait son avocat général (elle n’est pas obligée mais le suit malgré tout très souvent), les obligations de vérifier l’âge des internautes seraient contraires au droit de l’UE car elles constitueraient une obligation supplémentaire qui n’est pas prévue par le droit de l’UE.. En revanche, cette tentative législative montre bien que le législateur est prêt à généraliser le contrôle de l’identité en ligne, parce que pour lui la solution aux problèmes ne peut résider que dans l’interdiction : interdire le porno et les réseaux sociaux aux mineurs, voire peut-être demain également les VPN. Parce que pourquoi pas.

    L’art de passer à côté du vrai problème

    Sous couvert de réguler les plateformes, le gouvernement évite soigneusement de répondre au problème de l’éducation sexuelle des enfants. Encore une fois, il préfère agir sur les conséquences (l’accès aux contenus à caractère pornographique par les mineur·es) plutôt que de s’occuper du fond du problème, qui est l’échec de l’éducation sexuelle en France.

    Il y a un an, le Haut Conseil à l’égalité entre les femmes et les hommes (HCE) tirait la sonnette d’alarme sur le sexisme à l’école. Il notait que, loin d’être un lieu d’éducation des enfants aux questions d’égalité de genre, l’école, au contraire, « entretient et amplifie les stéréotypes de sexe ». S’il relève également que l’accès à la pornographie peut être une des raisons de la culture du viol prégnante (bien que celle-ci ne soit pas propre aux pornographies mais se diffuse dans toutes les strates de la société), il ne préconise pas la censure des sites. Au contraire, le HCE presse les pouvoirs publics de s’attaquer à la racine du problème à l’école : les enseignements obligatoires à la sexualité ne sont pas assurés, le harcèlement, le cyberharcèlement et les violences en ligne ne sont pas traitées à la hauteur des enjeux, il n’existe pas d’obligation de justes représentation et proportion de figures féminines dans les manuels, programmes scolaires et sujets d’examen. En effet, seul·es 15 % des élèves bénéficient des trois séances d’éducation à la sexualité obligatoires pendant l’année scolaire jusqu’à la fin du lycée alors même qu’elles sont prévues dans la loi depuis 2001. Cette carence grave de l’éducation nationale a récemment conduit les associations Sidaction, Planning Familial et SOS Homophobie à saisir la justice pour faire appliquer la loi. Or, comme le rappellent ces associations, « l’éducation à la sexualité, c’est donc moins de grossesses non désirées, moins d’IST, moins de VIH, moins de violences sexistes et sexuelles, moins de discriminations et de violences LGBTIphobes, plus de consentement, plus de comportements responsables, plus d’autonomie, plus de respect de soi même et de l’autre, plus de confiance en soi, plus d’égalité entre les femmes et les hommes ». Le Défenseur des droits faisait le même constat en 2021 de la nécessité d’accompagner et d’aider les enfants au lieu de leur rajouter de nouvelles interdictions : « Il est par ailleurs nécessaire de déployer la prévention à l’école, afin de mieux protéger les enfants de l’exposition précoce à la pornographie. Il convient également de renforcer les campagnes de sensibilisation auprès des enfants, adolescents et de leurs familles (éducation à la vie affective, relationnelle et sexuelle […]) ».

    En définitive, le projet de loi SREN est une énième opération de marketing électoral. Non seulement il ne résoudra rien aux problèmes qu’il prétend vouloir régler, mais en plus il signifierait la fin de l’anonymat en ligne. Cette dernière est une vieille demande de la droite française et le symptôme d’une classe politique qui ne comprend toujours pas ce qu’est Internet. Le rejet des articles 1er et 2 du projet de loi est nécessaire. Ils ne sont pas seulement contraires aux droits fondamentaux, ils feraient sauter la digue de l’anonymat en ligne, pourtant cruciale pour beaucoup de personnes, et feraient entrer encore un peu plus la France dans le club des États autoritaires. Alors n’hésitez pas à nous aider dans notre lutte, en faisant un don à Act-Up Paris ou à La Quadrature du Net et en parlant de ces sujets autour de vous.

    References

    References
    1 On relèvera également le grand risque d’inconstitutionnalité de ce nouveau pouvoir accordé à l’Arcom. Depuis une décision de 1989, le Conseil constitutionnel considère que, s’il est possible de confier à une autorité administrative un pouvoir réglementaire, c’est-à-dire un pouvoir d’édicter des règles contraignantes, celui-ci ne peut porter que sur « des mesures de portée limitée tant par leur champ d’application que par leur contenu ». En l’espèce, le Conseil constitutionnel avait censuré des dispositions qui confiaient au CSA le soin d’édicter des règles générales qui devaient s’imposer aux personnes régulées. Cette jurisprudence s’oppose donc également à ce que le référentiel que l’Arcom devra établir soit édicté par l’autorité elle-même.
    2 Une telle obligation de surveillance généralisée des contenus est radicalement contraire au droit européen puisque la directive e-commerce précise à son article 15 que « les États membres ne doivent pas imposer aux prestataires (…) une obligation générale de surveiller les informations qu’ils transmettent ou stockent ».
    3 Le considérant 14 de la directive e-commerce précise que « La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet. » La CJUE rattache également ce droit à naviguer anonymement sur Internet aux articles 7 (droit à la vie privée) et 8 (droit à la protection des données personnelles) de la Charte UE des droits fondamentaux : « Ainsi, en adoptant cette directive [e-privacy n° 2002/58], le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte, de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » (CJUE, gr. ch., 6 octobre 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, pt. 109). Par ailleurs, la CJUE parle d’anonymat, et non de pseudonymat.
    4 La Cour européenne des droits de l’Homme (CEDH) considère, au visa de l’article 10 de la CESDH qui protège le droit à la liberté d’expression, qu’il existe un principe de droit à l’anonymat sur Internet (CEDH, gr. ch., 16 juin 2015, Delfi AS c. Estonie, n° 64569/09, § 147). Ce droit à l’anonymat est également issu du droit à la vie privée de la CEDH puisque la Cour considère qu’un internaute conserve une attente raisonnable relative au respect de sa vie privée lorsque son adresse IP est traitée lors de sa navigation en ligne, alors même que l’adresse IP est, dans ce contexte, une donnée personnelle rendue publique par la navigation (CEDH, 24 avril 2018, Benedik c. Slovénie, n° 62357/14, §§ 100–119).
    5 Le texte parle de « réseaux sociaux » mais la définition est tellement large qu’elle englobe également les messageries interpersonnelles ou les sites ayant un espace de discussion, comme par exemple n’importe quel blog en ligne : « On entend par service de réseaux sociaux en ligne toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. »
    6 Dans une affaire pendante devant la Cour de justice de l’Union européenne (CJUE) concernant les obligations de modération qui s’imposent aux plateformes, l’avocat général (magistrat chargé de rentre un avis à la Cour sur l’affaire) a estimé qu’un État membre ne peut imposer à une plateforme en ligne une obligation générale qui n’est pas prévue par le droit de l’UE. Autrement dit, si la Cour suivait son avocat général (elle n’est pas obligée mais le suit malgré tout très souvent), les obligations de vérifier l’âge des internautes seraient contraires au droit de l’UE car elles constitueraient une obligation supplémentaire qui n’est pas prévue par le droit de l’UE.
    ]]>
    Règlement CSAR : la surveillance de nos communications se joue maintenant à Bruxelleshttps://www.laquadrature.net/?p=21184http://isyteck.com/autoblog/quadrature/index.php5?20230918_153444_Reglement_CSAR____la_surveillance_de_nos_communications_se_joue_maintenant_a_BruxellesMon, 18 Sep 2023 13:34:44 +0000Il y a un peu plus d’un an, la Commission européenne proposait l’un des pires textes jamais pensés sur le numérique : le règlement CSAR, également appelé « Chat control ». Affichant l’objectif de lutter contre les abus sexuels sur les enfants, cette proposition vise en réalité à créer un outil inédit de surveillance des communications. Dès le dépôt de ce projet de règlement, partout en Europe, associations et expert·es se sont insurgé·es contre cette initiative car elle reviendrait à mettre fin au chiffrement des communications. Aujourd’hui, bien que les critiques sont aujourd’hui plus nombreuses encore, les discussions avancent rapidement à Bruxelles, laissant présager une adoption très prochaine du texte. Afin de comprendre ses enjeux et aider à renforcer la mobilisation, nous revenons sur le contenu de ce règlement qui pourrait signer la fin de toute confidentialité des échanges en ligne.

    La genèse du projet

    Le 11 mai 2022, la Commission européenne lâchait une bombe dans le monde du numérique en publiant sa proposition de règlement « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants ». Dénommé « Chat control » ou « CSAR » (pour « Child sexual abuse regulation »), ce texte vise à obliger les fournisseurs de contenus en ligne à détecter des contenus d’abus sexuels de mineurs en analysant les conversations de leurs utilisateur·ices.

    Cette initiative s’inspire d’outils mis en œuvre depuis plusieurs années par les grandes entreprises du web. Meta, par exemple, analyse de façon proactive l’ensemble des messages échangés sur Facebook Messenger ainsi que les données non chiffrées de Whatsapp (photos de profil ou groupe, descriptions, …) en vue de détecter des images connues d’exploitation d’enfants. En 2021, Apple annonçait mettre en place un outil d’analyse des données de ses clients hébergées sur iCloud afin de les comparer à une base de données de contenus signalés comme liés à de la pédopornographie, tout comme Microsoft qui a développé l’outil de comparaison PhotoDNA.

    Dès 2020, la Commission avait commencé à laisser présager son appétence pour ce type d’outils dans sa « stratégie de lutte contre les abus sexuels commis contre les enfants » qui a débouché en 2021 sur l’adoption d’un règlement sur le sujet. Celui-ci autorisait, de façon temporaire pendant trois ans, les services de communication électronique à faire de l’analyse de contenus en vue de détecter ceux liés à ce type d’abus. Si cette possibilité était facultative et devait reposer sur leurs conditions générales, une telle inscription formelle dans la loi légitimait néanmoins les initiatives et techniques de surveillance des grandes plateformes, renforçant par là même leur pouvoir hégémonique, sans qu’aucune évaluation de la pertinence de ces méthodes ne soit par ailleurs réalisée.

    Cette autorisation prend fin en 2024 et c’est pour cette raison que le CSAR a été proposé. Mais contrairement au règlement temporaire qui ne faisait que l’autoriser, ce projet de règlement impose de façon obligatoire la détection de ces contenus pédopornographiques sous certaines conditions, mettant donc fin à toute forme de confidentialité. Depuis le début des discussions il y a un an et demi, le réseau européen EDRi, dont La Quadrature du Net fait partie, a fourni un travail d’analyse considérable sur ce texte, que vous pouvez retrouver dans leur « position paper » ou, de façon plus condensée, dans leur brochure (en anglais). Nous vous résumons ici les principaux enjeux autour de ce règlement.

    Le contenu du règlement

    Le règlement CSAR vise à s’appliquer à un nombre très important d’acteurs. Entrent ainsi dans le champ d’application tous les « fournisseurs de services de communications interpersonnelles », c’est-à-dire les messageries en ligne telles que Signal, Whatsapp ou Telegram, les fournisseurs de mail, les applications de rencontre mais également les messageries qui ne sont qu’une fonction accessoire à d’autres services, comme dans les jeux par exemple. Rentrent également dans le champ d’application les « fournisseurs de services d’hébergement » tels que NextCloud, iCloud, DropBox ou les hébergeurs associatifs des CHATONS, les boutiques d’applications ainsi que les réseaux sociaux.

    Ces fournisseurs seraient contraints à mettre en œuvre une surveillance considérable de leurs utilisateur·ices. D’une part, les articles 3 et 4 prévoient qu’ils obéissent à une obligation d’évaluer et réduire au maximum les risques de partage de contenus pédopornographiques sur les services concernés. Cela impliquerait de fournir, via une étude d’impact, des éléments sur le fonctionnement et l’usage de leur outil afin de théoriquement anticiper les risques pour identifier les mesures d’atténuation correspondantes. Les fournisseurs devraient ainsi être en capacité de donner des informations sur quel type d’utilisateur·rice (personne majeure, mineure..) utilisent leur service et quel type de contenu (vidéo, texte..) y sont échangés. Cette obligation est pourtant incompatible avec un des principes de base de respect de la vie privée sur lesquels repose le fonctionnement de nombreux services : l’absence de collecte de ce type de données personnelles. Ces prestataires seraient alors dans une position intenable car, pour se conformer à cette nouvelle réglementation, ils devront changer de modèle et commencer à recueillir des informations qu’aujourd’hui ils ne possèdent pas. Le règlement CSAR reviendrait pour eux à abandonner leur promesse de confidentialité, garantie notamment par le recours au chiffrement et l’anonymisation de données.

    En outre, l’article 6 du CSAR préconise que les fournisseurs aient recours à des solutions de vérification d’âge pour remplir cet objectif de réduction des risques. Or, non seulement aucun outil viable et respectueux de la vie privée n’existe réellement à ce jour mais, surtout, le recours à ce genre de solution pose de sérieux problèmes quant à la protection de l’anonymat en ligne, comme nous le rappelions récemment dans notre analyse de la loi française SREN. Au final, le texte pousse pour privilégier la mise en place de mesures coercitives et remet frontalement en cause le droit à la vie privée.

    D’autre part, ces acteurs auront l’obligation de répondre à toute « injonction de détection » émise par un juge ou une autorité administrative. Ainsi, les articles 7 à 11 prévoient que, s’il existe « un risque important que le service soit utilisé à des fins d’abus sexuels sur enfants en ligne », les fournisseurs pourront se voir obligés d’installer au cœur même de leur application ou infrastructure des outils leur permettant de scanner les données qui y transitent, afin d’y détecter de potentiels contenus liés aux abus sexuels d’enfants.

    Plus précisément les fournisseurs devront repérer trois types de données :

    • Des contenus « connus » c’est-à-dire des images ou des vidéos déjà répertoriées par les autorités comme liées à de la pédopornographie ou des abus sexuels d’enfants.
    • Des contenus « inconnus » c’est-à-dire des photos ou vidéos susceptibles de constituer de la pédopornographie, mais qui n’auraient pas été identifiées comme telles. Pour trouver ces contenus, les services devront utiliser des outils fondés sur de l’intelligence artificielle qui identifieront des corrélations entre les contenus partagés et des indicateurs prédéfinis (par exemple de la peau nue).
    • Des activités consistant à solliciter des enfants (appelé « pédopiégeage »). Il s’agit de détecter des comportements « types » de personnes qui rentrent en contact avec des enfants, à nouveau à partir de modèles statistiques et probabilistes fondés sur de l’intelligence artificielle.

    Concrètement, il s’agira de mettre en œuvre une technique de « client side scanning » (littéralement « analyse côté client »), c’est-à-dire analyser directement sur les appareils des utilisateur·ices les données qui y transitent. Lorsqu’un internaute enverra un message ou postera une publication via un des services concernés par une injonction, ce contenu sera analysé avant envoi. Plus précisément, ce sont des « hash », c’est-à-dire des empreintes numériques liées aux images, qui seront examinées. Ce hash sera alors comparé à une base de données déjà constituée de contenus relatifs à des abus sexuels d’enfants. Si le hash correspond avec une photo de la base, une alerte est déclenchée. Dans le cas contraire, cela signifie que le contenu doit être qualifié d’« inconnu » et un outil d’analyse supplémentaire vérifiera alors s’il existe des corrélations ou similitudes avec des contenus d’abus sexuels pour déclencher une alerte le cas échéant.

    Le cheval de Troie de la Commission : vers la fin du chiffrement

    En affichant l’objectif de protéger les enfants, l’Union européenne tente en réalité d’introduire une capacité de contrôle gigantesque de l’ensemble des vies numériques, concrétisant le rêve de surveillance de tout gouvernement. Ce texte a fait l’objet de tant de réactions qu’EDRi se demande si le CSAR ne serait pas la loi européenne la plus critiquée de tous les temps. Les critiques contre ce texte viennent des institutions européennes elles-mêmes, mais aussi d’organisations de défense des enfants en passant par les acteurs de la tech, ainsi que de scientifiques et chercheur·es où 465 d’entre eux ont signé une lettre contre cette proposition. Et à raison.

    Sur le plan technique, il faut comprendre que les injonctions de détections obligent les fournisseurs à analyser toutes les communications de l’ensemble des utilisateur·ices des services concernés. Et puisque les messages sont alors analysés avant d’être envoyés à leurs destinataires, cela supprime non seulement toute confidentialité mais cela rendra également inutile toute technique de chiffrement appliquée ultérieurement, c’est-à-dire une fois que le message à quitté l’appareil de l’utilisateur·ice. L’objectif premier du chiffrement est d’empêcher un tiers de lire le message. Le CSAR vise pourtant précisément à permettre une telle lecture tierce. De même, la recherche de photo ou vidéo « inconnue » est totalement inacceptable. En pratique, le risque de « faux positifs » est énorme et cela signifie que pourraient faire l’objet d’une alerte des contenus tout à fait légitimes tels le corps d’adulte d’apparence trop juvénile, une photo d’enfant envoyée dans un cadre familial ou encore des ados échangeant de façon consentante.

    Enfin, appliqué au cas particulier de la détection de contenus pédopornographiques, envisager la constitution et l’utilisation d’une telle base de données ne prend pas en compte la réalité des humains devant la manipuler, l’alimenter, et qui seront confrontés à des contenus difficiles quotidiennement. Sans parler du fait que les images des enfants victimes seront conservées pour « améliorer » l’efficacité de ces outils.

    Non seulement le CSAR crée des obligations disproportionnées et implique des techniques extrêmement intrusives, mais surtout ces mesures sont loin d’être pertinentes pour atteindre l’objectif crucial de protection des enfants et de lutte contre les abus sexuels. En effet, aucune étude sérieuse n’a été fournie sur l’adéquation, la fiabilité ou la pertinence de telles mesures extrêmement intrusives. Au contraire, il a été révélé par l’association allemande Gesellschaft für Freiheitsrechte que la Commission fondait sa proposition sur les seules allégations de l’industrie, particulièrement la fondation Thorn et Meta, pour justifier ce projet de règlement. Des institutions policières et judiciaires, comme en Allemagne par exemple, ont elles aussi exprimé leurs réserves sur l’utilité de ces dispositifs pour leurs enquêtes dès lors que cela ne répond pas aux problématiques qu’ils rencontrent au quotidien.

    Par ailleurs, depuis le début de la campagne contre ce texte, beaucoup de ressources ont été produites pour démontrer que la protection des enfants contre les abus passait principalement par des politiques de prévention ou d’éducation et que toute éventuelle réponse pénale devait être encadrée par des mesures ciblées et fondées sur des preuves tangibles. Comment a-t-on pu alors en arriver là ?

    La tentation autoritaire des États

    Cette proposition législative est une solution largement conçue par l’industrie, et ensuite généralisée par les élites politiques qui illustrent ainsi une nouvelle fois leur absurde propension au « solutionnisme technologique » et au renforcement de la surveillance numérique. Pour rendre acceptable ces mesures de surveillance, elles affichent un objectif qui fait l’unanimité. Mais tout le monde sait que la stratégie consiste avant tout à affaiblir le niveau de sécurité et de confidentialité des communications numériques. Depuis les crypto-wars des années 1990, un certain nombre d’États affirment que les technologies protégeant la vie privée, et principalement le chiffrement des communications, sont un obstacle aux enquêtes policières. De fait, ces technologies sont conçues pour cela, puisque c’est à cette condition qu’elle garantissent à toutes et tous la possibilité de contrôler nos modes d’expression et de communication. L’une des plus importantes conséquences des révélations du lanceur d’alerte de la NSA Edward Snowden, il y a dix ans, fut justement une démocratisation de la pratique du chiffrement et, à l’époque, l’établissement d’un relatif consensus en faveur du droit au chiffrement au plan institutionnel. Mais police et gouvernements sont gênés, et l’on assiste depuis plusieurs années au retour de positionnements autoritaires de dirigeants prenant tour à tour l’excuse du terrorisme, de la criminalité organisée et de la pédopornographie pour obtenir sa remise en cause.

    En France, aussi bien Bernard Cazeneuve qu’Emmanuel Macron ont déjà affirmé leur volonté de contrôler les messageries chiffrées, rêvant ainsi de percer l’intimité des millions de personnes qui les utilisent. Au cours d’une audition devant le Sénat le 5 avril dernier, Gérald Darmanin a expressément demandé pouvoir casser le chiffrement des militant·es écologistes et de « l’ultragauche », qui auraient une « culture du clandestin ». Aussi avons-nous récemment exposé comment, dans l’affaire dite du « 8 décembre », les services de renseignement et de police ont construit une narration similaire autour de l’utilisation d’outils respectueux de la vie privée par les personnes inculpées (Signal, Tor, Tails…), afin de dessiner le portrait de personnes criminelles ayant des choses à cacher ou la volonté de fuir la police. Au niveau européen, des fuites ont révélé l’intention de plusieurs États de réduire le niveau de sécurité du chiffrement de bout-en-bout, tels que l’Espagne qui veut tout simplement y mettre fin.

    Le règlement CSAR s’inscrit dans cette continuité et constitue une opportunité parfaite pour les États membres pour enfin concevoir et généraliser un outil de surveillance des échanges de la population et ainsi mettre fin aux obstacles posés par les services trop protecteurs de la vie privée. Mais passer ce cap, c’est supprimer toute confidentialité des communications qui passeraient par des infrastructures numériques. L’intégrité et la sécurité de ces dernières ne pourraient alors plus jamais être garanties dès lors que cette « porte dérobée » existe. C’est créer des occasions, aussi bien pour les États que les acteurs malveillants, de détourner et d’abuser de cette capacité d’entrer dans les téléphones et ordinateurs de la population. Enfin, c’est ouvrir une brèche, un espace à surveiller qui n’existait pas auparavant, et qui sera nécessairement étendu dans le futur par de nouvelles législations pour repérer d’autres types de contenus.

    Ce risque est dénoncé par des services tels que Signal, Proton ou Matrix, qui proposent des communications chiffrées de bout-en-bout et sécurisées — et promettent donc une confidentialité presque intégrale. Cette proposition viendrait casser leur promesse en les obligeant à analyser les contenus et à créer une vulnérabilité dans leurs technologies. Ce risque a également été récemment dénoncé par Apple : pour justifier la fin de l’analyse des contenus hébergés sur iCloud, l’entreprise expliquait que la technologie utilisée est trop dangereuse en termes de sécurité et de respect de la vie privée1Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux..

    En Grande-Bretagne, où est actuellement discuté un projet de loi similaire, le Online Safety Bill, Signal et Whatsapp ont menacé de supprimer leur service du pays si ce texte venait à passer. Face à cette fronde, les Britanniques ont très récemment annoncé suspendre la mise en œuvre de cette mesure au regard de l’infaisabilité à ce stade de protéger le chiffrement de bout-en-bout. Cependant, la mesure est toujours dans la loi et pourrait donc être applicable un jour. À Londres comme à Bruxelles, la bataille est loin d’être finie.

    Refuser et agir

    Il est donc urgent d’agir pour arrêter cette nouvelle initiative qui créerait un grave précédent et donnerait aux États une légitimité pour pousser toujours plus loin l’intrusion dans les communications. Mais les discussions avancent vite à Bruxelles. D’un coté, le Conseil, organe regroupant les gouvernements des États membres, doit publier sa position sur ce texte d’ici fin septembre. Celle-ci s’annonce très mauvaise, poussée par plusieurs États – France en tête. Certains États comme l’Allemagne ou l’Autriche auraient néanmoins exprimé des réserves quand à l’incompatibilité de cette dernière version par rapport à leur propre position officielle. Une lettre ouverte a été signée le 13 septembre par plus de 80 organisations, dont La Quadrature, pour que les États membres n’adoptent pas le CSAR dans sa version actuelle.

    De l’autre coté, le Parlement européen devra également adopter sa version du texte, d’abord en commission en octobre puis en novembre en séance plénière. Si beaucoup d’eurodéputé·es s’opposent au texte, cela ne suffira sans doute pas à bloquer son adoption. Pour agir, nous vous invitons à rejoindre la campagne « Stop Scanning me » menée par une coalition d’organisations et à partager le plus possible les informations sur la mobilisation en cours2Aussi, vous pouvez regarder cette conférence faite au dernier Chaos Communication Camp sur le combat contre Chat control (en anglais).. Vous pouvez également appeler des parlementaires européens pour les inviter à rejeter ce texte.

    Et si vous le pouvez n’hésitez pas à faire un don à La Quadrature ou à EDRi qui agit à Bruxelles. Merci !

    References

    References
    1 Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux.
    2 Aussi, vous pouvez regarder cette conférence faite au dernier Chaos Communication Camp sur le combat contre Chat control (en anglais).
    ]]>
    Festival Technopolice 2023 – Marseille, édition #2https://www.laquadrature.net/?p=21179http://isyteck.com/autoblog/quadrature/index.php5?20230918_111311_Festival_Technopolice_2023_____Marseille__edition__2Mon, 18 Sep 2023 09:13:11 +0000Aujourd’hui, nous sommes heureux de vous annoncer l’organisation par le collectif Technopolice Marseille de la deuxième édition du Festival Technopolice qui aura lieu du 28 septembre au 1er octobre 2023 à Marseille, avec le soutien de La Quadrature du Net.

    Dans un contexte de répression des mouvements populaires, le recours aux technologies de surveillance de l’espace public se normalise sous prétexte de sécurité, tandis que la violence policière continue de s’accroître en France. En vue des Jeux Olympiques 2024, une loi légalisant la vidéosurveillance algorithmique (VSA) a été adoptée malgré de nombreuses oppositions (voir notamment ici et ici), faisant de la France le premier pays de l’Union Européenne à légaliser la surveillance biométrique de l’espace public.

    Il y a 4 ans, La Quadrature du Net, association de défense des libertés numériques, lançait l’initiative Technopolice avec le soutien d’une vingtaine d’associations, pour recenser et contrer les nouvelles technologies de surveillance policières dans nos villes. Le collectif Technopolice Marseille commençait alors à s’organiser localement avec des conférences, expositions artistiques, cartographies de caméras et actions de rue contre le dispositif de surveillance de la ville. En 2022, nous organisions la première édition du festival Technopolice à Marseille et y lancions notre plainte collective contre la vidéosurveillance, le fichage de masse et la reconnaissance faciale de l’État. Pour cette deuxième édition, nous souhaitons dénoncer le rôle de ces technologies, qui donnent davantage de pouvoir à une police toujours plus répressive,

    Face à la mise en place de la surveillance totale de l’espace public, il est urgent de résister et d’agir pour nos futurs désirables. À travers des films, des débats et des ateliers, en entrée libre, cette 2ème édition du festival vous invite à une réflexion collective.

    Retrouvez le programme du festival sur technopolice.fr/festival-2023.

    ]]>
    QSPTAG #293 — 15 septembre 2023https://www.laquadrature.net/?p=21144http://isyteck.com/autoblog/quadrature/index.php5?20230915_164428_QSPTAG__293_____15_septembre_2023Fri, 15 Sep 2023 14:44:28 +0000Au Garage cette semaine, on a publié un gros article sur la loi SREN (on en reparlera la semaine prochaine) et on vous propose pour les quinze jours qui viennent un agenda rempli de rendez-vous :
    – trois rencontres avec Félix Tréguer, membre fondateur de l’association, qui présentera son livre Contre-histoire d’Internet dans des librairies de Marseille, Nice et Paris,
    – deux soirées de soutien aux inculpé·es du « 8 décembre » à Nantes et à Pantin ainsi qu’un évènement organisé à Paris par La Quadrature et d’autres collectifs pour revenir sur cette affaire et débattre de la manière dont le chiffrement a été criminalisé par les services de renseignement et la justice,
    – une rencontre à Lyon pour parler également du « 8 décembre » et du secret des communications,
    – une rencontre à Bruxelles pour parler de la surveillance et de la défense du chiffrement avec nos partenaires européens,
    – la deuxième édition du Festival Technopolice à Marseille, avec films et débats,
    – et un apéro public dans nos locaux parisiens le vendredi 29 septembre : on vous attend pour parler de tout ça !

    Alex, Bastien, Marne, Mathieu, Myriam, Noémie et Nono

    Agenda du 15 septembre au 6 octobre 2023

    • 15 septembre : rencontre avec Félix Tréguer à 19h à la librairie Les Parleuses à Nice (18 rue Defly, 5 pl. du Général Georges Marshall) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
    • 16 septembre : La Quadrature du Net sera à Lyon dans le cadre du Festival « Techxploitation, pour un usage critique des technologies » — pour une discussion sur la criminilasiation du chiffrement et la confidentialité des échanges. Plus d’infos sur le festival : https://amicale.online/du-14-09-au-17-09-techxploitation-pour-un-usage-critique-des-technologies-2
    • 17 septembre : soirée de soutien aux inculpé·es du « 8 décembre » à La Cocotte à Nantes (Île de Versailles) à partir de 19h30, toutes les informations ici : https://contre-attaque.net/2023/09/11/qui-terrorise-qui-soiree-de-soutien-a-nantes-dimanche-17-septembre/.
    • 23 septembre : soirée de soutien aux inculpé·es du « 8 décembre » à La Trotteuse à Pantin (61 rue Charles Nodier) — discussion à 16h avec L’Envolée et La Quadrature du Net, puis grand concert à partir de 18h jusqu’à minuit : https://www.agendamilitant.org/Concert-de-soutien-aux-inculpee-es-du-8-12.html.
    • 25 septembre : discussion « Affaire du « 8 décembre » : antiterrorisme et criminalisation du chiffrement » à la Bourse du Travail à Paris (29 boulevard du Temple, 75003) — à partir de 19h avec La Quadrature du Net, le SNJ, Nothing to Hide et les avocats des inculpé·es.
    • 26 septembre : La Quadrature participera à une discussion sur le chiffrement et la surveillance organisée par EDRi à partir de 16h30 à Bruxelles (lieu à préciser) : https://edri.org/take-action/events/save-the-date-join-edri-to-talk-encryption-surveillance-and-privacy/.
    • du 28 septembre au 1er octobre : deuxième édition du Festival Technopolice à Marseille ! Films, ateliers et débats, toutes les infos ici : https://technopolice.fr/festival-2023/.
    • 28 septembre : rencontre avec Félix Tréguer à 18h à la librairie L’Hydre aux mille têtes à Marseille (96 rue Saint-Savournin, 13001) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
    • 29 septembre : apéro mensuel au Garage (115 rue de Ménilmontant, 75020 Paris) à partir de 19h : apportez un petit truc à manger ou à boire si vous pouvez et venez discuter avec nous !
    • 6 octobre : rencontre avec Félix Tréguer à 19h à la librairie Le Monte-en-l’air à Paris (2 rue de la Mare, 75020) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
    ]]>
    Projet de loi SREN : le gouvernement sourd à la réalité d’internethttps://www.laquadrature.net/?p=21120http://isyteck.com/autoblog/quadrature/index.php5?20230912_170448_Projet_de_loi_SREN____le_gouvernement_sourd_a_la_realite_d___internetTue, 12 Sep 2023 15:04:48 +0000Le projet de loi visant à sécuriser et réguler l’espace numérique (aussi appelé « SREN » ou « Espace numérique ») est actuellement en discussion à l’Assemblée nationale, après avoir été voté en juillet dernier au Sénat. Ce texte, présenté comme une simple adaptation d’une série de règlements européens, change en réalité la manière de concevoir la régulation des plateformes en ligne. En voulant instaurer une censure autoritaire et extra-judiciaire, en voulant mettre fin à l’anonymat en ligne et en répétant les erreurs déjà commises avec la loi Avia, le gouvernement fait une nouvelle fois fausse route. Ce projet de loi étant très dense, commençons par une présentation générale des éléments importants du texte (nous reviendrons plus tard en détails sur certains points avec des articles dédiés).

    L’accès au porno, prétexte pour mettre fin à l’anonymat

    Les articles 1er et 2 du projet de loi renforcent l’obligation pour les sites pornographiques de vérifier l’âge de leurs utilisateurs. Pour rappel, depuis une proposition de loi issue de la majorité présidentielle en 2020, les sites proposant du contenu pornographique doivent vérifier l’âge des internautes, une simple case à cocher auto-déclarative ne suffisant pas. En cas de non-respect, une peine de censure peut être prononcée par un juge. Nous dénoncions à l’époque un tel principe d’obliger les personnes à justifier de leur âge, qui passe nécessairement par une mise à mal de l’anonymat en ligne.

    Mais en réalité, cette loi de 2020 n’a pas vraiment changé les choses : les sites pornographiques continuent d’afficher un bouton pour que l’internaute déclare sur l’honneur avoir plus de 18 ans, et très peu de censures ont été prononcées par la justice. Pour la simple raison que personne, ni les plateformes, ni le gouvernement, ni la CNIL ne savent comment effectuer cette vérification de l’âge d’une manière qui soit simple techniquement et respectueuse de la vie privée des personnes. Le laboratoire de prospective de la CNIL, le LINC, suggère une solution passant par un tiers de confiance, c’est-à-dire une autorité chargée de délivrer à l’internaute un certificat (un jeton, ou « token ») confirmant qu’il est bien majeur, sans que ce tiers ne connaisse le service réclamant ce certificat. Mais, d’une part, cette solution implique que le tiers de confiance pourra facilement déduire que, quand une personne lui demandera une « preuve de majorité », l’objectif sera de consulter un site pornographique. D’autre part, ce mécanisme du tiers de confiance impose l’utilisation d’une identité numérique d’État, aujourd’hui théoriquement facultative, qui deviendra alors encore plus obligatoire de fait.

    Malgré ces obstacles pratiques et en dépit de l’absence de solution viable décidée conjointement par les institutions et les experts techniques, le gouvernement persiste. Mécontent d’une justice qui, à son goût, ne censure pas assez les sites pornographiques, il propose tout simplement de la contourner : le projet de loi SREN passe d’une censure judiciaire des sites ne vérifiant pas l’âge de leurs internautes à une censure administrative, c’est-à-dire extra-judiciaire. Ce n’est donc qu’une fois la censure décidée qu’un juge vérifiera sa légalité. L’Arcom, autorité née de la fusion entre la Hadopi et le CSA, sera chargée de prononcer la censure d’un site pornographique qui ne vérifierait pas l’âge des internautes. Cet entêtement à vouloir fliquer les internautes est d’autant plus surprenant que même la Grande-Bretagne, pourtant pionnière dans la censure des sites pornographiques et source d’inspiration du gouvernement, a abandonné en 2019 un dispositif similaire, faute de solution technique satisfaisante. Très récemment encore, l’Australie a abandonné un tel mécanisme de vérification d’âge et le Texas a été obligé de suspendre une loi similaire parce que la justice américaine a considéré cette loi contraire à la liberté d’expression.

    Le retour de la censure obligatoire en 24 heures

    L’article 3 du projet de loi renforce les obligations de retrait des contenus à caractère pédopornographique pesant sur les hébergeurs de sites internet. Aujourd’hui, la loi impose que ces derniers doivent retirer ces contenus en 24 heures sur demande de la police, mais il n’y a pas de sanction spécifique en cas d’absence de retrait (seule la responsabilité des hébergeurs pourra être retenue, mais elle s’apprécie en fonction des capacités des plateformes, de la gravité du contenu, de la difficulté à contrôler la légalité de la demande, etc.). La nouveauté du projet de loi réside dans le fait que l’absence de retrait une fois passé le délai de 24 heures constitue automatiquement un délit, sans que ne soient examinées les potentielles raisons ou explications de cette absence d’action. Dès lors, la menace d’une répression systématique accentue le joug de l’État sur ces hébergeurs et renforce le principe de la censure administrative qui est déjà, en soi, un danger pour la liberté d’expression en ligne (voir par exemple ce que nous disions il y a 13 ans à propos de la LOPPSI).

    Mais surtout, il est très probable que, par crainte d’une sanction, les hébergeurs préfèrent retirer trop de contenus, quitte à se tromper. C’est exactement ce que voulait la loi Avia qui imposait des délais fixes pour retirer des contenus haineux ou à caractère terroriste. Nous dénoncions alors le risque de surcensure que ce mécanisme impliquait, tout comme le Conseil constitutionnel lorsqu’il a déclaré cette loi contraire à la Constitution.

    Malgré cela, le gouvernement ne cache pas vraiment ses intentions de censure généralisée. Dans l’étude d’impact du projet de loi, il explique que l’objectif de l’article 3 est d’« aligner » les régimes de censure administrative sur celui du terrorisme. En effet, après la censure de la loi Avia, la France s’est empressée de pousser un règlement européen qui oblige aujourd’hui les hébergeurs à retirer les contenus à caractère terroristes sous peine de lourdes sanctions pénales, par un mécanisme similaire à feue la loi Avia. Par cet article 3 qui introduit des sanctions similaires pour les contenus pédopornographiques, le gouvernement organise donc le retour masqué de la loi Avia.

    Le bannissement des réseaux sociaux, un coup d’épée dans l’eau

    Pour lutter contre le harcèlement en ligne, le gouvernement n’envisage pas de donner les moyens humains et financiers à la justice pour faire son travail. À l’inverse, l’article 5 du projet de loi préfère miser sur un réflexe disciplinaire, en créant une peine complémentaire d’interdiction de réseaux sociaux pour les personnes qui seraient condamnées pour harcèlement : sur décision de justice, les plateformes en ligne devront suspendre les comptes détenus par les personnes condamnées et les empêcher de se créer un nouveau compte. Mais comment s’assurer qu’une personne condamnée ne se recrée pas un compte ? Le projet de loi est parfaitement silencieux sur ce point. On peut en revanche légitimement craindre que cette nouveauté ouvre la voie à la généralisation du contrôle d’identité en ligne, afin de s’assurer que l’internaute voulant se créer un compte ne sera pas sur la liste des personnes interdites de réseaux sociaux.

    Cette peine d’interdiction des réseaux sociaux et la généralisation de la vérification d’identité qu’elle risque d’induire s’inscrivent dans la même ligne que la récente loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne, adoptée il y a quelques mois. Issue d’une proposition de loi du groupe Horizons, elle instaure une interdiction pour les mineur·es de moins de 13 ans de se créer un compte en ligne, impose à celles et ceux entre 13 et 15 ans d’obtenir l’accord de leurs parents, et permet aux parents d’adolescent·es ayant entre 15 et 18 ans de suspendre leurs comptes jusqu’à leur majorité. Or, ces règles ne peuvent être respectées qu’en vérifiant l’identité de toute personne voulant s’inscrire sur un réseau social.

    Cette « majorité numérique » semble non seulement impossible à mettre en œuvre sans atteinte excessive au droit à l’anonymat en ligne, mais également contraire au droit de l’Union européenne. Cette situation inconfortable a poussé le législateur à soumettre, à la toute fin du processus législatif, l’entrée en vigueur de ce texte à une décision de la Commission européenne sur la conformité au droit de l’UE de ce mécanisme.

    Pour autant, cela ne rebute toujours pas le gouvernement, qui continue avec le projet de loi SREN et son idée de bannissement des réseaux sociaux. Le Sénat est même allé plus loin : le rapporteur du texte à la chambre haute, Loïc Hervé, a introduit de nouvelles dispositions pour que ce bannissement des réseaux sociaux puisse être prononcé par un juge d’application des peines, voire par un procureur de la République via une composition pénale1Procédure pénale où procureur et personne mise en cause s’accordent sur une peine puis la font valider par un tribunal..

    La censure administrative par le navigateur

    Autre surprise du texte : le gouvernement propose une nouvelle manière de faire de la censure administrative, en passant par un blocage des contenus au niveau des navigateurs web. Sous couvert de proposer un filtre « anti-arnaques », l’article 6 du projet de loi impose non seulement aux fournisseurs d’accès à Internet (FAI) et aux fournisseurs de systèmes de résolution de noms de domaine (c’est-à-dire les fournisseurs de DNS alternatifs autres que ceux des FAI) de censurer certaines ressources en ligne que la police aurait identifiées comme étant des « arnaques », mais oblige également les navigateurs web à procéder à une telle censure.

    Autrement dit, si demain la police repère un site de phishing, elle pourra imposer à l’éditeur de votre navigateur préféré de procéder à son blocage pur et simple. Et peu importe s’il s’avère que la demande est erronée ou abusive. Peu importe aussi si cela ouvre grand la porte à des censures d’un autre genre, politiques par exemple. Bien évidemment, la fondation Mozilla, qui édite le navigateur Firefox, est vent debout contre cette obligation. Nous vous invitons d’ailleurs à signer leur pétition et à la faire circuler largement.

    Et peut-être d’autres mesures autoritaires à venir

    Ces quelques articles de ce projet de loi sont déjà très inquiétants, au regard de la mise à mal de l’anonymat en ligne, de l’atteinte à la liberté d’expression et de la négation du droit à la vie privée qu’ils instaurent. Mais ce projet de loi risque encore de s’aggraver au cours des discussions.

    En juillet dernier, la réponse du gouvernement et de ses soutiens a été de pointer les réseaux sociaux comme responsables des révoltes en France, pour mieux passer sous silence le malaise social grandissant. À cette occasion, le député Renaissance Paul Midy, rapporteur général de ce projet de loi SREN, avait déjà annoncé qu’il était favorable à l’obligation de justifier de son identité civile avant de pouvoir s’inscrire sur une plateforme en ligne, emboîtant ainsi le pas d’Emmanuel Macron. Cette marotte de la droite française pourrait bien se concrétiser avec ce texte. Suite aux violences estivales, un « groupe de travail » interparlementaire s’est déjà réuni trois fois cet été pour réfléchir à une « évolution législative » de l’encadrement des réseaux sociaux. Seraient pour l’instant envisagées des restrictions temporaires de la géolocalisation ou l’obligation pour les plateformes de conserver les messages éphémères qui y sont échangés.

    De plus, tout le monde au gouvernement veut maintenant son petit bout de censure. En réponse à la polémique née autour d’un site de rencontres pour jeunes enfants et adolescents devenu le terrain de chasse de pédophiles, la secrétaire d’État en charge de l’Enfance Charlotte Caubel s’imagine déjà censurer ce type de site. Mais comme la loi instaurant une majorité numérique, qui obligerait à vérifier l’identité de toute personne, n’est pas encore en vigueur, elle pourrait bien profiter de ce projet de loi SREN pour pousser ses idées de censure.

    Une grande absente : l’obligation d’interopérabilité des réseaux sociaux

    Finalement, il n’est pas surprenant que l’idée d’une interopérabilité obligatoire des réseaux sociaux ne figure pas dans ce projet de loi : il s’agit d’une manière radicalement différente de celle du gouvernement de réguler les contenus en ligne. L’obligation d’interopérabilité des réseaux sociaux consiste à imposer aux grandes plateformes d’ouvrir leurs communautés à d’autres réseaux sociaux. Concrètement, avec une telle obligation, les utilisateur·rices de Mastodon seraient capables de discuter avec leurs contacts restés sur Facebook. Autrement dit : les internautes pourraient partir d’un réseau social dangereux (car il marchanderait la vie privée de ses utilisateur·rices et/ou mettrait en avant des contenus problématiques) sans se couper de leurs ami·es qui y resteraient.

    L’obligation d’interopérabilité des réseaux sociaux remettrait largement en question le modèle économique des géants actuels. Celui-ci repose en effet sur le non-respect structurel du droit des données personnelles et la mise en avant algorithmique de contenus haineux. En faisant réagir, ces réseaux sociaux commerciaux gardent les internautes plus longtemps sur la plateforme, augmentant ainsi les revenus publicitaires. En permettant aux internautes de partir d’un Twitter aux mains d’un milliardaire aux choix erratiques et qui met en avant l’extrême-droite ou d’un Meta régulièrement condamné pour ne pas respecter le droit des données personnelles, l’obligation d’interopérabilité de ces plateformes les pousseraient à s’adapter face à la concurrence plus éthique des réseaux sociaux décentralisés. Sans passer par une censure verticale des contenus problématiques en ligne, l’interopérabilité des réseaux sociaux, si elle est obligatoire, permettrait qu’ils ne soient plus mis en avant, et donc de réduire leur impact sur les sociétés.

    Ce projet de loi, en ne s’intéressant pas à la question de l’interopérabilité, passe d’autant plus à côté du vrai sujet que les géants du numérique, eux, commencent à s’intéresser à cette question. Cet été, Meta a lancé son concurrent à Twitter, Threads, et a annoncé que son service serait interopérable, notamment avec le reste du fédivers. L’absence d’autorité capable de réguler les ardeurs des géants comme Meta crée alors un danger immédiat pour le fédivers (voir notre explication). Il est aujourd’hui crucial d’empêcher un aussi grand acteur que Meta de prendre ce qui l’intéresse dans l’écosystème des réseaux sociaux interopérables sans donner en retour. Alors que le Digital Markets Act, règlement européen voulant réguler les plateformes, avait un temps envisagé d’instaurer une telle obligation d’interopérabilité des réseaux sociaux, la France était parvenue en bout de course législative à supprimer une telle obligation. On ne peut que déplorer cette stratégie d’ignorer la question de l’interopérabilité des réseaux sociaux.

    S’il fallait résumer le projet de loi SREN, nous pourrions le présenter comme l’exemple parfait de ce qu’il ne faut pas faire. Réguler par la censure, l’autoritarisme et les atteintes massives aux droits fondamentaux n’est pas la bonne solution. Il existe pourtant d’autres manières de faire, notamment en passant par l’obligation d’interopérabilité des réseaux sociaux. Nous reviendrons plus en détails sur certaines des dispositions que nous venons de présenter. En attendant, vous pouvez nous aider à continuer de défendre un Internet respectueux des personnes en nous faisant un don.

    References

    References
    1 Procédure pénale où procureur et personne mise en cause s’accordent sur une peine puis la font valider par un tribunal.
    ]]>
    QSPTAG #292 — 8 septembre 2023https://www.laquadrature.net/?p=21082http://isyteck.com/autoblog/quadrature/index.php5?20230908_173256_QSPTAG__292_____8_septembre_2023Fri, 08 Sep 2023 15:32:56 +0000La VSA marseillaise fait de la résistance

    Voilà trois ans déjà que nous agissons contre l’installation à Marseille de caméras de surveillance « augmentées », dont les images sont analysées en direct par des algorithmes de reconnaissance des comportements. Le recours que nous avions déposé devant le tribunal administratif de Marseille a été rejeté le 2 juin dernier, pour un défaut de procédure : le tribunal a donc avalisé la stratégie de la mairie, constante malgré un changement de majorité en 2020, qui prétendait avoir « suspendu » le déploiement de ces caméras, sans pour autant s’empêcher d’utiliser celles qui étaient déjà installées… Puisque les caméras algorithmiques sont « suspendues », alors le recours n’avait plus lieu d’être, a tranché le tribunal sans chercher plus loin.

    Ce faisant, le tribunal a évité de se pencher sur le fond de la question, alors que la CNIL et le Conseil d’État ont clairement énoncé l’illégalité de la vidéosurveillance algorithmique (VSA). Nous avons donc fait appel devant la cour administrative d’appel de Marseille.

    Lire l’article entier : https://www.laquadrature.net/2023/08/30/la-justice-refuse-de-sanctionner-la-videosurveillance-algorithmique-marseillaise/

    Le député Philippe Latombe en porte-à-faux entre la CNIL et l’AN2V

    Le mardi 5 septembre nous avons publié sur TwiX et sur notre compte Mastodon une lettre adressée à Marie-Laure Denis, présidente de la CNIL, pour attirer son attention sur les liens très étroits qu’entretient Philippe Latombe, député (Modem) et tout nouveau membre de la CNIL, avec l’industrie de la vidéosurveillance et son principal lobby, l’AN2V.

    Nous avons récemment documenté cette connivence entre le député et les tenants économiques de la surveillance généralisée. Au moment où la CNIL devait se prononcer sur les expériences de vidéosurveillance automatisée dans le cadre des JO de Paris 2024 (les décrets d’application de la « loi JO » étaient alors en préparation), le député-membre de la CNIL n’a pas hésité à inviter un parterre conquis à intégrer l’intelligence artificielle « sur tous les domaines qui pourront être utilisés », s’engageant de son coté à tout faire pour « élargir l’utilisation des drones malgré la réserve du Conseil constitutionnel ». Le mélange des genres est total : tout à la fois député, lobbyiste et commissaire, chacun de ses avatars servant les deux autres, M. Latombe se place de lui-même en flagrante position de conflit d’intérêts.

    Il ne se gêne d’ailleurs pas pour expliquer devant l’AN2V comment manœuvrer la CNIL, dont il est bien placé pour connaître les logiques internes, et suggérer dans quel sens il faudrait modifier le collège des membres pour l’orienter vers une vision moins soucieuse du droit et plus sensible aux attentes du monde économique. À nos yeux, cette confusion des rôles n’est pas seulement choquante, elle est contraire à toutes les dispositions qui régissent la conduite déontologique de la CNIL pour assurer l’indépendance d’esprit de ses membres. Nous les rappelons donc dans notre courrier, pour soumettre l’ensemble de la situation à sa présidente, garante de l’indépendance et de la crédibilité de la Commission.

    La Quadrature dans les médias

    Philippe Latombe et la CNIL

    VSA et JO

    Divers

    Agenda

    • 14 septembre : La Quadrature donne à 19h une conférence à la Bibliothèque publique d’information (BPI) du Centre Pompidou : « Tout savoir sur la surveillance biométrique ». Plus d’infos : https://agenda.bpi.fr/evenement/tout-savoir-sur-la-surveillance-biometrique/.
    • 14 septembre : causerie mensuelle Technopolice Marseille. C’est à 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
    • 16 septembre : La Quadrature du Net sera à Lyon pour le Festival Techxploitation – pour un usage critique des technologies – pour une discussion sur les menaces sur le chiffrement et la confidentialité des échanges. Plus d’infos sur le Festival : https://amicale.online/du-14-09-au-17-09-techxploitation-pour-un-usage-critique-des-technologies/.
    • du 28 septembre au 1er octobre : Festival Technopolice Marseille, 2e édition. Toutes les infos ici : https://technopolice.fr/festival-2023/.
    • 29 septembre : apéro mensuel au Garage (115 rue de Ménilmontant 75020 Paris) à partir de 19h : apportez un petit truc à manger ou à boire si vous pouvez et venez discuter avec nous !
    ]]>
    QSPTAG #291 — 25 août 2023https://www.laquadrature.net/?p=20981http://isyteck.com/autoblog/quadrature/index.php5?20230831_142030_QSPTAG__291_____25_aout_2023Thu, 31 Aug 2023 12:20:30 +0000Mouchards partout : le contrôle à distance des appareils numériques est légalisé

    C’est une pratique de police judiciaire et des services de renseignement : retourner un téléphone contre son utilisateur, pour en faire une balise GPS ou un micro, voire une caméra espion. Une pratique banalisée par les fictions télévisées, qui la présentent à la fois sous l’angle de la prouesse technologique et de la normalité. C’est toujours pour attraper des méchants qui l’ont bien mérité, qui peut donc trouver ça scandaleux ? La réalité est différente.

    Dans la réalité, l’Assemblée nationale et le Sénat viennent d’adopter, dans le cadre de la loi Orientation et programmation du ministère de la justice 2023-2027, une disposition autorisant la prise de contrôle à distance des objets connectés, pour que la police puisse exploiter leur géolocalisation, leur micro ou leur caméra intégrée.

    Pour l’heure, la mise en œuvre de cette prise de contrôle à distance est assortie de conditions restrictives : l’enquête en cours doit par exemple concerner des faits passibles d’au moins 5 ans de prison. Mais c’est justement l’existence de conditions qui doit mettre en alerte. L’histoire est pleine de dispositions dont les conditions d’applications se sont doucement élargies, au gré des événements, pour autoriser les pratiques dans un nombre toujours croissant de cas.

    On se souvient par exemple du fichier national des empreintes génétiques (FNAEG), créé pour ficher les auteurs de crimes sexuels graves, et dans lequel se retrouvent aujourd’hui un tiers des Français (à lire ici : https://www.nextinpact.com/article/48209/plus-dun-tiers-francais-sont-fiches-dans-fnaeg). Dans le même ordre d’idées, on se souvient aussi des dispositions de lutte contre le terrorisme, adoptées dans l’urgence après les attentats de novembre 2015, qui ont aussitôt servi à réprimer les manifestations du mouvement écologiste lors de la COP 21 à Paris en décembre 2015.

    Dans un contexte politique et social où les mobilisations politiques sont dorénavant traitées par les gouvernements comme des événements « anti-républicains » et « factieux », comment croire une seule seconde que l’accès aux appareils numériques sera toujours réservé aux vrais méchants de la fiction ? Comme le dit l’article : « Il n’y a jamais de retour en arrière ».

    Surtout que la qualification pénale, à ce stade des enquêtes, revient aux procureurs, qui pourront user et abuser de leurs pouvoirs pour s’autoriser ces nouveaux pouvoirs d’enquête. Or, l’exemple de l’affaire de Tarnac montre bien que ce qui est présenté comme terroriste par la police ne l’est pas nécessairement pour la justice. En pleine urgence climatique, certaines actions de sabotage menées par des activistes écologistes pourraient déjà tomber sous le coup de ces mesures.

    Lire l’article complet du 25 juillet : https://www.laquadrature.net/2023/07/25/lassemblee-adopte-lactivation-a-distance-des-appareils-electroniques/

    Réseaux sociaux et boucs émissaires

    Dans la bouche des personnalités politiques paresseuses, les réseaux sociaux sont responsables de tous les maux, sauf quand c’est la faute des jeux vidéo. Lors des révoltes urbaines qui ont suivi la mort du jeune Nahel à Nanterre, le 27 juin dernier, ça n’a pas raté : juste après avoir doctement affirmé que « certains d’entre eux vivent dans la rue les jeux vidéo qui les ont intoxiqués », le Président de la République (également sociologue, spécialiste des médias et analyste des comportements de foules), a pointé « celles et ceux qui utilisent ces réseaux sociaux pour appeler au désordre ou exacerber la violence ».

    Pour le gouvernement, les émeutiers sont des gamins qui agissent uniquement par imitation et pour cumuler les vues sur TikTok et SnapChat. Belle analyse au doigt mouillé, qui accuse le mécanisme de propagation de la révolte sans interroger son origine sociale dans la profondeur ni dans la durée. On accuse le médium sans lire le message, c’est de l’escamotage politicien dans toute sa splendeur.

    Mais au-delà de ce tour de passe-passe affligeant qui cache la démission de toute ambition politique, le gouvernement retombe une fois encore dans les réflexes sécuritaires qui en sont le complément habituel : on parle de censurer en urgence, et à la volée, les contenus qui « appellent à l’émeute », en particulier les vidéos tournées dans les rues. Cette censure administrative est un vieil ennemi de La Quadrature : utilisée à discrétion par la police et le gouvernement, sans décision judiciaire et au gré des errances politiques, elle donne paradoxalement un pouvoir démesuré aux grandes plateformes privées du web, qui appliquent les décisions de censure administrative avec le plus grand zèle et les devancent même volontiers.

    Le gouvernement prépare pour cet automne une loi numérique qui devra adapter les mesures du Digital Service Act (DSA) européen. Sera-t-elle l’occasion pour le gouvernement de renforcer les pouvoirs des plateformes ? Ce sera un des grands enjeux de cette rentrée pour La Quadrature, qui soutient toujours l’obligation d’interopérabilité.

    Une analyse détaillée de l’actualité et des enjeux à venir, à lire sur notre site.

    Lire l’article paru le 28 juillet : https://www.laquadrature.net/2023/07/28/revoltes-et-reseaux-sociaux-le-retour-du-coupable-ideal/

    Pourquoi nous n’accueillerons pas Meta dans le fédivers

    L’interopérabilité que nous réclamons est en train d’advenir. Le fédivers, basé sur le protocole ActivityPub, a pris une ampleur intéressante dans la dernière année, avec une multiplication des services qui l’utilisent — et peuvent donc tous s’interopérer — et une forte hausse de la fréquentation du réseau Mastodon, provoquée par la déréliction de Twitter sous la direction erratique d’Elon Musk. La fin du monopole de Twitter sur le micro-blogging et le développement de nouvelles formes de réseaux sociaux attirent maintenant les appétits des autres grandes plateformes.

    Meta a donc annoncé le lancement de Threads, qui devrait à terme se baser sur ActvityPub pour être interopérable avec le reste du fédivers. Le groupe a même engagé, sous couvert d’un accord de confidentialité, des discussions avec quelques-unes des plus grandes instances de Mastodon. Aussitôt, le débat a pris au sein de la communauté : faut-il ou non accueillir Meta et Threads dans le fédivers ? Notre réponse est non.

    L’histoire enseigne que les grandes entreprises privées du web sont toujours intéressées par les technos et les idées qui les concurrencent. Elles commencent par s’en approcher, par s’interconnecter avec elles, puis elles développent de nouvelles fonctions qui redéfinissent le jeu, avant de le refermer en absorbant tout le monde. Pour fonctionner de manière équitable et résister à la recentralisation, à la force de gravitation des grands groupes, l’interopérabilité doit être formalisée et encadrée par des règles contraignantes, les mêmes pour tous les acteurs.

    C’est pourquoi les GAFAM ne seront pas les bienvenus dans le fédivers tant que l’interopérabilité ne sera pas obligatoire et strictement encadrée.

    Lire notre prise de position parue le 9 août : https://www.laquadrature.net/2023/08/09/larrivee-de-meta-sur-le-fedivers-est-elle-une-bonne-nouvelle/

    La Quadrature dans les médias

    Censure des réseaux sociaux

    Mouchards

    Meta et le fédivers

    Agenda

    • 24 au 27 août : La Quadrature du Net sera au Hadra Trance Festival, aux côtés de Framasoft, Picasoft, Exarius et Linux07 – Plan d’eau de Vieure, Allier (France). Plus d’infos sur : https://hadratrancefestival.net/fr/.
    • 1er au 4 septembre : La Quadrature du Net sera à Freedom Not Fear à Bruxelles. Plus d’infos sur : https://freedomnotfear.org/2023.
    • 14 septembre : causerie mensuelle Technopolice Marseille à 19h, au Manifesten, 59 rue Adolphe Thiers à Marseille.

    Retour aux archives

    ]]>
    La justice refuse de sanctionner la vidéosurveillance algorithmique marseillaisehttps://www.laquadrature.net/?p=20963http://isyteck.com/autoblog/quadrature/index.php5?20230830_143741_La_justice_refuse_de_sanctionner_la_videosurveillance_algorithmique_marseillaiseWed, 30 Aug 2023 12:37:41 +0000Par un jugement rendu début juin, le tribunal administratif de Marseille a refusé de constater l’illégalité de la vidéosurveillance algorithmique (VSA) de la cité phocéenne. En se retranchant derrière des considérations procédurales contestables, et après trois ans de procédure, la justice administrative marseillaise déçoit. La Quadrature du Net a fait appel de ce jugement et compte bien rappeler à la cour administrative d’appel de Marseille – désormais saisie de l’affaire – que la VSA, mise en place par la ville sous l’ère Gaudin et soutenue aujourd’hui par le Printemps marseillais, est bien illégale.

    Une ville tombée dans la facilité du technosolutionnisme

    L’affaire remonte à fin 2019. Alors que nous venions de lancer la campagne Technopolice, un des premiers projets documentés était celui de la vidéosurveillance algorithmique (VSA) à Marseille. La mairie, sous l’ère de son ancien maire Jean-Claude Gaudin, a commencé à mettre en œuvre ses premières caméras de VSA vers la fin de l’année 2019, comme le révélait Télérama à l’époque. Nous avons donc attaqué ce dispositif mais le tribunal administratif a estimé que la procédure d’urgence alors choisie n’était pas adéquate, et a donc rejeté notre recours.

    Les élections municipales qui ont suivi, en 2020, nous ont alors laissé penser qu’il ne serait peut-être pas nécessaire de saisir de nouveau la justice pour faire retirer la VSA de l’espace public marseillais. En effet, la droite a été battue aux élections municipales par la liste du Printemps marseillais, alliance de gauche ayant pris position pendant la campagne électorale contre ce projet de surveillance de l’espace urbain. Mais une fois élue, la liste qui voulait réinventer la politique à Marseille préféra poursuivre la politique de la précédente majorité en matière de sécurité. Faute de dialogue avec la nouvelle équipe municipale, nous avons alors attaqué, à nouveau, le contrat prévoyant cette surveillance. Plus précisément nous avons contesté devant le tribunal administratif de Marseille le contrat suite au refus de la ville de résilier le marché public de la VSA.

    L’enfumage de l’équipe municipale marseillaise

    Face à ce nouveau recours (voir également notre premier mémoire en réplique puis notre second), la ville a adopté une stratégie de l’enfumage. Alors qu’elle affirmait à qui voulait l’entendre, y compris à la justice, que ce projet serait suspendu, la réalité était pourtant toute autre : par « suspension », il ne fallait pas croire que les caméras de VSA déjà en place avait été retirées ou, a minima, désactivées. La ville a joué sur les mots pendant les trois années de procédure en affirmant que le projet était suspendu alors que seul le déploiement de nouvelles caméras étaient arrêté ; les caméras de VSA déjà en place (« une cinquantaine » indiquait la ville au tribunal administratif, se refusant à donner plus de détails) ont toujours continué de fonctionner. Non seulement la mairie a choisi de défendre la surveillance qu’elle dénonçait pendant sa campagne électorale, mais a également joué sur les mots pour essayer de s’en sortir à moindre frais.

    Et cette stratégie s’est révélée payante puisque le tribunal administratif a considéré que, le projet étant soi-disant suspendu, et ce malgré nos éléments prouvant l’inverse, il n’y avait pas lieu d’exiger la résiliation du marché public.

    Un dangereux signal adressé aux communes

    Le cadre contentieux de cette affaire est particulier : parce que nous attaquons un contrat passé entre la ville et un industriel local (la société SNEF), la seule illégalité du contrat ne suffit pas. Il faut démontrer que cette illégalité porte une atteinte manifeste à l’intérêt général. Or, pour rejeter notre recours, le tribunal administratif estime, en substance, que surveiller l’ensemble des marseillais·es qui passeraient devant l’une des cinquante caméras de VSA ne suffit pas pour qualifier une atteinte manifeste à l’intérêt général, peu importe que cette surveillance puisse être illégale. C’est parce que nous refusons cette manière de voir les choses que nous avons fait appel.

    Ainsi, le tribunal administratif n’a même pas eu à se pencher sur le fonctionnement concret de la VSA, ni sur la légalité des traitements de données qu’elle implique, pour maintenir cette surveillance. Et pour cause. À part le ministre Darmanin qui fait faussement le naïf en parlant d’un pseudo « vide juridique » de la VSA, tout le monde s’accorde à dire que la VSA est illégale1À l’exception, désormais, de celle autorisée par la loi JO lorsque les décrets d’application seront publiés, mais le cas de Marseille ne rentre pas dedans. : la CNIL2Dans son rapport sur la VSA, la CNIL retient l’absence de base légale de la VSA, donc son illégalité., le Conseil d’État3Dans une étude de 2022 sur l’usage de l’IA par les administrations, le Conseil d’État rejoint la position de la CNIL en indiquant page 137 de son rapport que les bases légales du RGPD, de la directive « police-justice » et de la loi Informatique et Libertés ne sont pas mobilisables pour la VSA dans l’espace public., ou encore la rapporteure de la loi JO au Sénat4Dans son rapport fait à la commission des Lois du Sénat, la rapporteure Agnès Canayer se range derrière l’avis de la CNIL et du Conseil d’État, et mentionne même un avis non publié de ce dernier qui confirmerait l’illégalité de ces dispositifs.. Il a simplement eu à se retrancher derrière la soi-disant suspension du contrat pour ne pas avoir à se prononcer sur le fond.

    Ce faisant, le tribunal administratif de Marseille envoie un signal dangereux aux communes : cachez vos surveillances illégales dans des contrats, faites semblant de les suspendre, et personne ne pourra venir les contester. Ce qui est inconcevable dans un État de droit.

    Bien entendu, nous continuons à penser que la ville de Marseille agit dans l’illégalité en maintenant en place son dispositif de VSA. Nous continuons de penser que cette VSA constitue une surveillance biométrique des personnes filmées. Combien de temps encore faudra-t-il pour que la ville de Marseille et, au-delà de cette affaire, l’ensemble des villes utilisatrices de dispositifs de VSA, soient contraintes de respecter les droits fondamentaux des habitant·es ?

    Pour que nous puissions continuer cette lutte, n’oubliez pas que vous pouvez nous aider en faisant un don ou en aidant à documenter ces dispositifs technopoliciers.

    References

    References
    1 À l’exception, désormais, de celle autorisée par la loi JO lorsque les décrets d’application seront publiés, mais le cas de Marseille ne rentre pas dedans.
    2 Dans son rapport sur la VSA, la CNIL retient l’absence de base légale de la VSA, donc son illégalité.
    3 Dans une étude de 2022 sur l’usage de l’IA par les administrations, le Conseil d’État rejoint la position de la CNIL en indiquant page 137 de son rapport que les bases légales du RGPD, de la directive « police-justice » et de la loi Informatique et Libertés ne sont pas mobilisables pour la VSA dans l’espace public.
    4 Dans son rapport fait à la commission des Lois du Sénat, la rapporteure Agnès Canayer se range derrière l’avis de la CNIL et du Conseil d’État, et mentionne même un avis non publié de ce dernier qui confirmerait l’illégalité de ces dispositifs.
    ]]>
    L’arrivée de Meta sur le fédivers est-elle une bonne nouvelle ?https://www.laquadrature.net/?p=20919http://isyteck.com/autoblog/quadrature/index.php5?20230809_113133_L___arrivee_de_Meta_sur_le_fedivers_est-elle_une_bonne_nouvelle___Wed, 09 Aug 2023 09:31:33 +0000Le fédivers (de l’anglais fediverse, mot-valise de « fédération » et « univers ») est un ensemble de médias sociaux composé d’une multitude de plateformes et de logiciels, où les uns communiquent avec les autres grâce à un protocole commun. Mastodon est un des logiciels qui permet de proposer une instance sur le fédivers1Pour en savoir plus sur le fédiverse : fediverse.party. En juin dernier, Meta a annoncé son arrivée sur le fédivers, à travers le lancement d’un concurrent à Twitter, nommé Threads, qui prévoit à terme de pouvoir s’intéropérer avec d’autres instances du fédivers. La Quadrature du Net réclame depuis plusieurs années une obligation d’interopérabilités pour ces grands réseaux sociaux. Alors l’interopérabilité d’un service proposé par Meta est-elle une bonne nouvelle ? Certainement pas.

    Le fédivers est important

    Depuis 2018, La Quadrature du Net défend le modèle vertueux du fédivers et réclame qu’il soit introduit dans le droit une obligation pour les plateformes de réseaux sociaux d’être interopérables, c’est-à-dire qu’ils puissent s’insérer dans l’écosystème du fédivers. L’objectif premier du fédivers et de notre revendication d’interopérabilité est de faire en sorte que les utilisateur·rices des grandes plateformes ne soient pas piégé·es par l’effet réseau, c’est-à-dire le fait que certaines plateformes deviennent aujourd’hui incontournables parce que les communautés sont dessus. L’interopérabilité permet ainsi de librement décider depuis quelle plateforme communiquer avec ses contacts, sans être poussé avec plus ou moins de force vers un site ou une application en particulier parce que tous·tes ses ami·es y seraient.

    L’interopérabilité en matière de messageries interpersonnelles existe déjà depuis des décennies avec le courrier électronique. Avec une adresse chez un fournisseur A, il est possible d’écrire à ses contacts chez un fournisseur B.

    Appliquée aux réseaux sociaux, l’interopérabilité permet à une personne sur une instance A d’écrire à une personne sur une instance B. Surtout, cela permet donc de quitter une plateforme sans se couper de ses ami·es, notamment face à un réseau social qui abuserait des données personnelles de ses utilisateur·rices ou qui aurait des politiques de modération ou de mise en avant de certains contenus problématiques.

    La Quadrature du Net promeut depuis 2017 l’interopérabilité des réseaux sociaux. Nous pensons qu’il s’agit d’une réponse alternative à la problématique de la régulation des contenus en lignes. Face à des contenus racistes, antisémites, xénophobes, etc., mis en avant par certaines grandes plateformes, permettre à leurs utilisateur·rices de partir sans se couper de ses ami·es permet de faire émerger des alternatives plus vertueuses, au modèle économique différent.

    Ainsi, depuis 2017, nous gérons une instance Mastodon, Mamot.fr. Avec cette instance, nous maintenons une petite pierre du grand réseau social fédéré qu’est le fédivers. Nos utilisateur·rices peuvent donc communiquer avec les autres instances du fédivers, sans avoir besoin d’un compte sur chaque autre plateforme, et en pouvant partir du jour au lendemain si notre politique de modération ne convenait pas. En sommes, un réseau social fédéré permet de redonner du pouvoir à l’internaute, en le retirant aux plateformes.

    La beauté du fédivers est aussi qu’il ne s’arrête pas à du microblogging. Nous avons aussi une instance Peertube sur video.lqdn.fr, qui fait aussi partie du fédivers : chacun·e peut commenter et partager nos vidéos sans avoir de compte sur notre plateformes, mais simplement sur une instance quelconque du fédivers.

    Mais voici que le géant Meta arrive

    Qu’on l’appelle Meta ou Facebook, c’est bien le même géant qui est à la manœuvre. On rappellera que le réseau social de Mark Zukerberg à l’origine de nombreux scandales, sur la gestion des données personnelles et le non-respect du RGPD, ou encore le fait qu’il a servi, à travers le scandale de Cambridge Analytica, à des campagnes massives de manipulations électorales.

    Meta est peut-être trop gros, sa position dominante et presque monopolistique dans le milieu des réseaux sociaux aujourd’hui lui octroyant une forme d’impunité. C’est bien en regroupant l’ensemble des internautes de Facebook, Instagram, WhatsApp, etc. que le groupe aux plusieurs milliards d’utilisateur·rices peut survivre à ses innombrables scandales.

    Mais aujourd’hui Meta est face à un double souci. Premièrement, les réseaux sociaux ne durent pas éternellement et sont régulièrement abandonnés lors des migrations vers d’autres réseaux. Facebook en fait petit à petit les frais, concurrencé par d’autres plateformes qui ont su jouer sur les phénomènes d’addiction comme TikTok. Deuxièmement, sa taille fait de lui une cible prioritaire des différents États, qui cherchent à réguler les plateformes. Le Digital Markets Act (DMA), règlement européen qui, en tandem avec le Digital Services Act (DSA), vise à réguler les plateformes et l’économie numériques, a bien failli imposer aux réseaux sociaux une obligation d’interopérabilité. Si la France, sous l’impulsion de Cédric O, est venue, en toute fin de parcours législatif, retirer les obligations d’interopérabilités pour les réseaux sociaux du texte final, on voit bien que l’idée de la régulation par la décentralisation d’Internet fait son chemin parmi les décideur·euses public·ques et qu’une telle obligation finira probablement par arriver.

    L’arrivée de Facebook sur le fédivers ressemble à la stratégie de prendre les devants, d’agir tant qu’il n’existe pas encore d’encadrement, afin de cannibaliser le fédivers en profitant de la circonstance de l’effondrement de Twitter.

    L’interopérabilité est importante

    Afin de promouvoir le modèle vertueux du fédivers, nous réclamions avec la loi Avia qu’il soit imposée aux grandes plateformes de réseaux sociaux une obligation d’interopérabilité. En permettant aux utilisateur·rices de quitter un réseau social toxique sans se couper de ses ami·es, il s’agit de casser le monopole qu’ont les géants sur les communautés et de permettre aux internautes de choisir l’endroit qui les accueillera, en fonction des préférences, affinités et valeurs de chacun·es.

    Alors que la loi Avia proposait comme manière de réguler les plateformes le contrôle, la censure et la confirmation de l’hégémonie des plateformes et de leur pouvoir, nous proposions l’obligation d’interopérabilité comme modèle alternatif à la censure. Si Twitter, Facebook ou TikTok sont nocifs, c’est (entre autres) que leur modèle économique les pousse à mettre en avant des contenus problématiques, haineux, qui feront réagir les internautes et maintiendront leur attention pour engranger plus de revenus publicitaires, au détriment du débat apaisé et du respect de l’autre.

    Avec le DSA et le DMA, nous proposions l’obligation d’interopérabilité pour cette même raison : réguler les géants doit passer par leur retirer le contrôle de leurs communautés. Et nos efforts, épaulés par d’autres organisations comme EDRi, Article 19 ou l’Electronic Frontier Foundation (EFF), ont bien failli réussir puisque sans les efforts du gouvernement français et de son ministre de l’époque Cédric O, l’obligation d’interopérabilité des réseaux sociaux aurait pu devenir réalité puisque le Parlement européen avait voté en sa faveur.

    Récemment, nous critiquions également l’attitude du gouvernement qui, sourd aux problèmes sociaux qui touchent les banlieues, préfère museler la liberté d’expression sur les réseaux sociaux avec la vieille rengaine de la censure, alors que cela ne résoudra pas les problèmes de fond et que la régulation des plateformes devrait passer par plus de décentralisation au lieu de plus de censure.

    S’interopérer, oui, mais pas n’importe comment

    Alors finalement, face à ce constat de nécessité de décentraliser les réseaux sociaux, le fédivers ne devrait-il pas accueillir à bras ouverts Meta ? L’histoire nous montre que non.

    Déjà, notons que, au moment où nous écrivons ces lignes, Threads n’est pas interopérable. L’annonce a été faite par Meta que son service permettrait de communiquer avec le reste du fédivers, mais il ne s’agit à ce stade que d’une annonce. Notons également que Meta a restreint Threads aux internautes qui ne sont pas dans l’Union européenne, invoquant une incompatibilité avec le RGPD.

    Ce contexte étant posé, il est nécessaire, pour comprendre l’ensemble du problème, de revenir sur l’épisode de GTalk et XMPP. XMPP est un protocole ouvert de messagerie interpersonnelle. De manière relativement similaire au courrier électronique, chaque utilisateur·rice a son compte sur un service et peut discuter avec ses ami·es qui peuvent être sur d’autres services. En 2005, Google lance son service de messagerie, GTalk, qui utilise le protocole XMPP et l’année d’après la fédération est activée : il était alors possible de discuter avec un·e utilisateur·rice de GTalk en ayant un compte ailleurs que chez Google. Mais en 2012, après avoir capté une partie des utilisateur·rices externes, l’entreprise annonça qu’elle comptait réorganiser ses produits et fusionner tous ceux de messagerie avec Hangouts. En 2013, Google annonçait que Hangouts ne serait pas compatible avec XMPP, refermant sur elle-même sa communauté qu’il avait fait grossir grâce à l’interopérabilité permise par XMPP.

    On le voit, la taille de Google permettait d’imposer ce choix. Couper les internautes de leurs ami·es qui ne seraient pas chez Google n’est pas une décision en faveur des utilisateur·rices. Elle a pourtant été rendue possible par la puissance de Google sur sa communauté.

    Lorsque les premières rumeurs sur l’arrivée de Meta sur le fédivers avec Threads (dont le nom de code à l’époque était « Project92 ») ont émergéMeta a demandé à discuter avec des administrateur·rices d’instances Mastodon en exigeant au préalable qu’iels signent un accord de confidentialité (non-disclosure agreement). La méthode cavalière n’a bien entendu pas plu et c’est ainsi que certain·es administateurs·rices, sans connaître le contenu des échanges qu’a pu avoir Meta avec d’autres, ont révélé l’information en dénonçant au passage la méthode., l’initiative du Fedipact a été lancée. Le principe est simple, les signataires de cet engagement s’engageant à bloquer les services de Meta en raison de la nocivité de l’entreprise pour le fédivers : « Je suis un·e administeur·rice/modérateur·rice sur le fédivers. En signant ce pacte, je m’engage à bloquer toute instance de Meta qui pourrait arriver sur le fédivers. Le Projet92 pose un risque sérieux et réel à la santé et à la longévité du fédivers et doit être combattu à chaque occasion. »

    La Quadrature du Net partage les craintes mais ne signera pas cet appel

    De nombreuses instances du fédivers, francophone ou non, ont décidé de signer cet appel. De nombreux arguments en faveur du blocage de Meta ont été développés (voir, par exemple, l’explication de Ploum et sa traduction en français). D’autres instances ont préféré attendre, ne voulant pas condamner par avance Meta mais ne fermant pas la porte à son blocage si le service venait créer des problèmes de modération.

    Si nous ne signons pas le Fedipact, nous partageons les craintes exprimées et l’instance Mastodon que gère La Quadrature du Net, mamot.fr, bloquera Threads et tout service de Meta qui arriverait sur le fédivers tant qu’une obligation d’interopérabilité accompagnée d’un régulateur capable de tenir tête aux GAFAM et autres géants du numérique ne sera pas introduite en droit.

    Nous pensons en effet qu’il est possible, et souhaitable, d’avoir Facebook et les autres réseaux sociaux commerciaux sur le fédivers. C’est une condition sine qua non à leur affaiblissement. En revanche, la démarche de Meta avec Threads est tout sauf une stratégie d’affaiblissement de l’entreprise : Meta ne compte pas se tirer une balle dans le pied, son invasion du fédivers vise à le cannibaliser.

    Nous demandons toujours que ces réseaux sociaux aujourd’hui fermés par nature deviennent interopérables. Mais pas n’importe comment ni au détriment de l’écosystème existant ni, in fine, au détriment des droits et libertés des utilisateur·rices. Une telle obligation doit passer par un contrôle, un encadrement, pour que Meta ne puisse pas imposer ses choix au reste d’Internet.

    Par sa taille, en effet, Threads deviendrait d’office la plus grosse plateforme du fédivers, sans pour autant prendre d’engagement sur le respect du fonctionnement et de la pérennité de la structure interopérable de l’écosystème. Meta pourrait par exemple chercher à influencer le protocole sur lequel repose le fédivers, ActivityPub. Il pourrait même refuser d’utiliser ce protocole, forçant les autres plateformes à s’interopérer avec lui. Ou adopter la stratégie du Embrace, extend and extinguish.

    En somme, sans régulateur fort qui puisse empêcher Meta de prendre ce qui l’arrange dans le fédivers sans participer à son développement (le fédivers repose, rappelons-le, sur une conception radicalement opposée à la logique commerciale de Meta), c’est bien un danger de mort qui pèse sur le fédivers.

    Tout comme Google a pris ce qui l’arrangeait dans XMPP, sans contrôle externe Meta prendra ce qui lui convient dans le fédivers puis s’en ira, ou fera en sorte de laisser se dégrader la partie interopérée de son service, par exemple en réservant certaines fonctionnalités à ses seul·es utilisateur·rices uniquement. Comme nous l’écrivions par le passé, « en quelques années, les géants se refermèrent sur eux-même et cessèrent de communiquer, même entre eux. Ils n’avaient plus de raisons de permettre de communiquer avec l’extérieur, « tout le monde » était déjà là, prisonnier et ne pouvant s’échapper sous peine de voir un pan de sa vie sociale disparaître. » Nous ne voulons pas revivre cette situation avec le fédivers.

    Nous prenons souvent l’exemple du courrier électronique pour montrer la faisabilité technique de l’interopérabilité. Mais en matière d’email aussi, les géants imposent leurs règles. Framasoft écrivait il y a déjà six ans qu’« Être un géant du mail, c’est faire la loi… ». Et pour cause : par leur captation de la majorité des utilisateur·rices, les géants du net peuvent imposer aux plus petits leurs règles, leurs standards techniques, faire en sorte de forcer les petits à s’adapter aux gros, et non les gros à s’adapter aux petits. Le même risque pèse sur le fédivers sans un régulateur pour les en empêcher.

    Les conséquences pour les utilisateur·rices de Mamot.fr

    Face à ces incertitudes, pour préserver notre possibilité d’agir à l’avenir et pour nous protéger d’un risque que nous jugeons réel, nous pensons que les actions de Meta doivent être observées avec la plus grande prudence.

    Pour les raisons évoquées précédemment, Mamot.fr procédera, jusqu’à nouvel ordre, au blocage préventif de Threads ainsi que de tout autre service de Meta qui viendrait sur le fédivers.

    Les personnes ayant un compte sur Mamot.fr ne pourrons donc pas être vues ou suivies par celles ayant un compte chez Threads, et vice versa. Si des personnes que vous connaissez sont sur cette instance et aimeraient vous suivre, nous recommandons qu’elles mettent leur données entre les mains de collectifs et d’associations de confiances, notamment les instances gérées par les CHATONS, par exemple.

    Un tel blocage n’est bien évidemment pas idéal : c’est l’internaute, in fine, qui se retrouve victime de cette situation. Mais la balle est dans le camp du législateur. Notre position n’a pas changé : nous pensons qu’il est nécessaire que les grosses plateformes soient interopérables, sur des bases techniques et sociales communes, ce qui ne peut se réaliser qu’avec une obligation d’interopérabilité contrôlée par un régulateur qui aura les pouvoirs suffisants pour empêcher les gros d’écraser les petits. Ce qui, aujourd’hui, n’est malheureusement pas le cas. Le projet de loi Espace numérique, qui a été voté au Sénat en juillet et sera débattu à l’Assemblée nationale en octobre, est l’occasion pour le législateur d’introduire cette obligation d’interopérabilité. Nous reviendrons prochainement sur ce texte. En attendant, n’hésitez pas à faire un don à La Quadrature du Net, afin que nous puissions continuer ce combat pour un Internet décentralisé et bénéfique aux internautes.

    Illustration : « NoisePlanet_Asteroid belt_2.0 », par Samuel YAN, CC BY-NC-SA 3.0.

    References

    References
    1 Pour en savoir plus sur le fédiverse : fediverse.party
    ]]>
    Révoltes et réseaux sociaux : le retour du coupable idéalhttps://www.laquadrature.net/?p=20905http://isyteck.com/autoblog/quadrature/index.php5?20230728_115351_Revoltes_et_reseaux_sociaux____le_retour_du_coupable_idealFri, 28 Jul 2023 09:53:51 +0000Les révoltes qu’ont connues de nombreuses villes de France en réaction à la mort de Nahel ont entraîné une réponse sécuritaire et autoritaire de l’État. Ces évènements ont également réactivé une vieille antienne : tout cela serait dû au numérique et aux réseaux sociaux. On aimerait railler cette rhétorique ridicule si seulement elle n’avait pas pour origine une manœuvre politique de diversion et pour conséquence l’extension toujours plus dangereuse de la censure et du contrôle de l’information.

    « C’est la faute aux réseaux sociaux »

    Aux premiers jours des révoltes, Emmanuel Macron a donné le ton en annonçant, à la sortie d’une réunion de crise, que « les plateformes et les réseaux sociaux jouent un rôle considérable dans les mouvements des derniers jours ». Aucune mention des maux sociaux et structurels dans les quartiers populaires depuis plusieurs décennies, rien sur l’écœurement d’une population vis-à-vis des violences policières. Non, pour le président, c’est Snapchat, TikTok et les autres réseaux sociaux qui participeraient à « l’organisation de rassemblements violents » et à une « forme de mimétisme de la violence » qui conduirait alors à « une forme de sortie du réel ». Selon lui, certains jeunes « vivent dans la rue les jeux vidéo qui les ont intoxiqués ». Il est vrai que nous n’avions pas vu venir cette sortie d’un autre temps sur les jeux vidéos, tant elle a déjà largement été analysée et démentie par de nombreuses études.

    Mais si le jeu vidéo a vite été laissé de côté, les critiques ont toutefois continué de se cristalliser autour des réseaux sociaux, à droite comme à gauche. Benoît Payan, maire de Marseille, a ainsi expliqué que les réseaux sociaux « sont hors contrôle et ils permettent à des bandes organisées qui font n’importe quoi d’être extrêmement mobiles, de se donner des rendez-vous ». Éric Dupond-Moretti, ministre de la Justice, s’est quant à lui taillé un rôle paternaliste et moralisateur, dépolitisant les évènements et essentialisant une jeunesse qui aurait l’outrecuidance d’utiliser des moyens de communication. Selon lui, « les jeunes » utilisent les réseaux sociaux et se « réfugient derrière leurs téléphone portable », se pensant « comme ça en toute liberté dans la possibilité d’écrire ce qu’ils veulent ». Car pour Dupond-Moretti, le jeune doit « rester chez lui » et les parents doivent « tenir leurs gosses ». Et si le jeune veut quand même « balancer des trucs sur Snapchat », alors attention, « on va péter les comptes ».

    En substance, il menace d’identifier les personnes qui auraient publié des vidéos de violences pour les retrouver, quand bien même ces contenus seraient totalement licites. À l’image d’un surveillant courant avec un bâton après des enfants, dépassé par la situation, le ministre de la Justice se raccroche à la seule branche qui lui est accessible pour affirmer son autorité. Les récits de comparution immédiate ont d’ailleurs démontré par la suite la violence de la réponse judiciaire, volontairement ferme et expéditive, confirmant la détermination à prouver son ascendant sur la situation.

    Le clou du spectacle a été prononcé par Emmanuel Macron lui-même le 4 juillet, devant plus de 200 maires, lorsqu’il a évoqué l’idée de « réguler ou couper » les réseaux sociaux puisque « quand ça devient un instrument de rassemblement ou pour essayer de tuer, c’est un vrai sujet ». Même avis chez Fabien Roussel « quand c’est chaud dans le pays », car celui-ci préfère « l’état d’urgence sur les réseaux sociaux que sur les populations ». Pour rappel, couper Internet à sa population est plutôt apprécié par les régimes autoritaires. En 2023, l’ONG Access Now a recensé que ce type de mesure avait été utilisé en Inde, Birmanie, Iran, Pakistan, Éthiopie, Russie, Jordanie, Brésil, Chine, Cuba, Irak, Guinée et Mauritanie.

    Quelques semaines plus tard, le président annonçait le projet : restaurer un « ordre public numérique », ranimant la vieille idée sarkoziste qu’Internet serait une « zone de non-droit ».

    La censure au service de l’ordre

    L’ensemble de ces réactions révèle plusieurs des objectifs du gouvernement. D’abord, il attaque les moyens de communication, c’est-à-dire les vecteurs, les diffuseurs, les tremplins d’une expression populaire. Ce réflexe autoritaire est fondé sur une erreur d’appréciation majeure de la situation. Comme avec Internet à sa création, l’État semble agacé que des moyens techniques en perpétuelle évolution et lui échappant permettent aux citoyens de s’exprimer et s’organiser.

    Depuis sa création, La Quadrature l’observe et le documente : le réflexe du blocage, de la censure, de la surveillance traduit en creux une incapacité à comprendre les mécanismes technologiques de communication mais surtout révèle la volonté de limiter la liberté d’expression. En démocratie, seul un juge a l’autorité et la légitimité pour décider si un propos ou une image enfreint la loi. Seule l’autorité judiciaire peut décider de retirer un discours de la sphère publique par la censure.

    Or, sur Internet, cette censure est déléguée à des entités privées dans un cadre extra-judiciaire, à rebours de cette protection historique. L’expression et l’information des utilisateur·rices se heurtent depuis des années aux choix de plateformes privées auto-désignées comme entités régulatrices du discours public. Ce mécanisme de contrôle des moyens d’expression tend en effet à faire disparaître les contenus militants, radicaux ou alternatifs et à invisibiliser l’expression de communautés minoritaires. Alors que ce modèle pose de sérieuses questions quant à la liberté d’expression dans l’espace démocratique, c’est pourtant bien sur celui-ci que le gouvernement compte pour faire tomber les vidéos de violences et de révoltes.

    Ensuite, cette séquence démontre l’absence de volonté ou l’incompétence de l’État à se confronter aux problématiques complexes et anciennes des quartiers populaires et à apporter une réponse politique et sociale à un problème qui est uniquement… politique et social. L’analyse des évènements dans les banlieues est complexe, difficile et mérite qu’on se penche sur de multiples facteurs tels que le précédent de 2005, l’histoire coloniale française, le rapport des habitant·es avec la police ou encore le racisme et les enjeux de politique de la ville. Mais ici, le gouvernement convoque les réseaux sociaux pour contourner la situation. Comme à chaque crise, la technologie devient alors le usual suspect préféré des dirigeants : elle est facile à blâmer mais aussi à maîtriser. Elle apparaît ainsi comme une solution magique à tout type de problème.

    Rappelons-nous par exemple de l’application TousAntiCovid, promue comme l’incarnation du progrès ultime et salvateur face à la crise sanitaire alors qu’il s’agissait uniquement d’un outil de surveillance inefficace. La suite a montré que seules des mesures sanitaires étaient de toute évidence à même de résorber une épidémie. Plus récemment, cette manœuvre a été utilisée pour les Jeux Olympiques, moment exceptionnel par ses aspects logistiques, économiques et sociaux mais où la réponse politique apportée a été de légaliser un degré supplémentaire de surveillance grâce à la technologie, la vidéosurveillance algorithmique.

    Ici, le gouvernement se sert de ces deux phénomènes pour arriver à ses fins. Désigner les réseaux sociaux comme le coupable idéal lui permet non seulement de détourner l’opinion publique des problématiques de racisme, de pauvreté ou de politique des quartiers mais également de profiter de cette séquence « d’exception » pour asseoir sa volonté de contrôle d’Internet et des réseaux sociaux. Ainsi, les ministres de l’Intérieur et du Numérique ont convoqué le 30 juin les représentants de TikTok, Snapchat, Twitter et Meta pour leur mettre une « pression maximale », selon les mots du ministre du Numérique Jean-Noël Barrot, et renforcer ainsi la main mise et l’influence politique sur ces infrastructures de communication.

    Une collaboration État-plateformes à son paroxysme

    Comment le gouvernement peut-il alors faire pour réellement mettre les réseaux sociaux, des entreprises privées puissantes, sous sa coupe ? Juridiquement, il dispose de leviers pour demander lui-même le retrait de contenus aux plateformes. Certes cette censure administrative est en théorie aujourd’hui réservée à la pédopornographie et à l’apologie du terrorisme, mais cette dernière, notion vague et indéfinie juridiquement, a notamment permis d’exiger le blocage du site collaboratif et militant Indymedia ou de faire retirer une caricature de Macron grimé en Pinochet. Ces pouvoirs ont d’ailleurs été récemment augmentés par l’entrée en vigueur du règlement « TERREG », qui permet à la police d’exiger le retrait en une heure d’un contenu qualifié par elle de « terroriste ». Cependant, il ne semble pas que le gouvernement ait utilisé ces dispositions pour exiger le retrait des vidéos de révoltes. D’ailleurs, et peut-être plus grave, il n’en a probablement pas eu besoin.

    Conscient des limites juridiques de son pouvoir, l’État peut en effet miser sur la coopération des plateformes. Comme nous l’avons évoqué, celles-ci ont le contrôle sur l’expression de leurs utilisateur·ices et sont en mesure de retirer des vidéos de révoltes et d’émeutes quand bien même ces dernières n’auraient absolument rien d’illégal, simplement en invoquant leurs larges pouvoirs issus des conditions générales d’utilisation.

    D’un côté, les autorités peuvent compter sur le zèle de ces réseaux sociaux qui, après avoir longtemps été accusés de mauvais élèves et promoteurs de la haine en ligne, sont enclins à se racheter une image et apparaître comme de bons soldats républicains, n’hésitant pas à en faire plus que ce que demande la loi. Twitter par exemple, qui a pendant longtemps résisté et ignoré les demandes des autorités, a drastiquement changé sa discipline depuis l’arrivée d’Elon Musk. Selon le media Rest of World qui a analysé les données du réseau, Twitter ne refuse quasiment plus aucune injonction de blocage ou réquisition de données d’identification provenant des différents États dans le monde.

    Concernant les récents évènements en France, le ministre Barrot a ainsi confirmé que les « demandes » du gouvernement avaient été « entendues ». Le Commandement de la Gendarmerie dans le cyberespace exposait fièrement que 512 demandes de retrait avaient été adressées aux modérateurs de réseaux sociaux, quand Olivier Veran annonçait quant à lui que « ce sont plusieurs milliers de contenus illicites qui ont été retirés, plusieurs centaines de comptes qui ont été supprimés, plusieurs dizaines de réquisitions auxquelles les plateformes ont répondu ».

    Et en effet, Snapchat ne se cachait pas d’avoir fait plus que le nécessaire. Un porte-parole affirmait à l’AFP faire de la « détection proactive » notamment sur la carte interactive qui permet de retrouver des contenus en fonction des lieux et « et plus particulièrement le contenu lié aux émeutes » qui serait supprimé s’il « enfreint [leurs] directives ». La responsable des affaires publiques de l’entreprise assumait quant à elle devant l’Assemblée nationale avoir travaillé avec le ministère de l’Intérieur pour filtrer les contenus et ne laisser en ligne que ceux mettant en scène des personnes se plaignant des violences. Les représentants de Tiktok ont pour leur part annoncé : « Nous menons une modération automatique des contenus illicites, renforcée par des modérateurs humains. En raison de la nécessité urgente en France, nous avons renforcé nos efforts de modération ».

    De l’autre côté, si les réseaux sociaux refusent de se plier à ce jeu diplomatique, alors le gouvernement peut menacer de durcir leurs obligations légales. Aujourd’hui, les réseaux sociaux et hébergeurs bénéficient d’un principe européen d’irresponsabilité, créé dans les années 2000 et reposant en France sur l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN). Ils ne sont responsables de contenus que s’ils ont connaissance de leur caractère illicite et ne les ont pas retiré « promptement ». Mais alors que les soirées d’émeutes étaient toujours en cours dans les villes de France, le sénateur Patrick Chaize profitait de l’examen du projet de loi Espace Numérique pour proposer un amendement qui voulait modifier ce régime général et imposer aux plateformes le retrait en deux heures des contenus « incitant manifestement à la violence ».

    Si cet amendement a finalement été retiré, ce n’était pas en raison de désaccords de fond. En effet, Jean-Noël Barrot a, dans la foulé de ce retrait, annoncé le lancement d’un « groupe de travail » interparlementaire pour réfléchir à une « évolution législative » de l’encadrement des réseaux sociaux. Sont envisagées pour l’instant des restrictions temporaires de fonctionnalités telles que la géolocalisation, des mesures de modération renforcées ou encore la levée de l’anonymat, éternelle marotte des parlementaires. Demande constante de la droite française depuis de nombreuses années, cette volonté de lier identité virtuelle et identité civile est cette fois-ci défendue par le député Renaissance Paul Midy. De quoi agiter le chiffon rouge de futures sanctions auprès de plateformes qui rechigneraient à en faire suffisamment.

    L’impasse de la censure

    Déjà voté au Sénat, le projet de loi « Espace Numérique » devrait être discuté à la rentrée à l’Assemblée. Outre plusieurs dispositions problématiques sur lesquelles nous reviendrons très prochainement, ce texte a comme objet initial de faire entrer dans le droit français le Digital Services Act (ou DSA). Ce règlement européen adopté en 2022 est censé renouveler le cadre juridique des acteurs de l’expression en ligne.

    Contrairement à ce qu’affirmait avec aplomb Thierry Breton, commissaire européen en charge notamment du numérique, ce texte ne permettra en aucun cas d’« effacer dans l’instant » les vidéos de révoltes ni d’interdire d’exploitation les plateformes qui n’exécuteraient pas ces injonctions. Non, ce texte donne principalement des obligations ex ante aux très grosses plateformes, c’est-à-dire leur imposent des efforts sur leur fonctionnement général (transparence des algorithmes, coopération dans la modération avec des tiers certifiés, audits…) pour prévenir les risques systémiques liés à leur taille et leur influence sur la démocratie. M. Breton est ainsi prêt à tout pour faire le SAV du règlement qu’il a fait adopter l’année dernière, quitte à dire des choses fausses, faisant ainsi réagir plus de soixante associations sur ces propos, puis à rétropédaler en catastrophe en voyant le tollé que cette sortie a déclenché.

    Cependant, si ce texte ne permet pas la censure immédiate rêvée par le commissaire européen français, il poursuit bien la dynamique existante de confier les clés de la liberté d’expression aux plateformes privées, quitte à les encadrer mollement. Le DSA légitime les logiques de censure extra-judiciaire, renforçant ainsi l’hégémonie des grandes plateformes qui ont développé des outils de reconnaissance et de censure automatisés de contenus.

    Des contenus terroristes aux vidéos protégées par le droit d’auteur en passant par les opinions radicales, c’est tout un arsenal juridique européen qui existe aujourd’hui pour fonder la censure sur internet. En pratique, elle permet surtout de donner aux États qui façonnent ces législations des outils de contrôle de l’expression en ligne. On le voit en ce moment avec les vidéos d’émeutes, ces règles sont mobilisées pour contenir et maîtriser les contestations politiques ou problématiques. Le contrôle des moyens d’expression finit toujours aux mains de projets sécuritaires et anti-démocratiques. Face à ce triste constat, de la même manière que l’on se protège en manifestation ou dans nos échanges militants, il est nécessaire de repenser les pratiques numériques, afin de se protéger soi-même et les autres face au risque de détournement de nos publications à des fins répressives (suppression d’images, de vidéos ou de messages, flouter les visages…).

    Enfin, cette obsession de la censure empêche surtout de se confronter aux véritables enjeux de liberté d’expression, qui se logent dans les modèles économiques et techniques de ces plateformes. À travers leurs algorithmes pensés pour des logiques financières, ces mécanismes favorisent la diffusion de publications violentes, discriminatoires ou complotistes, créant un tremplin rêvé pour l’extrême droite. Avec la régulation des plateformes à l’européenne qui ne passe pas par le questionnement de leur place prépondérante, celles-ci voient leur rôle et leur influence renforcé·es dans la société. Le modèle économique des réseaux sociaux commerciaux, qui repose sur la violation de la vie privée et la monétisation de contenus problématiques, n’est en effet jamais empêché, tout juste encadré.

    Nous espérons que les débats autour du projet de loi Espace Numérique seront enfin l’occasion de discuter de modèles alternatifs et de penser la décentralisation comme véritable solution de la régulation de l’expression en ligne. Cet idéal n’est pas utopique mais existe bel et bien et grandit de jour en jour dans un écosystème fondé sur l’interopérabilité d’acteurs décentralisés, refusant les logiques de concentration des pouvoirs de censure et souhaitant remettre les utilisateurs au cœur des moyens de communications qu’ils utilisent.

    ]]>
    L’Assemblée adopte l’activation à distance des appareils électroniqueshttps://www.laquadrature.net/?p=20900http://isyteck.com/autoblog/quadrature/index.php5?20230725_160035_L___Assemblee_adopte_l___activation_a_distance_des_appareils_electroniquesTue, 25 Jul 2023 14:00:35 +0000La semaine dernière, l’Assemblée nationale a adopté le projet de loi d’orientation et de programmation du ministère de la justice pour les années 2023-2027. Parmi de multiples dispositions, ce texte prévoit l’introduction dans le droit français la possibilité pour la police d’activer des appareils et objets électroniques à distance, que ce soit les fonctionnalités de géolocalisation, des micros ou des caméras.

    Nous vous en parlions il y a quelques semaines, après avoir fait un tour au Sénat, le voila désormais voté par l’Assemblée. Ce projet de surveillance, défendu par le gouvernement comme une simple « évolution technologique » des mesures d’enquête, modifie en réalité profondément la nature même d’objets du quotidien pour accéder à l’intimité des personnes. Il transforme des appareils supposées passifs et contrôlés par leurs propriétaires en des auxiliaires de justice pour s’immiscer dans tous les recoins de nos espaces privés. Alors que la police était jusqu’à présent tenue d’une démarche active et matériellement contraignante pour surveiller quelqu’un, ces dispositions du projet de loi sur la justice permettront de transformer un objet tel qu’un smartphone en dispositif de surveillance, en le compromettant.

    Sans trop de surprise, les discussions à l’Assemblée n’ont apporté que peu de changement. Pour l’activation à distance des appareils électroniques à des fins de géolocalisation, permettant d’obtenir l’emplacement de leurs propriétaires, les députés de la majorité – réunis avec la droite et l’extrême droite – ont ramené le texte à sa version initiale. Ainsi, cette mesure pourra être mise en œuvre sur des personnes poursuivies pour des délits et crimes punis de 5 ans d’emprisonnement seulement, alors que les sénateurs avaient rehaussé ce seuil à 10 ans. Pour l’activation du micro et de la caméra des objets connectés permettant de filmer ou d’écouter tout ce qui se passe à leurs alentours, aucune modification substantielle n’est à noter. Prévue pour la criminalité et la délinquance organisées, l’application future de cette technique extrêmement intrusive nous fait craindre le pire. Actuellement déjà, un grand nombre d’actions peuvent tomber dans le champ de la délinquance et la « criminalité organisée », comme par exemple la « dégradation en bande organisée » pour laquelle sont poursuivies les militant·es écologistes arrêtées pour avoir participé à l’action contre l’usine Lafarge.

    Mais surtout, il est très probable que cette technique de compromission des appareils s’étende ou se banalise d’ici à quelques années. La dernière décennie, qui a bouleversé en profondeur la réglementation pénale et antiterroriste, démontre par l’exemple quel pourrait être le chemin d’une telle généralisation. En effet, les techniques spéciales d’enquête, particulièrement intrusives, étaient historiquement réservées aux enquêtes et affaires les plus graves, données au seul juge d’instruction. Ce n’est que depuis la réforme pénale de 2016 que ces possibilités ont été élargies aux officiers de police judiciaire et aux procureurs dans le cadre d’enquête de flagrance et préliminaire. Avec cette loi, le procureur pouvait alors ordonner des écoutes téléphoniques, des sonorisations de lieux, des poses de balise GPS, de la vidéosurveillance, des captations de données informatiques ou des perquisitions de nuit.

    Cette extension était fortement critiquée au regard des pouvoirs inédits donnés au parquet, hiérarchiquement dépendant de l’exécutif. Le journal « Le Monde » parlait à l’époque de « la loi antiterroriste la plus sévère d’Europe » et s’inquiétait, comme nous aujourd’hui, du « glissement régulier des méthodes du renseignement vers l’antiterrorisme, celles de l’antiterrorisme vers le crime organisé, celles du crime organisé vers la délinquance ordinaire » et de conclure « les procédures d’exception finissent par dissoudre le principe même d’un droit commun ».

    Ces prédictions se sont révélées exactes puisque dès 2018, le gouvernement a voulu élargir ces possibilités fraîchement données au procureur à l’ensemble des crimes dans le cadre d’une enquête en flagrance ou d’une enquête préliminaire, et non plus à la seule délinquance et à la criminalité en bande organisée. On ne pourrait donner meilleur exemple de fuite en avant sécuritaire, révélant la volonté de s’arroger toujours plus de pouvoirs dont on pouvait pourtant se passer auparavant. Néanmoins, les gardes fous institutionnels ont plutôt fonctionné à ce moment là : le Conseil constitutionnel a censuré cet appétit grandissant de prérogatives de surveillance. Celui-ci a ainsi estimé que la mesure était excessive et que le juge des libertés et de la détention (JLD), désigné pour autoriser et contrôler ces techniques, ne constituait pas une garantie suffisante. Pour le Conseil, puisque le JLD n’a pas accès à l’ensemble des procès-verbaux de l’enquête ni au déroulé des investigations, cela l’empêche d’assurer un contrôle satisfaisant de la nécessité et la proportionnalité des mesures de surveillance. Pourtant, alors que ces limites sont connues, c’est ce même JLD qui a été choisi dans le PJL Justice 2023-2027 pour contrôler les nouvelles techniques d’activation à distance des objets connectés (hors information judiciaire).

    Toutefois, rien ne permet de croire à un coup d’arrêt similaire contre ces nouvelles mesures. À l’heure où l’antiterrorisme est mobilisé pour réprimer des militant·es politiques, ce renforcement des pouvoirs policiers ne fait que souligner les dérives autoritaires du gouvernement. Cette volonté de faire tomber les barrières qui empêchent l’État d’accéder à l’intimité des citoyens rejoint aussi l’offensive actuelle contre le chiffrement des conversations, que nous avons documentée à travers l’instruction de l’affaire dite du « 8 décembre ».

    Le projet de loi sera prochainement transmis à une commission mixte paritaire qui tranchera les derniers arbitrages. Les équilibres politiques actuels font qu’il n’y a quasiment aucune chance que les parlementaires reculent et fassent retirer ces mesures de surveillance. Pourtant, si ces dernières sont votées, elles offriront une possibilité de contrôle de masse à faible coût et feront basculer le rapport que peuvent avoir les citoyens à la technologie en transformant radicalement la nature des objets qui nous entourent.

    ]]>
    En visite aux « nuits de l’AN2V », le lobby de la vidéosurveillancehttps://www.laquadrature.net/?p=20862http://isyteck.com/autoblog/quadrature/index.php5?20230711_155152_En_visite_aux_____nuits_de_l___AN2V______le_lobby_de_la_videosurveillanceTue, 11 Jul 2023 13:51:52 +0000Tribune de Félix Tréguer, membre de La Quadrature du Net, initialement publiée sur le site lundimatin.

    Il a fallu débourser 180€ et s’arracher à la torpeur de ce début d’été pour gagner le droit de s’attabler incognito au beau milieu du « milieu » français de la vidéosurveillance policière. L’AN2V, ou association nationale de la vidéoprotection, tenait l’une de ses « nuits de l’AN2V » à Paris le 27 juin dernier. Événement biennal, les « nuits » sont le moment le plus people de cette association de fabricants, de distributeurs, d’intégrateurs, bref de marchands des milliers de caméras de surveillance installées à grands frais dans nos villes et villages.

    Ambiance

    J’arrive vers 19 heures au musée des arts forains à Paris, à quelques centaines de mètres du ministère de l’Économie. Près de trois cent participants s’amoncellent dans la grande salle à l’entrée. L’ambiance est feutrée, les décors chatoyants et dorés. De vieux jeux de foire sont disposés aux quatre coins de la pièce, avec des animateurs et animatrices censées amuser la galerie. C’est l’heure de l’apéro et le champagne est servi sur des nappes blanches. Neuf individus sur dix sont des hommes, blancs eux-aussi. La quasi-totalité des quelques personnes non-blanches présentes ce soir sont des hôtes et des hôtesses, au vestiaire ou au service. Malheureusement rien de très étonnant dans ce lieu d’entre-soi élitaire.

    Intérieur du musée des arts forains rempli de personnes principalement masculines et en costume

    Tandis que je m’exfiltre à l’extérieur pour respirer un peu, trois hommes s’assoient non loin de moi. Deux représentants de la société Videtics vendent leur soupe à un homme plus âgé qui semble être un donneur d’ordre : analyse de densité de foule, analyse de trafic et de trajectoire des individus dans l’espace urbain, ils vantent les mérites de leur solution et de l’expérimentation prochaine à Marseille du suivi de foules dans le cadre du consortium Serenity soutenu par BPIfrance. De là, en moins d’un quart d’heure, je vois passer Guillaume Cazenave, PDG de la start-up Two-I, spécialisée dans l’Intelligence Artificielle (IA) appliquée à la vidéosurveillance, mais aussi Élisabeth Sellos-Cartel, chargée de la vidéosurveillance au ministère de l’Intérieur. Quelques jours plus tôt, elle animait une réunion de l’AN2V pour éclairer ses membres quant au travail ministériel sur les futurs décrets d’application de l’article 7 de la loi« Jeux Olympiques » (JO) 2024, qui légalise à titre expérimental l’usage de la vidéosurveillance algorithmique – c’est le gros sujet du moment. De retour à l’intérieur, je vois passer les badges de représentants d’entreprises chinoises comme Hikvision et Dahua, lesquelles se partageraient plus de la moitié du parc français de vidéosurveillance. Des acteurs centraux et pourtant sur la défensive, on le verra. Puis à quelques mètres de là, je vois passer la personnalité politique clé pour l’ensemble du secteur de la vidéosurveillance : Philippe Latombe, ancien cadre au Crédit agricole et depuis 2017 député Modem de Vendée.

    Philippe Latombe, député guest-star

    Quoique que largement inconnu du grand public, le député Latombe est ce soir la guest-star. Aujourd’hui dans la majorité macroniste, membre de la commission des Lois à l’Assemblée nationale, il s’était présenté aux élections régionales de 2015 sur la liste d’extrême-droite de Debout la France, le parti de Nicolas Dupont-Aignan. Et en tant qu’élu de la majorité en 2021, il n’a pas hésité à propager une fake news sur des supposées « prières de rue musulmanes » à Challans. Pour le reste, il semble s’être employé à bâtir l’image d’un centriste raisonnable et d’ardent défenseur de la vie privée. Il a ainsi voté contre le passe sanitaire en 2020 et cosigné une tribune appelant à un moratoire sur la reconnaissance faciale. Cela a probablement aidé à ce que la présidente de l’Assemblée, Yaël Braun-Privet, le nomme au collège de la CNIL en août 2022.

    Son jeu trouble avec l’industrie de la surveillance révèle pourtant son insatiable fascination pour la Technopolice, et le place dans une effarante position de conflit d’intérêt. Il y a quelques mois déjà, lors du salon professionnel ExpoProtection, le lobbyiste Sébastien Garnault, initiateur de la plateforme d’influence CyberTaskForce, le présentait en introduction d’un débat sur la vidéosurveillance comme « un interlocuteur de choix (…), un ardent défenseur de l’excellence française, donc clairement un coéquipier ». Cet hiver, Latombe a joué un rôle clé dans les débats sur l’article 7 de la loi JO 2024. Et il est entre autres choses co-auteur d’un rapport d’information sur « les images de sécurité » publié en avril dernier. Tout en jurant qu’« aucun compromis ne doit être fait concernant la protection des libertés fondamentales », ce rapport appelait à étendre très largement le recours à la vidéosurveillance et à la reconnaissance faciale. C’est de ce document dont l’AN2V a décidé qu’il serait beaucoup question ce soir.

    20 heures sonnent. Quelqu’un prend le micro pour demander à ces « messieurs » de passer à table, oubliant les quelques femmes présentes ce soir – la non-mixité masculine est ainsi assumée. Le maître de cérémonie, Dominique Legrand, président de l’AN2V, lobbyiste en chef de la vidéosurveillance à la gouaille insatiable, fait son entrée en scène. À l’aise dans son rôle de MC, il convoque Philippe Latombe sur l’estrade et l’avertit d’emblée : « Ce soir, j’ai envie de vous challenger ». Latombe est prêt, chaud-bouillant même, d’autant plus que, en tant que héraut politique du secteur, il se sait au-dessus de tout reproche. Le petit jeu de questions/réponses qui s’amorce est parti pour durer près de trois longs quarts d’heure. Il va consister pour le lobbyiste à reprendre les recommandations les plus cruciales du rapport parlementaire dont Latombe est co-auteur pour demander à ce dernier de noter, sur une échelle de 0 à 20, la probabilité qu’elles soient bientôt inscrites dans les politiques publiques. Exemple : Va-t-on assister à une refonte totale des « dispositifs de captation d’images dans l’espace public » pour « rationaliser » le cadre juridique fixé par le code de la sécurité intérieure ? 10 sur 20 répond Latombe : « Cela finira par arriver mais il faudra sans doute des années au ministère de l’Intérieur pour conduire ce gros travail légistique ».

    Viennent ensuite les recommandations n° 3, 4 et 5 du rapport, puis les n° 8, 9, 11, 14, 15 et 16. Durant l’échange, Dominique Legrand doit s’interrompre une dizaine de fois pour demander le silence : « le bruit de fond est trop important, vous n’écoutez pas ! » C’est que, dans l’auditoire, on sirote le kir le ventre vide et les discussions s’animent. On préfère apparemment laisser Legrand faire son numéro en papotant entre pairs dans une atmosphère détendue, dont il faut bien avouer qu’elle fait un peu mauvais genre. Latombe, beau joueur, ne voudrait surtout pas déranger. Il lâche un « c’est pas grave » et invite à poursuivre.

    Recommandation 20 sur l’interopérabilité des systèmes de vidéoprotection et d’IA mis en œuvre dans le cadre de l’expérimentation ouverte par la loi JO. Legrand surjoue la satisfaction : « ça, ça nous convient parfaitement ». Recommandation n° 22 sur des marchés publics réservés aux acteurs français et européens au nom de la souveraineté numérique. Latombe s’enthousiasme : « C’est un sujet qui est en train de prendre partout au sein de l’hémicycle, de la France insoumise au Rassemblement national ». Quant au fait d’avoir co-signé, de façon inédite pour la majorité, un amendement sur ce sujet avec l’extrême droite dans le cadre de la loi JO : « Je l’assume c’est pas un souci ». Chassez le naturel extrême-droitier et il revient au galop. Il faut dire qu’outre le fait que le Rassemblement national aide à faire passer près de la moitié des textes de la majorité macroniste, le souverainisme économique est de bon ton dans un climat de rivalités géopolitiques croissantes. Quoiqu’ils aient eu gain de cause avec l’échec de cet amendement, les représentants des entreprises chinoises présents ce soir doivent trouver ces appels au souverainisme peu ragoutants. Et en même temps, l’incurable dépendance des Français aux technologies de l’Empire du milieu leur paraît sans doute un peu pathétique.

    Fabrique de l’acceptabilité sociale de la surveillance

    On arrive aux recommandations n° 29, 30 et 31 qui portent sur la reconnaissance faciale et biométrique dans l’espace public, un sujet qui fait l’objet d’une récente proposition de loi de la droite et du centre adoptée au Sénat. Reprochant à ses collègues sénateurs de vouloir aller trop vite en besogne, Latombe détaille la philosophie qui guide son approche, à ses yeux la plus capable de porter ses fruits : la stratégie des petits pas, aussi connue sous le nom de « fable de la grenouille » :

    « Avec la reconnaissance faciale, on touche à un tabou absolu, on touche au truc qui fait que ça fait hurler tout le monde. Ce que nous avons proposé dans le rapport, et je pense que c’est la vraie bonne façon de faire les choses : si on y va d’un coup d’un seul, un peu comme les sénateurs veulent le faire, ça va tellement crisper que ça passera pas. Il faut y aller en touchant les choses du bout du doigt et en y allant dans des cas très particuliers et très bien protégés, très bien balisés. C’est pour ça qu’on a proposé avec Philippe Gosselin d’utiliser la reconnaissance faciale en direct, avec le flux live, pour trois cas très particuliers : crise terroriste (il faut retrouver les terroristes, il faut pas qu’on se pose de question pour l’utiliser) ; la finalité « bande organisée » (le braquage de fourgon ou d’une bijouterie avec des gens qui sortent de la bijouterie et sont prêts à tirer sur n’importe qui, il faut savoir où ils sont pour intervenir le plus rapidement possible […]) ; et sur l’alerte-enlèvement ([…] pour récupérer l’enfant le plus vite possible […]). Il s’agit de cas emblématiques pour lesquels nos concitoyens savent bien qu’il y a un risque et qu’il faut mettre en place tous les moyens pour contrer ce risque. Ça serait une faute [de ne pas utiliser la reconnaissance faciale]. Si on a des outils pour le faire, utilisons-les, et après on verra bien si ça marche pas. On verra. »

    Legrand fait le mec prudent : « Très bien, ça tombe sous le sens, on comprend bien qu’il faut cadrer tout ça, ça peut pas tourner H24 sur l’ensemble du territoire ». Les businessmen de la vidéosurveillance sont des gens raisonnables, c’est l’un des leitmotivs de la soirée.

    On poursuit avec une série de recommandations (n° 32, 33 et 35) portant sur les commissions départementales de vidéoprotection et les comités d’éthique, alibis commodes pour faire croire à l’existence de garde-fous mais tombés en déshérence ces dernières années du fait de leur manque de pouvoir et de leur inutilité. Là encore, le député insiste – et l’AN2V approuve : il faut les relancer, il en va de « l’acceptabilité sociale » de la vidéosurveillance.

    Photo de la diapositive de présentation du rapport parlementaire de Philippe Latombe décrivant les recommandations n°32, 34 et 35

    « La première idée, explique Latombe, c’est de se dire que pour que ce soit accepté par la population, il faut mettre un certain nombre de garde-fous. C’est la CNIL, c’est des choses comme ça, ou le recours au droit que les personnes peuvent avoir pour accéder à leur images […]. Ça permet de mettre du contrôle citoyen sur les choses sans nuire à l’efficacité. Avec les caméras augmentées, où il y a des biais, le regard citoyen [symbolisé par les comités] permet d’apaiser les craintes, d’être sûr qu’il y a un contrôle citoyen qui permet aux habitants de se tranquilliser […]. C’est pas forcément quelque chose qui coûte très cher, c’est quelque chose qui s’organise et qui doit se réunir au moins une fois par trimestre, de faire un rapport et de challenger les effectifs communal (sic). »

    Le patron de l’AN2V écoute avec le regard satisfait du maître à qui l’élève récite une leçon parfaitement apprise. Vient enfin la recommandation 36, qui propose de consacrer la CNIL en tant que « chef de file » de la régulation des systèmes d’IA. C’est alors que le député confirme ce que l’on constate depuis des années : plutôt que le gendarme des données personnelles, la CNIL est désormais une agence dédiée à l’accompagnement de l’innovation.

    « Beaucoup de monde voit la CNIL comme un empêcheur de tourner en rond. Pour le voir un peu de l’intérieur depuis l’été dernier, il y a quand même une volonté d’ouverture de la CNIL sur ces sujets. Et d’ailleurs, quand on regarde les différents décrets, et même le texte JO [sur la VSA] et même sur le texte « douanes » sur les LAPI [lecture automatique de plaques d’immatriculation], la CNIL a vraiment ouvert ses chakras, en se disant qu’elle ne pouvait plus être ce gendarme strict et qu’il fallait qu’elle intègre les réalités sociales et technologiques et économiques. Il n’en reste pas moins que dans la loi JO, il a fallu rassurer les citoyens sur le fait que les algorithmes sont expertisés avant d’être déployés. Il y a eu un grand débat au sein du gouvernement sur ce sujet, il a été arbitré par le ministère de l’Intérieur face à Bercy qui voulait absolument que ce soit l’Arcep, réputée plus proche des milieux économiques. Il n’empêche que la CNIL est aujourd’hui en grande mutation sur le sujet [de l’IA…]. Mais on ne peut pas confier ces sujets-là à la CNIL sans lui ouvrir complètement ses chakras, et la meilleure façon d’ouvrir ses chakras, c’est d’abord de renforcer son collège en y mettant peut être un peu moins de juristes issus du Conseil d’État, qui sont majoritaires, en y mettant des personnes qualifiées issues du monde technologique, universitaire, et qui ont un capacité à comprendre ce que sont les technos […] ».

    Les membres actuels du collège de la CNIL, qui d’ailleurs incluent déjà des universitaires et spécialistes de l’informatique, apprécieront. Quant au fait que la CNIL soit un « gendarme strict », il s’agit d’une grosse exagération compte tenu du laisser-faire de l’autorité dans de très nombreux dossiers. Mais reconnaissons à Latombe une chose : c’est encore pire depuis quelques mois.

    « Comment on fait la bascule »

    Quoi qu’enorgueilli de son bilan en tant que relais politique du lobby de la vidéosurveillance, il y a un point sur lequel Philippe Latombe tient à faire son mea culpa : le retard pris dans le calendrier réglementaire dans le déploiement de la vidéosurveillance algorithmique (apparemment, 6 mois de retard sur le calendrier prévu). Les décrets d’application de la loi JO ne sont certes toujours pas parus, mais il en aurait vu passer certains à la CNIL et il assure que tout sera prêt pour septembre. Enfin, conformément au souhait exprimé dans son rapport, une proposition de loi devrait être déposée d’ici la fin d’année avec son collègue Philippe Gosselin (LR) pour donner corps à leurs recommandations. Bref, le député a toutes les raisons d’inviter l’industrie de la surveillance à l’optimisme :

    « Sur tous ces sujets, je pense qu’il faut que vous soyez rassurés. L’ensemble des sujets commence à infuser partout. Et pas que simplement dans la sphère politique avec le Sénat et l’Assemblée. Je sens que les élus sur l’ensemble du territoire sont conscients des évolutions technologiques et qu’ils ne peuvent pas rester à l’écart. La vraie question ensuite est de [savoir] comment on fait la bascule. Je pense que la bascule elle se fera pas d’un coup d’un seul parce que si on l’impose par la loi d’un coup d’un seul, on aura des blocages et ça marchera pas. Il faut qu’on arrive à adapter les choses pour que nos concitoyens se rendent compte que ça les aide au quotidien. Et si on y arrive, et si les maires peuvent être là pour aider à pousser ce sujet-là, à ce moment on pourra faire avancer les choses. Mais on voit que c’est un sujet qui porte, on voit que c’est un sujet qui avance partout. Y’en a qui sont plus en avance que d’autres – par exemple les douanes sur les LAPI. Il faudra qu’on revoit la manière dont on peut élargir l’utilisation des drones malgré la réserve du Conseil constitutionnel [qui interdit leur usage par les polices municipales]. Il faut avancer petit bout par petit bout, ça se fera pas en un claquement de doigt, mais on va y arriver. Quant à l’Intelligence Artificielle, c’est une vraie révolution, et il faut que vous l’intégriez sur tous les domaines qui pourront être utilisés ».

    Message reçu dans l’assistance. Le patron de l’AN2V est d’accord. Fier même : tout ce petit cirque a montré à ses ouailles qu’il faisait bien son boulot : « il faut apprécier chaque marche engagée, on voit beaucoup de choses avancer », insiste-t-il.

    Au confessionnal de l’AN2V

    Il est bientôt 21 heures. C’est le moment que l’AN2V a choisi pour nous surprendre. Après avoir remercié Latombe et l’avoir invité à s’asseoir à sa table, Dominique Legrand invite sur scène Alain Chouraqui, directeur de recherche émérite au CNRS et auteur du Vertige identitaire, un ouvrage paru en 2022 et sous-titré : « Tirer les leçons de l’expérience collective  : comment peut basculer une démocratie ? ». Là encore, il sera donc question de bascule.

    Intérieur du musée des arts forains rempli de personnes debout

    Proche de la LICRA, Alain Chouraqui est aussi président de la Fondation du camp des Milles, la structure qui gère le mémorial de ce camp d’internement situé près de Aix en Provence créé en 1939 pour y détenir des étrangers et des résistants anti-fascistes et qui, a l’été 1942, a servi de camp de déportation des juifs présents en zone non-occupée. On s’interroge : que peut-il bien faire ici ? Dominique Legrand tente de résumer la démarche : « À l’AN2V, on est pas là pour vendre que des caméras comme le disent très souvent ceux qui ne nous aiment pas, on est là pour réfléchir et de temps en temps lever le nez du guidon ». C’est en tout cas l’image qu’il veut donner à travers les nuits de l’AN2V.

    Chouraqui commence donc son exposé, parle du travail de mémoire auquel il participe. Le ton de l’orateur est solennel, l’écoute de l’auditoire plus respectueuse. Chouraqui explique notamment que, dans le cadre d’un projet de recherche comparatif, lui et ses collègues politistes et historiens ont proposé un modèle en trois étapes des dérives autoritaires, génocidaires et fascistes. La France en serait aujourd’hui à la deuxième étape. L’espace d’un instant, il a réussi à casser la bonne ambiance. Dans un sac en papier disposé sur chacune des tables, on trouve son livre. Je l’ouvre au hasard et tombe sur la page 71. J’y lis le paragraphe suivant :

    « Les ‘‘progrès techniques’’ offrent aux passions humaines une puissance telle qu’il peut en perdre la maîtrise en des ‘‘embardées monstrueuses’’ dont la Shoah est le paradigme puisqu’elle doit son ‘‘efficacité’’ extrême aux outils techniques et bureaucratiques les plus modernes mis au service du pire. Il suffit de se demander ce que les nazis auraient pu faire avec des outils informatiques et des manipulations génétiques. »

    Couverture du livre d’Alain Chouraqui

    Par politesse, Chouraqui ne livrera ce soir aucune analyse quant au core business des membres de l’AN2V, à savoir la vente d’engins de surveillance qui participent à armer le génocide culturel des Ouïghours en Chine, la colonisation de la Palestine, et tant d’autres atteintes aux droits humains à travers le monde. Mais ce silence un peu hypocrite n’efface pas tout à fait l’incongruité de sa présence à cette soirée. Après son discours, le dîner peut enfin commencer. J’embraye la discussion avec mon voisin de table, dont le métier est, sans surprise, de vendre des caméras de surveillance et les technologies connexes. Il a trouvé l’intervention « passionnante » :

    « C’est bien qu’ils l’aient invité, m’explique-t-il. On est des acteurs dans le business et c’est bien de se poser la question de l’impact des techniques qu’on met en place. Est-ce qu’on participe au Big Brother, au Big Data ? Dans un contexte de crise climatique et des migrations qu’il provoque, est-ce que nos instruments ne vont pas participer à faire du tri, à faire des choix dans les individus ? »

    Il le dit à sa manière, vaguement inspirée par ce qu’il a retenu du choc des civilisations. Mais on sent que ces questionnements sont sincères. Tout vendeur de vidéosurveillance, pour peu qu’il n’assume pas pleinement ses penchants autoritaires et soit prêt à s’interroger – ce qui n’est certainement pas le cas de chaque personne dans l’assistance ce soir –, doit bien avoir occasionnellement ce genre de cas de conscience. Il sait qu’il flirte non seulement avec l’illégal, mais aussi avec l’amoral, ayant plus ou moins conscience qu’il contribue chaque jour à construire le monde pété que devront habiter ses enfants.

    Je reste perplexe face à cet apparent paradoxe : invoquant la caution morale d’un personnage comme Chouraqui, l’AN2V sensibilise ses membres à la dérive autoritaire du pays, ce alors qu’elle est régulièrement pointée du doigt pour sa promotion de la surveillance numérique de l’espace public urbain. Comment l’expliquer ? Outre l’évident capital symbolique engrangé par l’association via la présence de l’intellectuel (« on réfléchit, on lève le nez du guidon »), le spectacle auquel j’ai assisté ce soir invite à faire l’hypothèse suivante : cette séquence sur l’autoritarisme produit la même chose chez les acteurs de la vidéosurveillance (à commencer par Legrand lui-même) que ce que la stratégie des petits pas et des garde-fous inefficaces produit sur la population : une forme de désinhibition vis-à-vis du potentiel totalitaire de cette technologie. Car la leçon d’histoire offerte par Chouraqui aura probablement permis à tout ce petit monde de se rassurer en se disant qu’il reste dans le camp du « Bien », celui de la démocratie, et ainsi de se dissocier de l’image funeste que leur renvoient leurs adversaires « droits-de-l’hommistes » (« ceux qui ne nous aiment pas », comme le résume Legrand de manière presque touchante). Ils peuvent d’autant mieux le faire que ce soir, ni Chouraqui, ni moi, ni personne d’autre n’aura pris la peine d’expliciter le lien entre technologies de surveillance et pratiques autoritaires. Ce lien est dans toutes les têtes et pourtant, il reste à l’état de non-dit.

    Au fond, les nuits de l’AN2V sont un peu comme un confessionnal où les acteurs de la Technopolice sont venus ressasser leurs péchés pour mieux laver leur mauvaise conscience, un moment étrange où l’aveu implicite permet d’entretenir le déni. Faute secrètement avouée, à moitié pardonnée. Après ce bref moment de catharsis et de contrition silencieuse, chacun pourra s’en retourner à sa routine consistant à maximiser les profits liés à l’expansion des marchés de la surveillance. Plutôt qu’un paradoxe, et n’en déplaise à Charouqui, le gargarisme de démocratie auquel j’ai assisté ce soir révélerait donc l’un des mécanismes par lesquels les régimes libéraux contemporains « basculent », à savoir la déculpabilisation des élites et la production d’une irresponsabilité collective par la mise en scène des valeurs démocratiques. Des représentants commerciaux aux donneurs d’ordre administratifs en passant par les parlementaires, les hauts-fonctionnaires ou les ministres, nombreux sont ceux qui, en participant à ces événements rituels, se font croire qu’ils croient encore en la démocratie. Peut-être même se convainquent-ils ainsi qu’ils peuvent faire ce qu’ils font, c’est-à-dire déployer des technologies toujours plus sophistiquées de contrôle social, tout en agissant en son nom. Tandis que l’extrême droite s’affirme de manière toujours plus décomplexée, ces processus grâce auxquels les élites libérales gèrent la dissonance cognitive induite par leur complicité objective avec la spirale autoritaire en cours forment l’un des rouages les plus efficaces du fascisme qui vient.

    ]]>
    Veesion, la start-up illégale qui surveille les supermarchés https://www.laquadrature.net/?p=20847http://isyteck.com/autoblog/quadrature/index.php5?20230704_115307_Veesion__la_start-up_illegale_qui_surveille_les_supermarches__Tue, 04 Jul 2023 09:53:07 +0000Nous en parlions déjà il y a deux ans : au-delà de la surveillance de nos rues, la surveillance biométrique se déploie aussi dans nos supermarchés pour tenter de détecter les vols en rayons des magasins. À la tête de ce business, la start-up française Veesion dont tout le monde, même le gouvernement, s’accorde sur l’illégalité du logiciel mais qui continue à récolter des fonds et des clients en profitant de la détresse sociale

    La surveillance biométrique de l’espace public ne cesse de s’accroître. Dernier exemple en date : la loi sur les Jeux Olympiques de 2024 qui vient légaliser officiellement la surveillance algorithmique dans l’espace public pour certains événements sportifs, récréatifs et culturels (on en parlait ici). En parallèle, des start-up cherchent à se faire de l’argent sur la surveillance d’autres espaces, notamment les supermarchés. L’idée est la suivante : utiliser des algorithmiques de surveillance biométrique sur les caméras déjà déployées pour détecter des vols dans les grandes surfaces et alerter directement les agents de sécurité.

    L’une des entreprises les plus en vue sur le sujet, c’est Veesion, une start-up française dont on parlait déjà il y a deux ans (ici) et qui vient de faire l’objet d’un article de Streetpress. L’article vient rappeler ce que LQDN dénonce depuis plusieurs années : le logiciel déjà déployé dans des centaines de magasins est illégal, non seulement selon l’avis de la CNIL, mais aussi, selon nos informations, pour le gouvernement.

    Le business illégal de la détresse sociale

    Nous avions déjà souligné plusieurs aspects hautement problématiques de l’entreprise. En premier lieu, un billet publié par son créateur, soulignant que la crise économique créée par la pandémie allait provoquer une augmentation des vols, ce qui rendait nécessaire pour les magasins de s’équiper de son logiciel. Ce billet avait été retiré aussitôt notre premier article publié.

    D’autres déclarations de Veesion continuent pourtant de soutenir cette idée. Ici, c’est pour rappeler que l’inflation des prix, en particulier sur les prix des aliments, alimenteraient le vol à l’étalage, ce qui rend encore une fois nécessaire l’achat de son logiciel de surveillance. Un business s’affichant donc sans gêne comme fondé sur la détresse sociale.

    Au-delà du discours marketing sordide, le dispositif est clairement illégal. Il s’agit bien ici de données biométriques, c’est-à-dire de données personnelles relatives notamment à des caractéristiques « physiques ou « comportementales » (au sens de l’article 4, par. 14 du RGPD) traitées pour « identifier une personne physique de manière unique » (ici, repérer une personne en train de voler à cause de gestes « suspects » afin de l’appréhender individuellement, et pour cela analyser le comportement de l’ensemble des client·es d’un magasin).

    Un tel traitement est par principe interdit par l’article 9 du RGPD, et légal seulement de manière exceptionnelle et sous conditions strictes. Aucune de ces conditions n’est applicable au dispositif de Veesion.

    La Quadrature du Net n’est d’ailleurs pas la seule à souligner l’illégalité du système. La CNIL le redit clairement (à sa façon) dans l’article de Streetpress quand elle souligne que les caméras de Veesion « devraient être encadrées par un texte » . Or ce texte n’existe pas. Elle avait exprimé le même malaise au Monde il y a quelques mois, quand son directeur technique reconnaissait que cette technologie était dans un « flou juridique  » .

    Veesion est d’ailleurs tout à fait au courant de cette illégalité. Cela ressort explicitement de sa réponse à une consultation de la CNIL obtenu par LQDN où Veesion s’alarme de l’interprétation du RGPD par la CNIL qui pourrait menacer « 500 emplois en France  » .

    Plus surprenant, le gouvernement a lui aussi reconnu l’illégalité du dispositif. Selon nos informations, dans le cadre d’une réunion avec des professionnels du secteur, une personne représentant le ministère de l’Intérieur a explicitement reconnu que la vidéosurveillance algorithmique dans les supermarchés était interdite.

    La Technopolice rapporte toujours autant d’argent

    Tout cela ne semble pas gêner l’entreprise. Sur leur site , ils annoncent équiper plus de 2500 commerçants, dans 25 pays. Et selon les informations de Streetpress, les clients en France sont notamment Leclerc, Carrefour, G20, Système U, Biocoop, Kiabi ou encore la Fnac. Des enseignes régulièrement fréquentées donc par plusieurs milliers de personnes chaque jour.

    Autre point : les financements affluent. En mars, la start-up a levé plus de 10 millions d’euros auprès de multiples fonds d’investissement. Sur le site Welcome to the Jungle, la start-up annonce plus de 100 salariés et plus de 5 millions de chiffre d’affaires.

    La question que cela pose est la même que celle que nous rappelons sur ce type de sujets depuis 3 ans : que fait la CNIL ? Pourquoi n’a-t-elle pas fait la moindre communication explicite sur ce sujet ? Nous avions fait il y a deux ans une demande de documents administratifs à cette dernière, elle nous avait répondu qu’il s’agissait d’un dossier en cours d’analyse et qu’elle ne pouvait donc pas nous transmettre les documents demandés. Rien depuis.

    Une telle inaction a des conséquences lourdes : outre la surveillance illégale imposée sur plusieurs milliers de personnes, la CNIL vient ici normaliser le non-respect du RGPD et faciliter la création d’une industrie de la Technopolice en laissant les investissements affluer.

    Comment encore considérer la CNIL comme une autorité de « protection » de nos libertés quand la communication qui en émane sur ce sujet est qu’elle veut « fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe » ?

    Surveillance illégale, détresse sociale, financement massif… Toutes les Technopolices se ressemblent, qu’elles soient en supermarché ou sur notre espace public. Mais pour une fois que tout le monde est d’accord sur l’illégalité d’une de ses représentantes, espérons que Veesion soit arrêtée au plus vite.

    ]]>
    Tribune : « Attachés aux libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement de nos communications »https://www.laquadrature.net/?p=20750http://isyteck.com/autoblog/quadrature/index.php5?20230615_162018_Tribune________Attaches_aux_libertes_fondamentales_dans_l___espace_numerique__nous_defendons_le_droit_au_chiffrement_de_nos_communications____Thu, 15 Jun 2023 14:20:18 +0000Cette tribune a été rédigée suite à la publication de notre article sur la criminalisation des pratiques numériques des inculpé·es de l’affaire du 8 décembre. Cette tribune a été signée par plus de 130 personnes et organisations et publiée hier sur le site du journal Le Monde. La liste complète des signataires est disponible ici.

    Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

    Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.

    En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux Etats-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?

    Le chiffrement des communications utilisé comme « preuve » d’un comportement clandestin… donc terroriste

    La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation Etat islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.

    Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».

    Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).

    Rejet de l’amalgame entre protection des données et terrorisme

    Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.

    Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.

    Nous sommes scandalisé·es que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des indices d’« actions conspiratives » de personne vivant supposément dans le « culte du secret ».

    Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme ».

    Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.

    Pour un numérique émancipateur, libre et décentralisé

    De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.

    En Grande-Bretagne, le projet de loi Online Safety Bill et, aux Etat-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.

    Nous refusons que les services de renseignement, les juges ou les fonctionnaires de police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le chiffrement est un combat pour un futur juste et équitable.

    ]]>
    Affaire du 8 décembre : le chiffrement des communications assimilé à un comportement terroristehttps://www.laquadrature.net/?p=20640http://isyteck.com/autoblog/quadrature/index.php5?20230605_091225_Affaire_du_8_decembre____le_chiffrement_des_communications_assimile_a_un_comportement_terroristeMon, 05 Jun 2023 07:12:25 +0000


    Cet article a été rédigé sur la base d’informations relatives à l’affaire dite du “8 décembre”1Pour un résumé de l’affaire du 8 décembre voir notamment les témoignages disponibles dans cet article de la Revue Z, cet article de Lundi matin, les articles des comités de soutien suivants (ici ici et ici) et la page Wikipedia ici. dans laquelle 7 personnes ont été mises en examen pour « association de malfaiteurs terroristes » en décembre 2020. Leur procès est prévu pour octobre 2023. Ce sera le premier procès antiterroriste visant « l’ultragauche » depuis le fiasco de l’affaire Tarnac2L’affaire de Tarnac est un fiasco judiciaire de l’antiterrorisme français. Les inculpé·es ont tous et toutes été relaxé·es après dix années d’instruction. C’est la dernière affaire antiterroriste visant les mouvements de gauche en France..

    L’accusation de terrorisme est rejetée avec force par les inculpé·es. Ces dernier·es dénoncent un procès politique, une instruction à charge et une absence de preuves. Ils et elles pointent en particulier des propos decontextualisés et l’utilisation à charge de faits anodins (pratiques sportives, numériques, lectures et musiques écoutées…)3Voir cette lettre ouverte au juge d’instruction, cette lettre de Libre Flot au moment de commencer sa grève de la faim, cette compilation de textes publiés en soutien aux inculpé·es ici, l’émission de Radio Pikez disponible ici et celle-ci de Radio Parleur, un article du Monde Diplomatique d’avril 2021 disponible ici et les articles publiés sur les sites des comités de soutien ici et ici.. De son côté la police reconnaît qu’à la fin de l’instruction – et dix mois de surveillance intensive – aucun « projet précis » n’a été identifié4Voir notamment cet article du monde..

    L’État vient d’être condamné pour le maintien à l’isolement du principal inculpé pendant 16 mois et dont il n’a été libéré qu’après une grève de la faim de 37 jours. Une seconde plainte, en attente de jugement, a été déposée contre les fouilles à nu illégales et répétées qu’une inculpée a subies en détention provisoire5Sur les recours déposés par Camille et LibreFlot, voir le communiqué de presse ici. Sur la condamnation de l’État sur le maintien illégal à l’isolement de LibreFlot, voir l’article de Reporterre disponible ici et de Ouest-France disponible ici. Sur ses conditions de vie à l’isolement et sa grève de la faim, voir notamment cette compilation d’écrits de LibreFlot et le témoignage joint au communiqué de presse évoqué ci-avant..

    De nombreuses personnalités, médias et collectifs leur ont apporté leur soutien6Voir la tribune de soutien signée plusieurs collectifs et intellectuelles féministes ici, la tribune de soutien du collectif des combattantes et combattants francophones du Rojava ici et la tribune de soutien signée par plusieurs médias et personnalités disponible ici..

    C’est dans ce contexte que nous avons été alerté du fait que, parmi les faits reprochés (pour un aperçu global de l’affaire, voir les références en notes de bas de page7Pour un résumé de l’affaire du 8 décembre voir notamment les témoignages disponibles dans cet article de la Revue Z, cet article de Lundi matin, les articles des comités de soutien suivants (ici ici et ici) et la page Wikipedia ici.), les pratiques numériques des inculpé·es, au premier rang desquelles l’utilisation de messageries chiffrées grand public, sont instrumentalisées comme autant de « preuves » d’une soi-disant « clandestinité » qui ne peut s’expliquer que par l’existence d’un projet terroriste.

    Nous avons choisi de le dénoncer.


    « Tous les membres contactés adoptaient un comportement clandestin, avec une sécurité accrue des moyens de communications (applications cryptées, système d’exploitation Tails, protocole TOR permettant de naviguer de manière anonyme sur internet et wifi public). »

    DGSI

    « L’ensemble des membres de ce groupe se montraient particulièrement méfiants, ne communiquaient entre eux que par des applications cryptées, en particulier Signal, et procédaient au cryptage de leurs supports informatiques […]. »

    Juge d’instruction

    Ces deux phrases sont emblématiques de l’attaque menée contre les combats historiques de La Quadrature du Net dans l’affaire du 8 décembre que sont le droit au chiffrement8Pour rappel, aujourd’hui le chiffrement est partout. Sur Internet, il est utilisé de manière transparente pour assurer la confidentialité de nos données médicales, coordonnées bancaires et du contenu des pages que nous consultons. Il protège par ailleurs une part croissante de nos communications à travers l’essor des messageries chiffrées comme WhatsApp ou Signal et équipe la quasi-totalité des ordinateurs et téléphones portables vendus aujourd’hui pour nous protéger en cas de perte ou de vol. des communications9Le droit au chiffrement des communications, et en particulier le chiffrement de bout en bout, c’est-à-dire des systèmes de communications « où seules les personnes qui communiquent peuvent lire les messages échangés » dont l’objectif est de « résister à toute tentative de surveillance ou de falsification », est régulièrement attaqué par les États au motif qu’il favoriserait la radicalisation politique et constituerait un obstacle majeur à la lutte contre le terrorisme. Récemment, on peut citer un article de Nextinpact décrivant l’appel en avril dernier des services de polices internationaux à Meta (Facebook) pour que Messenger n’intègre pas le chiffrement de bout-en-bout et disponible ici, le projet de loi américain EARN IT, les discussions européennes autour du CSAR ou britannique « Online Safety Bill », deux projets qui, par nature, représentent la fin du chiffrement de bout en bout en forçant les fournisseurs de messageries chiffrées à accéder à tout échange pour les vérifier. Une tribune a été publiée le 4 mai dernier, journée de la liberté de la presse, par une quarantaine d’organisations dénonçant ces différents projets. En 2016 et 2017, de nombreuses voix ont réagi aux velléités françaises et allemandes de limiter le chiffrement de bout en bout. À ce sujet, voir notamment cet article de La Quadrature, mais aussi les réponses de l’Agence européenne pour la cybersécurité, de la CNIL et du Conseil National du Numérique ou encore de l’Agence national pour la sécurité des systèmes d’information ici., la lutte contre l’exploitation des données personnelles par les GAFAM10Google, Amazon, Facebook, Apple, Microsoft., le droit à l’intimité et la vie privée ainsi que la diffusion et l’appropriation des connaissances en informatique11Parmi les dernières actions de La Quadrature pour le droit au chiffrement et le respect de la vie privée sur Internet, voir notamment notre intervention au Conseil constitutionel contre l’obligation de donner ses codes de déchiffrement en 2018 ici, contre le réglement de censure terroriste adopté en 2021 ici, nos prises de positions suite aux attaques étatiques contre le chiffrement de bout-en-bout en 2016/2017 (ici, ici et ici), ou encore notre plainte collective contre les GAFAM déposée en 2018. Voir aussi nos prises de positions lors du projet de loi Terrorisme en 2014 ici et la loi renseignement en 2015 ici..

    Mêlant fantasmes, mauvaise foi et incompétence technique, les éléments qui nous ont été communiqués révèlent qu’un récit policier est construit autour des (bonnes) pratiques numériques des inculpé·es à des fins de mise en scène d’un « groupuscule clandestin » et « conspiratif ».

    Voici quelques-unes des habitudes numériques qui sont, dans cette affaire, instrumentalisées comme autant de « preuves » de l’existence d’un projet criminel12La criminalisation des pratiques numériques est discutée dans cet article de CQFD par Camille, une inculpée du 8 décembre.:

    – l’utilisation d’applications comme Signal, WhatsApp, Wire, Silence ou ProtonMail pour chiffrer ses communications ;

    – le recours à des outils permettant de protéger sa vie privée sur Internet comme un VPN, Tor ou Tails ;

    – le fait de se protéger contre l’exploitation de nos données personnelles par les GAFAM via des services comme /e/OS, LineageOS, F-Droid ;

    – le chiffrement de supports numériques ;

    – l’organisation et la participation à des sessions de formation à l’hygiène numérique ;

    – la simple détention de documentation technique.

    Alors que le numérique a démultiplié les capacités de surveillance étatiques13La surveillance généralisée via les outils numériques a notamment été révélée par Snowden en 2013). Concernant les enquêtes policières, le discours selon lequel le chiffrement serait un obstacle à leur avancée est pour le moins incomplet. La généralisation du recours au chiffrement ne peut être analysée qu’en prenant en compte le cadre historique de la numérisation de nos sociétés. Cette numérisation s’est accompagnée d’une accumulation phénoménale de données sur chacun·e, et dans une large partie accessibles à la police. Ainsi, le chiffrement ne fait que rétablir un équilibre dans la défense du droit à la vie privée à l’ère numérique. Dans une étude commanditée par le ministère néerlandais de la justice et de la sécurité publiée en 2023 et disponible ici, des policiers expliquent clairement ce point : « Nous avions l’habitude de chercher une aiguille dans une botte de foin et maintenant nous avons une botte de foin d’aiguilles. En d’autres termes, on cherchait des preuves pour une infraction pénale dans le cadre d’une affaire et, aujourd’hui, la police dispose d’un très grand nombre de preuves pour des infractions pénales pour lesquelles des affaires n’ont pas encore été recherchées ». D’autre part, d’autres techniques peuvent être utilisées pour contourner le chiffrement comme l’expliquait l’Observatoire des libertés et du Numérique en 2017 ici et la magistrate Laurence Blisson dans l’article « Petits vices et grandes vertus du chiffrement » publié dans la revue Délibérée en 2019 et disponible ici., nous dénonçons le fait que les technologies qui permettent à chacun·e de rétablir un équilibre politique plus que jamais fragilisé soient associées à un comportement criminel à des fins de scénarisation policière.

    Le chiffrement des communications assimilé à un signe de clandestinité

    Loin d’être un aspect secondaire de l’affaire, le lien supposé entre pratiques numériques et terrorisme apparaît dans la note de renseignements à l’origine de toute cette affaire.

    Dans ce document, par lequel la DGSI demande l’ouverture d’une enquête préliminaire, on peut lire : « Tous les membres contactés adoptaient un comportement clandestin, avec une sécurité accrue des moyens de communications (applications cryptées, système d’exploitation Tails, protocole TOR permettant de naviguer de manière anonyme sur internet et wifi public). »

    Cette phrase apparaîtra des dizaines de fois dans le dossier. Écrite par la DGSI, elle sera reprise sans aucun recul par les magistrat·es, au premier titre desquels le juge d’instruction mais aussi les magistrat·es de la chambre de l’instruction et les juges des libertés et de la détention.

    Durant la phase d’enquête, l’amalgame entre chiffrement et clandestinité est mobilisé pour justifier le déploiement de moyens de surveillance hautement intrusifs comme la sonorisation de lieux privés. La DGSI les juge nécessaires pour surveiller des « individus méfiants à l’égard du téléphone » qui « utilisent des applications cryptées pour communiquer ».

    Après leurs arrestations, les mis·es en examen sont systématiquement questionné·es sur leur utilisation des outils de chiffrement et sommé·es de se justifier : « Utilisez-vous des messageries cryptées (WhatsApp, Signal, Telegram, ProtonMail) ? », « Pour vos données personnelles, utilisez-vous un système de chiffrement ? », « Pourquoi utilisez-vous ce genre d’applications de cryptage et d’anonymisation sur internet ? ». Le lien supposé entre chiffrement et criminalité est clair: « Avez-vous fait des choses illicites par le passé qui nécessitaient d’utiliser ces chiffrements et protections ? », « Cherchez-vous à dissimuler vos activités ou avoir une meilleure sécurité ? ». Au total, on dénombre plus de 150 questions liées aux pratiques numériques.

    Et preuve de l’existence d’« actions conspiratives »

    À la fin de l’instruction, l’association entre chiffrement et clandestinité est reprise dans les deux principaux documents la clôturant : le réquisitoire du Parquet national antiterroriste (PNAT) et l’ordonnance de renvoi écrite par le juge d’instruction.

    Le PNAT consacrera un chapitre entier aux « moyens sécurisés de communication et de navigation » au sein d’une partie intitulée… « Les actions conspiratives ». Sur plus de quatre pages le PNAT fait le bilan des « preuves » de l’utilisation par les inculpé·es de messageries chiffrées et autres mesures de protection de la vie privée. L’application Signal est particulièrement visée.

    Citons simplement cette phrase : « Les protagonistes du dossier se caractérisaient tous par leur culte du secret et l’obsession d’une discrétion tant dans leurs échanges, que dans leurs navigations sur internet. L’application cryptée signal était utilisée par l’ensemble des mis en examen, dont certains communiquaient exclusivement [surligné dans le texte] par ce biais. ».

    Le juge d’instruction suivra sans sourciller en se livrant à un inventaire exhaustif des outils de chiffrement qu’ont « reconnu » – il utilisera abondamment le champ lexical de l’aveu – utiliser chaque mis·e en examen : « Il reconnaissait devant les enquêteurs utiliser l’application Signal », « X ne contestait pas utiliser l’application cryptée Signal », « Il reconnaissait aussi utiliser les applications Tails et Tor », « Il utilisait le réseau Tor […] permettant d’accéder à des sites illicites ».

    Criminalisation des connaissances en informatique

    Au-delà du chiffrement des communications, ce sont aussi les connaissances en informatique qui sont incriminées dans cette affaire : elles sont systématiquement assimilées à un facteur de « dangerosité ».

    La note de la DGSI, évoquée ci-dessus, précise ainsi que parmi les « profils » des membres du groupe disposant des « compétences nécessaires à la conduite d’actions violentes » se trouve une personne qui posséderait de « solides compétences en informatique et en communications cryptées ». Cette personne et ses proches seront, après son arrestation, longuement interrogé·es à ce sujet.

    Alors que ses connaissances s’avéreront finalement éloignées de ce qu’avançait la DGSI – elle n’est ni informaticienne ni versé·e dans l’art de la cryptographie – le juge d’instruction n’hésitera pas à inscrire que cette personne a « installé le système d’exploitation Linux sur ses ordinateurs avec un système de chiffrement ». Soit un simple clic sur « oui » quand cette question lui a été posée lors de l’installation.

    La simple détention de documentation informatique est elle aussi retenue comme un élément à charge. Parmi les documents saisis suite aux arrestations, et longuement commentés, se trouvent des notes manuscrites relatives à l’installation d’un système d’exploitation grand public pour mobile dégooglisé (/e/OS) et mentionnant diverses applications de protection de la vie privée (GrapheneOS, LineageOS, Signal, Silence, Jitsi, OnionShare, F-Droid, Tor, RiseupVPN, Orbot, uBlock Origin…).

    Dans le procès-verbal où ces documents sont analysés, un·e agent·e de la DGSI écrit que « ces éléments confirment [une] volonté de vivre dans la clandestinité. ». Le PNAT suivra avec la formule suivante : « Ces écrits constituaient un véritable guide permettant d’utiliser son téléphone de manière anonyme, confirmant la volonté de X de s’inscrire dans la clandestinité, de dissimuler ses activités […]. ».

    Ailleurs, la DGSI écrira que « […] la présence de documents liés au cryptage des données informatiques ou mobiles [dans un scellé] » matérialisent « une volonté de communiquer par des moyens clandestins. ».

    Et de leur transmission

    L’incrimination des compétences informatiques se double d’une attaque sur la transmission de ces dernières. Une partie entière du réquisitoire du PNAT, intitulée « La formation aux moyens de communication et de navigation sécurisée », s’attache à criminaliser les formations à l’hygiène numérique, aussi appelées « Chiffrofêtes » ou « Cryptoparties ».

    Ces pratiques collectives et répandues – que La Quadrature a souvent organisées ou relayées – contribuent à la diffusion des connaissances sur les enjeux de vie privée, de sécurisation des données personnelles, des logiciels libres et servent à la réappropriation de savoirs informatiques par toutes et tous.

    Qu’est-il donc reproché à ce sujet dans cette affaire ? Un atelier de présentation de l’outil Tails, système d’exploitation grand public prisé des journalistes et des défenseurs·ses des libertés publiques. Pour le PNAT c’est lors de cette formation que « X les a dotés de logiciels sécurisés et les a initiés à l’utilisation de moyens de communication et de navigation internet cryptés, afin de leur garantir l’anonymat et l’impunité ». Le lien fait entre droit à la vie privée et impunité, corollaire du fantasme policier d’une transparence totale des citoyen·nes, a le mérite d’être clair.

    Le PNAT ajoutera: « X ne se contentait pas d’utiliser ces applications [de protection de la vie privée], il apprenait à ses proches à le faire ». Phrase qui sera reprise, mot pour mot, par le juge d’instruction.

    Pire, ce dernier ira jusqu’à retenir cette formation comme un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme », tant pour la personne l’ayant organisé – « en les formant aux moyens de communication et de navigation internet sécurisés » – que pour celles et ceux l’ayant suivi – « en suivant des formations de communication et de navigation internet sécurisés ».

    De son côté, la DGSI demandera systématiquement aux proches des mis·es en examen si ces dernier·es leur avaient recommandé l’utilisation d’outils de chiffrement : « Vous ont-ils suggéré de communiquer ensemble par messageries cryptées ? », « C’est lui qui vous a demandé de procéder à l’installation de SIGNAL ? ».

    Une réponse inspirera particulièrement le PNAT qui écrira : « Il avait convaincu sa mère d’utiliser des modes de communication non interceptables comme l’application Signal. »

    « Êtes-vous anti-GAFA? »

    Même la relation à la technologie et en particulier aux GAFAM – contre lesquels nous sommes mobilisés depuis de nombreuses années – est considérée comme un signe de radicalisation. Parmi les questions posées aux mis·es en examen, on peut lire : « Etes-vous anti GAFA ? », « Que pensez-vous des GAFA ? » ou encore « Eprouvez-vous une certaine réserve vis-à-vis des technologies de communication ? ».

    Ces questions sont à rapprocher d’une note de la DGSI intitulée « La mouvance ultra gauche » selon laquelle ses « membres » feraient preuve « d’une grand culture du secret […] et une certaine réserve vis-à-vis de la technologie ».

    C’est à ce titre que le système d’exploitation pour mobile dégooglisé et grand public /e/OS retient particulièrement l’attention de la DGSI. Un SMS intercepté le mentionnant sera longuement commenté. Le PNAT indiquera à son sujet qu’un·e inculpé·e s’est renseigné·e à propos d’un « nouveau système d’exploitation nommé /e/ […] garantissant à ses utilisateurs une intimité et une confidentialité totale ».

    En plus d’être malhonnête – ne pas avoir de services Google n’implique en rien une soi-disante « confidentialité totale » – ce type d’information surprend dans une enquête antiterroriste.

    Une instrumentalisation signe d’incompétence technique ?

    Comment est-il possible qu’un tel discours ait pu trouver sa place dans un dossier antiterroriste ? Et ce sans qu’aucun des magistrat·es impliqué·es, en premier lieu le juge d’instruction et les juges des libertés et de la détention, ne rappelle que ces pratiques sont parfaitement légales et nécessaires à l’exercice de nos droits fondamentaux ? Les différentes approximations et erreurs dans les analyses techniques laissent penser que le manque de compétences en informatique a sûrement facilité l’adhésion générale à ce récit.

    À commencer par celles de la DGSI elle-même, dont les rapports des deux centres d’analyses techniques se contredisent sur… le modèle du téléphone personnel du principal inculpé.

    Quant aux notions relatives au fonctionnement de Tor et Tails, bien qu’au centre des accusations de « clandestinité », elles semblent bien vagues.

    Un·e agent·e de la DGSI écrira par exemple, semblant confondre les deux : « Thor [sic] permet de se connecter à Internet et d’utiliser des outils réputés de chiffrement de communications et des données. Toutes les données sont stockées dans la mémoire RAM de l’ordinateur et sont donc supprimées à l’extinction de la machine ». Ne serait-ce pas plutôt à Tails que cette personne fait allusion?

    Quant au juge d’instruction, il citera des procès verbaux de scellés relatifs à des clés Tails, qui ne fonctionnent pas sur mobile, comme autant de preuves de connaissances relatives à des « techniques complexes pour reconfigurer son téléphone afin de le rendre anonyme ». Il ajoutera par ailleurs, tout comme le PNAT, que Tor permet de « naviguer anonymement sur internet grâce au wifi public » – comme s’il pensait qu’un wifi public était nécessaire à son utilisation.

    La DGSI, quant à elle, demandera en garde à vue les « identifiants et mots de passe pour Tor » – qui n’existent pas – et écrira que l’application « Orbot », ou « Orboot » pour le PNAT, serait « un serveur ‘proxy’ TOR qui permet d’anonymiser la connexion à ce réseau ». Ce qui n’a pas de sens. Si Orbot permet bien de rediriger le trafic d’un téléphone via Tor, il ne masque en rien l’utilisation faite de Tor14La connexion à Tor peut être masquée via l’utilisation de pont. Voir ici..

    Les renseignements intérieurs confondent aussi Tails avec le logiciel installé sur ce système pour chiffrer les disques durs – appelé LUKS – lorsqu’elle demande: « Utilisez vous le système de cryptage “Tails” ou “Luks” pour vos supports numériques ? ». S’il est vrai que Tails utilise LUKS pour chiffrer les disques durs, Tails est un système d’exploitation – tout comme Ubuntu ou Windows – et non un « système de cryptage ». Mentionnons au passage les nombreuses questions portant sur « les logiciels cryptés (Tor, Tails) ». Si Tor et Tails ont bien recours à des méthodes chiffrement, parler de « logiciel crypté » dans ce contexte n’a pas de sens.

    Notons aussi l’utilisation systématique du terme « cryptage », au lieu de « chiffrement ». Si cet abus de langage – tel que qualifié par la DGSI sur son site – est commun, il trahit l’amateurisme ayant conduit à criminaliser les principes fondamentaux de la protection des données personnelles dans cette affaire.

    Que dire enfin des remarques récurrentes du juge d’instruction et du PNAT quant au fait que les inculpé·es chiffrent leurs supports numériques et utilisent la messagerie Signal ?

    Savent-ils que la quasi-totalité des ordinateurs et téléphones vendus aujourd’hui sont chiffrés par défaut15Pour le chiffrement sur Windows, voir la page Wikipedia de Bitlocker et la documentation de Microsoft. Pour le chiffrement sur Android, voir la documentation officielle et l’article de Wire ici. Pour Apple, voir leur documentation ici.? Les leurs aussi donc – sans quoi cela constituerait d’ailleurs une violation du règlement européen sur la protection des données personnelles16Voir le guide pratique du RGPD publié par la CNIL et disponible ici. Il y est écrit : « Le règlement général sur la protection des données (RGPD) précise que la protection des données personnelles nécessite de prendre les “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”. Cette exigence s’impose aussi bien au responsable du traitement de données personnelles qu’aux sous-traitants impliqués (article 32 du RGPD) »..

    Quant à Signal, accuseraient-ils de clandestinité la Commission Européenne qui a, en 2020, recommandé son utilisation à son personnel17Voir l’article de Politico disponible ici.? Et rangeraient-ils du côté des terroristes le rapporteur des nations Unies qui rappelait en 2015 l’importance du chiffrement pour les droits fondamentaux18Voir le rapport du rapporteur des Nations Unies, David Kaye, sur la protection de la liberté d’expression et d’opinion et disponible ici. Voir aussi les prises de position de l’Agence national pour la sécurité des systèmes d’information ici, de la Commission nationale de l’informatique et des libertés, et du Conseil National du Numérique ici ou de l’Agence européenne pour la cybersécurité ici, et le document de l’Observatoire des libertés et du numérique signé notamment par la Ligue des droits de l’Homme, le Syndicat de la magistrature, Amnesty International et le Syndicat des avocats de France ici. ? Voire l’ANSSI et la CNIL qui, en plus de recommander le chiffrement des supports numériques osent même… mettre en ligne de la documentation technique pour le faire19Voir le guide de l’hygiène numérique de l’ANSSI préconisant le chiffrement de ses disques durs et disponible ici. Voir aussi la page chiffrement de la CNIL ici et son guide de chiffrement des données ici. ?

    En somme, nous ne pouvons que les inviter à se rendre, plutôt que de les criminaliser, aux fameuses « Chiffrofêtes » où les bases des bonnes pratiques numériques leur seront expliquées.

    Ou nécessité d’un récit policier ?

    Si un tel niveau d’incompétence technique peut permettre de comprendre comment a pu se développer un fantasme autour des pratiques numériques des personnes inculpé·es, cela ne peut expliquer pourquoi elles forment le socle du récit de « clandestinité » de la DGSI.

    Or, dès le début de l’enquête, la DGSI détient une quantité d’informations considérables sur les futur·es mis·es en examen. À l’ère numérique, elle réquisitionne les données détenues par les administrations (Caf, Pôle Emploi, Ursaff, Assurance-Maladie…), consulte les fichiers administratifs (permis de conduire, immatriculation, SCA, AGRIPPA), les fichiers de police (notamment le TAJ) et analyse les relevés téléphoniques (fadettes). Des réquisitions sont envoyées à de nombreuses entreprises (Blablacar, Air France, Paypal, Western Union…) et le détail des comptes bancaires est minutieusement analysé20Mentionnons les données détenues par les administrations (Assurance maladie, Pôle emploi, les Caisses d’allocations familiales, les URSSAF, les impôts), les fichiers administratifs (permis de conduire, immatriculation, SCA, AGRIPPA), les fichiers de police (notamment le TAJ), les relevés téléphoniques (fadettes). Les réquisitions effectuées par la DGSI auprès des administrations et des entreprises varient selon les inculpé·es. De manière générale, sont contactés Pôle Emploi, la CAF, l’Assurance Maladie, les banques et les opérateurs de téléphonie..

    À ceci s’ajoutent les informations recueillies via les mesures de surveillances ayant été autorisées – comptant parmi les plus intrusives que le droit permette tel la sonorisation de lieux privés, les écoutes téléphoniques, la géolocalisation en temps réel via des balises gps ou le suivi des téléphones, les IMSI catcher – et bien sûr les nombreuses filatures dont font l’objet les « cibles ».

    Mais, alors que la moindre interception téléphonique évoquant l’utilisation de Signal, WhatsApp, Silence ou Protonmail fait l’objet d’un procès-verbal – assorti d’un commentaire venant signifier la « volonté de dissimulation » ou les « précautions » témoignant d’un « comportement méfiant » – comment expliquer que la DGSI ne trouve rien de plus sérieux permettant de valider sa thèse parmi la mine d’informations qu’elle détient ?

    La DGSI se heurterait-elle aux limites de son amalgame entre pratiques numériques et clandestinité ? Car, de fait, les inculpé·es ont une vie sociale, sont déclarées auprès des administrations sociales, ont des comptes bancaires, une famille, des ami·es, prennent l’avion en leur nom, certain·es travaillent, ont des relations amoureuses…

    En somme, les inculpé·es ont une vie « normale » et utilisent Signal. Tout comme les plus de deux milliards d’utilisateurs et utilisatrices de messageries chiffrées dans le monde21En 2020, WhatsApp annonçait compter plus de deux milliards d’utilisateurs et utilisatrices. À ceci s’ajoutent celles et ceux d’autres applications de messageries chiffrées comme Signal, Silence, Wire… Voir cet article du Monde.. Et les membres de la Commission européenne…

    Chiffrement et alibi policier

    La mise en avant du chiffrement offre un dernier avantage de choix au récit policier. Elle sert d’alibi pour expliquer l’absence de preuves quant à l’existence d’un soi-disant projet terroriste. Le récit policier devient alors : ces preuves existent, mais elles ne peuvent pas être déchiffrées.

    Ainsi le juge d’instruction écrira que si les écoutes téléphoniques n’ont fourni que « quelques renseignements utiles », ceci s’explique par « l’usage minimaliste de ces lignes » au profit d’« applications cryptées, en particulier Signal ». Ce faisant, il ignore au passage que les analyses des lignes téléphoniques des personnes inculpées indiquent une utilisation intensive de SMS et d’appels classiques pour la quasi-totalité d’entre elles.

    Ce discours est aussi appliqué à l’analyse des scellés numériques dont l’exploitation n’amène pas les preuves tant espérées. Suite aux perquisitions, la DGSI a pourtant accès à tout ou partie de six des sept téléphones personnels des inculp·ées, à cinq comptes Signal, à la majorité des supports numériques saisis ainsi qu’aux comptes mails et réseaux sociaux de quatre des mis·es en examen. Soit en tout et pour tout des centaines de gigaoctets de données personnelles, de conversations, de documents. Des vies entières mises à nu, des intimités violées pour être offertes aux agent·es des services de renseignements.

    Mais rien n’y fait. Les magistrat·es s’attacheront à expliquer que le fait que trois inculpé·es refusent de fournir leurs codes de déchiffrement – dont deux ont malgré tout vu leurs téléphones personnels exploités grâce à des techniques avancées – entrave « le déroulement des investigations » et empêche « de caractériser certains faits ». Le PNAT ira jusqu’à regretter que le refus de communiquer les codes de déchiffrement empêche l’exploitation… d’un téléphone cassé et d’un téléphone non chiffré. Après avoir tant dénoncé le complotisme et la « paranoïa » des inculpé·es, ce type de raisonnement laisse perplexe22Cette affaire ne fait par ailleurs que confirmer notre opposition, portée devant le Conseil constitutionel en 2018, à l’obligation de fournir ses codes de déchiffrement et dont nous rappellions récemment l’utilisation massive pour les personnes placées en gardes à vue. En plus d’être particulièrement attentatoire à la vie privée et au droit de ne pas s’auto-incriminer, cette obligation a, dans cette affaire, été utilisée comme un moyen de pression au maintien des mesures de détention provisoire et même mise en avant pour justifier le refus d’accès au dossier d’instruction à un·e des inculpé·es. A ce sujet voir notre article revenant sur l’utilisation de cette mesure lors des gardes à vue ici et notre article présentant la question prioritaire de ponstitutionalité posée par La Quadrature à ce sujet en 2018..

    Antiterrorisme, chiffrement et justice préventive

    Il n’est pas possible de comprendre l’importance donnée à l’association de pratiques numériques à une soi-disant clandestinité sans prendre en compte le basculement de la lutte antiterroriste « d’une logique répressive à des fins préventives »23Pauline Le Monnier de Gouville, « De la répression à la prévention. Réflexion sur la politique criminelle antiterroriste », Les cahiers de la Justice, 2017. Disponible ici. dont le délit « d’association de malfaiteurs terroristes en vue de » (AMT) est emblématique24Voir l’article de la magistrate Laurence Buisson « Risques et périls de l’association de malfaiteurs terroriste » publié en 2017 dans la revue Délibérée et disponible ici.. Les professeur·es Julie Alix et Oliver Cahn25Julie Alix et Olivier Cahn, « Mutations de l’antiterrorisme et émergence d’un droit répressif de la sécurité nationale », Revue de science criminelle et de droit pénal comparé, 2017. Disponible ici. évoquent une « métamorphose du système répressif » d’un droit dont l’objectif est devenu de « faire face, non plus à une criminalité, mais à une menace ».

    Ce glissement vers une justice préventive « renforce l’importance des éléments recueillis par les services de renseignements »26Pauline Le Monnier de Gouville, « De la répression à la prévention. Réflexion sur la politique criminelle antiterroriste », Les cahiers de la Justice, 2017. Disponible ici. qui se retrouvent peu à peu libres de définir qui représente une menace « selon leurs propres critères de la dangerosité »27Julie Alix et Olivier Cahn, « Mutations de l’antiterrorisme et émergence d’un droit répressif de la sécurité nationale », Revue de science criminelle et de droit pénal comparé, 2017. Disponible ici..

    Remplacer la preuve par le soupçon, c’est donc substituer le récit policier aux faits. Et ouvrir la voie à la criminalisation d’un nombre toujours plus grands de comportements « ineptes, innocents en eux-mêmes »28Intervention devant le Conseil constitutionnel sur le délit d’« Entreprise individuelle terroriste » en 2017. Une rediffusion est disponible ici. pour reprendre les mots de François Sureau. Ce que critiquait déjà, en 1999, la Fédération internationale des droits humains qui écrivait que « n’importe quel type de “preuve”, même insignifiante, se voit accorder une certaine importance »29Fédération Internationale des Droits Humains, Rapport « La porte ouverte à l’arbitraire », 1999. Voir aussi le rapport de Human Rights Watch de 2008 intitulé « La justice court-circuitée. Les lois et procédure antiterroristes en France » et disponible ici. Voir aussi l’entretien dans Lundi matin avec une personne revenant du Rojava, citée ici, revenant sur la criminalisation de la parole..

    Et c’est exactement ce qu’il se passe ici. Des habitudes numériques répandues et anodines sont utilisées à charge dans le seul but de créer une atmosphère complotiste supposée trahir des intentions criminelles, aussi mystérieuses soient-elles. Atmosphère dont tout laisse à penser qu’elle est, justement, d’autant plus nécessaire au récit policier que les contours des intentions sont inconnus.

    À ce titre, il est particulièrement frappant de constater que, si la clandestinité est ici caractérisée par le fait que les inculpé·es feraient une utilisation « avancée » des outils technologiques, elle était, dans l’affaire Tarnac, caractérisée par le fait… de ne posséder aucun téléphone portable30Voir le rapport de la DCPJ du 15 novembre 2008 et disponible ici et les chapitres « Benjamin R. » et « Mathieu B. », pages 109 et 143 du livre Tarnac, Magasin Général de David Dufresne (édition de poche).. Pile je gagne, face tu perds31Voir notamment l’archive du site des comités de soutien aux inculpé·es de Tarnac ici, une tribune de soutien publiée en 2008 ici et cette interview de Julien Coupat. Voir aussi le livre de David Dufresne Tarnac, Magasin Général..

    Toutes et tous terroristes

    À l’heure de conclure cet article, l’humeur est bien noire. Comment ne pas être indigné·e par la manière dont sont instrumentalisées les pratiques numériques des inculpé·es dans cette affaire ?

    Face au fantasme d’un État exigeant de toute personne une transparence totale au risque de se voir désignée comme « suspecte », nous réaffirmons le droit à la vie privée, à l’intimité et à la protection de nos données personnelles. Le chiffrement est, et restera, un élément essentiel pour nos libertés publiques à l’ère numérique.

    Soyons clair: cette affaire est un test pour le ministère de l’intérieur. Quoi de plus pratique que de pouvoir justifier la surveillance et la répression de militant·es parce qu’ils et elles utilisent WhatsApp ou Signal?

    Auditionné par le Sénat suite à la répression de Sainte-Soline, Gérald Darmanin implorait ainsi le législateur de changer la loi afin qu’il soit possible de hacker les portables des manifestant·es qui utilisent « Signal, WhatsApp, Telegram » en des termes sans équivoque: « Donnez-nous pour la violence des extrêmes les mêmes moyens que le terrorisme ».

    Pour se justifier, il avançait qu’il existe « une paranoia avancée très forte dans les milieux d’ultragauche […] qui utilisent des messageries cryptées » ce qui s’expliquerait par une « culture du clandestin ». Un véritable copier-coller de l’argumentaire policier développé dans l’affaire du 8 décembre. Affaire qu’il citera par ailleurs – au mépris de toute présomption d’innocence – comme l’exemple d’un « attentat déjoué » de « l’ultragauche »32Son audition est disponible ici. Voir à partir de 10:53:50 et 10:55:20 pour les moyens de l’antiterrorisme et à 10:20:19 pour la référence à l’affaire du 8 décembre. Voir aussi sur BFM ici Gérald Darmanin utiliser l’affaire du 8 décembre pour dénoncer la « menace d’ultragauche ». pour appuyer son discours visant à criminaliser les militant·es écologistes.

    Voici comment la criminalisation des pratiques numériques s’inscrit dans la stratégie gouvernementale de répression de toute contestation sociale. Défendre le droit au chiffrement, c’est donc s’opposer aux dérives autoritaires d’un pouvoir cherchant à étendre, sans fin, les prérogatives de la lutte « antiterroriste » via la désignation d’un nombre toujours plus grand d’ennemis intérieurs33Voir notamment les livres L’ennemi intérieur. La généalogie coloniale et militaire de l’ordre sécuritaire dans la France contemporaine de Mathieu Rigouste et Répression. L’État face aux contestations politiques de Vanessa Codaccioni..

    Après la répression des personnes musulmanes, des « écoterroristes », des « terroristes intellectuels », voici venu la figure des terroristes armé·es de messageries chiffrées. Devant une telle situation, la seule question qui reste semble être : « Et toi, quel·le terroriste es-tu ? ».

    References

    References
    1, 7 Pour un résumé de l’affaire du 8 décembre voir notamment les témoignages disponibles dans cet article de la Revue Z, cet article de Lundi matin, les articles des comités de soutien suivants (ici ici et ici) et la page Wikipedia ici.
    2 L’affaire de Tarnac est un fiasco judiciaire de l’antiterrorisme français. Les inculpé·es ont tous et toutes été relaxé·es après dix années d’instruction. C’est la dernière affaire antiterroriste visant les mouvements de gauche en France.
    3 Voir cette lettre ouverte au juge d’instruction, cette lettre de Libre Flot au moment de commencer sa grève de la faim, cette compilation de textes publiés en soutien aux inculpé·es ici, l’émission de Radio Pikez disponible ici et celle-ci de Radio Parleur, un article du Monde Diplomatique d’avril 2021 disponible ici et les articles publiés sur les sites des comités de soutien ici et ici.
    4 Voir notamment cet article du monde.
    5 Sur les recours déposés par Camille et LibreFlot, voir le communiqué de presse ici. Sur la condamnation de l’État sur le maintien illégal à l’isolement de LibreFlot, voir l’article de Reporterre disponible ici et de Ouest-France disponible ici. Sur ses conditions de vie à l’isolement et sa grève de la faim, voir notamment cette compilation d’écrits de LibreFlot et le témoignage joint au communiqué de presse évoqué ci-avant.
    6 Voir la tribune de soutien signée plusieurs collectifs et intellectuelles féministes ici, la tribune de soutien du collectif des combattantes et combattants francophones du Rojava ici et la tribune de soutien signée par plusieurs médias et personnalités disponible ici.
    8 Pour rappel, aujourd’hui le chiffrement est partout. Sur Internet, il est utilisé de manière transparente pour assurer la confidentialité de nos données médicales, coordonnées bancaires et du contenu des pages que nous consultons. Il protège par ailleurs une part croissante de nos communications à travers l’essor des messageries chiffrées comme WhatsApp ou Signal et équipe la quasi-totalité des ordinateurs et téléphones portables vendus aujourd’hui pour nous protéger en cas de perte ou de vol.
    9 Le droit au chiffrement des communications, et en particulier le chiffrement de bout en bout, c’est-à-dire des systèmes de communications « où seules les personnes qui communiquent peuvent lire les messages échangés » dont l’objectif est de « résister à toute tentative de surveillance ou de falsification », est régulièrement attaqué par les États au motif qu’il favoriserait la radicalisation politique et constituerait un obstacle majeur à la lutte contre le terrorisme. Récemment, on peut citer un article de Nextinpact décrivant l’appel en avril dernier des services de polices internationaux à Meta (Facebook) pour que Messenger n’intègre pas le chiffrement de bout-en-bout et disponible ici, le projet de loi américain EARN IT, les discussions européennes autour du CSAR ou britannique « Online Safety Bill », deux projets qui, par nature, représentent la fin du chiffrement de bout en bout en forçant les fournisseurs de messageries chiffrées à accéder à tout échange pour les vérifier. Une tribune a été publiée le 4 mai dernier, journée de la liberté de la presse, par une quarantaine d’organisations dénonçant ces différents projets. En 2016 et 2017, de nombreuses voix ont réagi aux velléités françaises et allemandes de limiter le chiffrement de bout en bout. À ce sujet, voir notamment cet article de La Quadrature, mais aussi les réponses de l’Agence européenne pour la cybersécurité, de la CNIL et du Conseil National du Numérique ou encore de l’Agence national pour la sécurité des systèmes d’information ici.
    10 Google, Amazon, Facebook, Apple, Microsoft.
    11 Parmi les dernières actions de La Quadrature pour le droit au chiffrement et le respect de la vie privée sur Internet, voir notamment notre intervention au Conseil constitutionel contre l’obligation de donner ses codes de déchiffrement en 2018 ici, contre le réglement de censure terroriste adopté en 2021 ici, nos prises de positions suite aux attaques étatiques contre le chiffrement de bout-en-bout en 2016/2017 (ici, ici et ici), ou encore notre plainte collective contre les GAFAM déposée en 2018. Voir aussi nos prises de positions lors du projet de loi Terrorisme en 2014 ici et la loi renseignement en 2015 ici.
    12 La criminalisation des pratiques numériques est discutée dans cet article de CQFD par Camille, une inculpée du 8 décembre.
    13 La surveillance généralisée via les outils numériques a notamment été révélée par Snowden en 2013). Concernant les enquêtes policières, le discours selon lequel le chiffrement serait un obstacle à leur avancée est pour le moins incomplet. La généralisation du recours au chiffrement ne peut être analysée qu’en prenant en compte le cadre historique de la numérisation de nos sociétés. Cette numérisation s’est accompagnée d’une accumulation phénoménale de données sur chacun·e, et dans une large partie accessibles à la police. Ainsi, le chiffrement ne fait que rétablir un équilibre dans la défense du droit à la vie privée à l’ère numérique. Dans une étude commanditée par le ministère néerlandais de la justice et de la sécurité publiée en 2023 et disponible ici, des policiers expliquent clairement ce point : « Nous avions l’habitude de chercher une aiguille dans une botte de foin et maintenant nous avons une botte de foin d’aiguilles. En d’autres termes, on cherchait des preuves pour une infraction pénale dans le cadre d’une affaire et, aujourd’hui, la police dispose d’un très grand nombre de preuves pour des infractions pénales pour lesquelles des affaires n’ont pas encore été recherchées ». D’autre part, d’autres techniques peuvent être utilisées pour contourner le chiffrement comme l’expliquait l’Observatoire des libertés et du Numérique en 2017 ici et la magistrate Laurence Blisson dans l’article « Petits vices et grandes vertus du chiffrement » publié dans la revue Délibérée en 2019 et disponible ici.
    14 La connexion à Tor peut être masquée via l’utilisation de pont. Voir ici.
    15 Pour le chiffrement sur Windows, voir la page Wikipedia de Bitlocker et la documentation de Microsoft. Pour le chiffrement sur Android, voir la documentation officielle et l’article de Wire ici. Pour Apple, voir leur documentation ici.
    16 Voir le guide pratique du RGPD publié par la CNIL et disponible ici. Il y est écrit : « Le règlement général sur la protection des données (RGPD) précise que la protection des données personnelles nécessite de prendre les “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”. Cette exigence s’impose aussi bien au responsable du traitement de données personnelles qu’aux sous-traitants impliqués (article 32 du RGPD) ».
    17 Voir l’article de Politico disponible ici.
    18 Voir le rapport du rapporteur des Nations Unies, David Kaye, sur la protection de la liberté d’expression et d’opinion et disponible ici. Voir aussi les prises de position de l’Agence national pour la sécurité des systèmes d’information ici, de la Commission nationale de l’informatique et des libertés, et du Conseil National du Numérique ici ou de l’Agence européenne pour la cybersécurité ici, et le document de l’Observatoire des libertés et du numérique signé notamment par la Ligue des droits de l’Homme, le Syndicat de la magistrature, Amnesty International et le Syndicat des avocats de France ici.
    19 Voir le guide de l’hygiène numérique de l’ANSSI préconisant le chiffrement de ses disques durs et disponible ici. Voir aussi la page chiffrement de la CNIL ici et son guide de chiffrement des données ici.
    20 Mentionnons les données détenues par les administrations (Assurance maladie, Pôle emploi, les Caisses d’allocations familiales, les URSSAF, les impôts), les fichiers administratifs (permis de conduire, immatriculation, SCA, AGRIPPA), les fichiers de police (notamment le TAJ), les relevés téléphoniques (fadettes). Les réquisitions effectuées par la DGSI auprès des administrations et des entreprises varient selon les inculpé·es. De manière générale, sont contactés Pôle Emploi, la CAF, l’Assurance Maladie, les banques et les opérateurs de téléphonie.
    21 En 2020, WhatsApp annonçait compter plus de deux milliards d’utilisateurs et utilisatrices. À ceci s’ajoutent celles et ceux d’autres applications de messageries chiffrées comme Signal, Silence, Wire… Voir cet article du Monde.
    22 Cette affaire ne fait par ailleurs que confirmer notre opposition, portée devant le Conseil constitutionel en 2018, à l’obligation de fournir ses codes de déchiffrement et dont nous rappellions récemment l’utilisation massive pour les personnes placées en gardes à vue. En plus d’être particulièrement attentatoire à la vie privée et au droit de ne pas s’auto-incriminer, cette obligation a, dans cette affaire, été utilisée comme un moyen de pression au maintien des mesures de détention provisoire et même mise en avant pour justifier le refus d’accès au dossier d’instruction à un·e des inculpé·es. A ce sujet voir notre article revenant sur l’utilisation de cette mesure lors des gardes à vue ici et notre article présentant la question prioritaire de ponstitutionalité posée par La Quadrature à ce sujet en 2018.
    23, 26 Pauline Le Monnier de Gouville, « De la répression à la prévention. Réflexion sur la politique criminelle antiterroriste », Les cahiers de la Justice, 2017. Disponible ici.
    24 Voir l’article de la magistrate Laurence Buisson « Risques et périls de l’association de malfaiteurs terroriste » publié en 2017 dans la revue Délibérée et disponible ici.
    25, 27 Julie Alix et Olivier Cahn, « Mutations de l’antiterrorisme et émergence d’un droit répressif de la sécurité nationale », Revue de science criminelle et de droit pénal comparé, 2017. Disponible ici.
    28 Intervention devant le Conseil constitutionnel sur le délit d’« Entreprise individuelle terroriste » en 2017. Une rediffusion est disponible ici.
    29 Fédération Internationale des Droits Humains, Rapport « La porte ouverte à l’arbitraire », 1999. Voir aussi le rapport de Human Rights Watch de 2008 intitulé « La justice court-circuitée. Les lois et procédure antiterroristes en France » et disponible ici. Voir aussi l’entretien dans Lundi matin avec une personne revenant du Rojava, citée ici, revenant sur la criminalisation de la parole.
    30 Voir le rapport de la DCPJ du 15 novembre 2008 et disponible ici et les chapitres « Benjamin R. » et « Mathieu B. », pages 109 et 143 du livre Tarnac, Magasin Général de David Dufresne (édition de poche).
    31 Voir notamment l’archive du site des comités de soutien aux inculpé·es de Tarnac ici, une tribune de soutien publiée en 2008 ici et cette interview de Julien Coupat. Voir aussi le livre de David Dufresne Tarnac, Magasin Général.
    32 Son audition est disponible ici. Voir à partir de 10:53:50 et 10:55:20 pour les moyens de l’antiterrorisme et à 10:20:19 pour la référence à l’affaire du 8 décembre. Voir aussi sur BFM ici Gérald Darmanin utiliser l’affaire du 8 décembre pour dénoncer la « menace d’ultragauche ».
    33 Voir notamment les livres L’ennemi intérieur. La généalogie coloniale et militaire de l’ordre sécuritaire dans la France contemporaine de Mathieu Rigouste et Répression. L’État face aux contestations politiques de Vanessa Codaccioni.
    ]]>
    Transformer les objets connectés en mouchards : la surenchère sécuritaire du gouvernementhttps://www.laquadrature.net/?p=20620http://isyteck.com/autoblog/quadrature/index.php5?20230531_153828_Transformer_les_objets_connectes_en_mouchards____la_surenchere_securitaire_du_gouvernementWed, 31 May 2023 13:38:28 +0000Communiqué de l’Observatoire des Libertés et du Numérique, 31 mai 2023

    Le projet de loi « Orientation et programmation du ministère de la Justice 2023-2027 » a commencé à être discuté au Sénat, et son article 3 fait déjà polémique. À raison.

    Au milieu de dispositions qui visent à entériner pêle-mêle les interventions à distance des médecins en cas de prolongation de la garde à vue et des interprètes dès le début de la garde à vue, ou l’extension des possibilités des perquisitions de nuit à des crimes de droit commun, est créé un nouvel outil d’enquête permettant d’activer, à distance, les appareils électroniques d’une personne à son insu pour obtenir sa géolocalisation en temps réel ou capter des images et des sons. Art. 3 points 12° et 13° et 17° à 19°.

    En clair, il s’agira par exemple pour les enquêteurs judiciaires de géolocaliser une voiture en temps réel à partir de son système informatique, d’écouter et enregistrer tout ce qui se dit autour du micro d’un téléphone même sans appel en cours, ou encore d’activer la caméra d’un ordinateur pour filmer ce qui est dans le champ de l’objectif, même si elle n’est pas allumée par son propriétaire. Techniquement, les policiers exploiteront les failles de sécurité de ces appareils (notamment, s’ils ne sont pas mis à jour en y accédant, ou à distance) pour installer un logiciel qui permet d’en prendre le contrôle et transformer vos outils, ceux de vos proches ou de différents lieux en mouchards.

    Pour justifier ces atteintes graves à l’intimité, le Ministère de la Justice invoque la « crainte d’attirer l’attention des délinquants faisant l’objet d’enquête pour des faits de criminalité organisée, de révéler la stratégie établie ou tout simplement parce qu’elle exposerait la vie des agents chargés de cette mission » en installant les outils d’enquête. En somme, il serait trop risqué ou compliqué pour les agents d’installer des micros et des balises « physiques » donc autant se servir de tous les objets connectés puisqu’ils existent. Pourtant, ce prétendu risque n’est appuyé par aucune information sérieuse ou exemple précis. Surtout, il faut avoir en tête que le piratage d’appareils continuera de passer beaucoup par un accès physique à ceux-ci (plus simple techniquement) et donc les agents encourront toujours ce prétendu risque lié au terrain. De plus, les limites matérielles contingentes à l’installation d’un dispositif constituent un garde-fou nécessaire contre des dérives d’atteintes massives à la vie privée.

    La mesure prévue par l’article 3 est particulièrement problématique pour les téléphones portables et les ordinateurs tant leur place dans nos vies est conséquente. Mais le danger ne s’arrête pas là puisque son périmètre concerne en réalité tous les « appareils électroniques », c’est-à-dire tous les objets numériques disposant d’un micro, d’une caméra ou de capteurs de localisations. Cette mesure d’enquête pourrait ainsi permettre de :

    • « sonoriser » donc écouter des espaces à partir d’une télévision connectée, d’un babyphone, d’un assistant vocal (type Google Home), ou d’un micro intégré à une voiture ;
    • de retransmettre des images et des vidéos à partir de la caméra d’un ordinateur portable, d’un smartphone ou d’une caméra de sécurité à détection de mouvement ;
    • de récupérer la localisation d’une personne grâce au positionnement GPS d’une voiture, d’une trottinette connectée ou d’une montre connectée. De nombreux autres périphériques disposant de ces capteurs pourraient aussi être piratés.

    Si ce texte était définitivement adopté, cela démultiplierait dangereusement les possibilités d’intrusion policière, en transformant tous nos outils informatiques en potentiels espions.

    Il est, à cet égard, particulièrement inquiétant de voir consacrer le droit pour l’Etat d’utiliser les failles de sécurité des logiciels ou matériels utilisés plutôt que de s’attacher à les protéger en informant de l’existence de ces failles pour y apporter des remèdes.

    Les services de police et de renseignement disposent pourtant déjà d’outils extrêmement intrusifs : installation de mouchards dans les domiciles ou les voitures (balise GPS, caméras de vidéosurveillance, micro de sonorisation), extraction des informations d’un ordinateur ou d’un téléphone par exemple et mise en oeuvre d’enregistreurs d’écran ou de frappes de clavier (keylogger). Ces possibilités très larges, particulièrement attentatoires à la vie privée, sont déjà détournées et utilisées pour surveiller des militant·es comme (dans la lutte du Carnet, dans l’opposition aux mégabassines, dans les lieux militants de Dijon, ou dans les photocopieuses de lieu anarchistes, etc.)

    Alors que les révélations sur l’espionnage des téléphones par Pegasus continuent de faire scandale et que les possibilités des logiciels espions ont été condamnées par le Haut-Commissariat des Nations Unies aux droits de l’homme, le ministère de la Justice y voit a contrario un exemple à suivre. Il tente de légitimer ces dispositifs en assurant que seuls le crime organisé et le terrorisme seront visés via ces « techniques spéciales d’enquête ».

    Si le projet de loi renvoie effectivement à des infractions considérées comme graves, cela n’est pas de nature à apaiser les inquiétudes légitimes. En effet, ces mêmes infractions graves ont déjà été utilisées pour poursuivre des actions militantes, que ce soit à l’encontre de personnes solidaires avec les migrants accusées d’aide à l’entrée de personnes en bande organisée, de militants écologistes, encore qualifiés récemment d’ « écoterroristes » ou encore de militants contre l’enfouissement de déchets nucléaires à Bure. Plus généralement, le spectre des infractions visées peut aussi dépasser l’imaginaire de la « grande criminalité », y sont inclus notamment : la production et la vente de stupéfiant quelque soit l’échelle, le proxénétisme dont la définition très large peut inclure la seule aide à une personne travailleuse du sexe, les vols en bande organisée…

    Concernant la technique de géolocalisation des objets connectés, le spectre est encore plus large puisque l’activation à distance pourra concerner toutes les personnes suspectées d’avoir commis un délit puni de cinq années de prison, ce qui – en raison de l’inflation pénale des lois successives – peut aller par exemple du simple recel, à la transmission d’un faux document à une administration publique, ou le téléchargement sans droit de documents d’un système informatique.

    Surtout, l’histoire nous a démontré qu’il existait en la matière un « effet cliquet » : une fois qu’un texte ou une expérimentation sécuritaire est adopté, il n’y a jamais de retour en arrière. À l’inverse, la création d’une mesure intrusive sert généralement de base aux extensions sécuritaires futures, en les légitimant par sa seule existence. Un exemple fréquent est d’étendre progressivement des dispositions initialement votées pour la répression d’un crime choquant à d’autres délits. Le fichage génétique (FNAEG) a ainsi été adopté à l’encontre des seuls auteurs d’infractions sexuelles, pour s’étendre à quasiment l’ensemble des délits : aujourd’hui, 10% de la population française de plus de 20 ans est directement fichée et plus d’un tiers indirectement.

    Permettre de prendre le contrôle de tous les outils numériques à des fins d’espionnage policier ouvre la voie à des risques d’abus ou d’usages massifs extrêmement graves.

    Au regard de la place croissante des outils numériques dans nos vies, accepter le principe même qu’ils soient transformés en auxiliaires de police sans que l’on ne soit au courant pose un problème grave dans nos sociétés. Il s’agit d’un pas de plus vers une dérive totalitaire qui s’accompagne au demeurant d’un risque élevé d’autocensure pour toutes les personnes qui auront – de plus en plus légitimement – peur d’être enregistrées par un assistant vocal, que leurs trajets soient pistés, et même que la police puisse accéder aux enregistrements de leurs vies – par exemple si elles ont le malheur de passer nues devant la caméra de leur téléphone ou de leur ordinateur.

    Pour toutes ces raisons, l’article 3 de la LOPJ suscite de graves inquiétudes quant à l’atteinte aux droits et libertés fondamentales (droit à la sûreté, droit à la vie privée, au secret des correspondances, droit d’aller et venir librement). C’est pourquoi nous appelons l’ensemble des parlementaires à oeuvrer pour la suppression de ces dispositions de ce projet de loi et à faire rempart contre cette dérive sécuritaire.

    Organisations membres de l’OLN signataires : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme, La Quadrature du Net, Le Syndicat des Avocats de France, Le Syndicat de la Magistrature.


    ]]>
    Drones : qui fera atterrir le ministère de l’Intérieur ?https://www.laquadrature.net/?p=20590http://isyteck.com/autoblog/quadrature/index.php5?20230523_095034_Drones____qui_fera_atterrir_le_ministere_de_l___Interieur___Tue, 23 May 2023 07:50:34 +0000Mardi dernier, nous avons participé à une audience au Conseil d’État pour demander la suspension du décret autorisant la police nationale à déployer des drones sur le territoire. La décision devrait être rendue dans quelques jours. D’un côté, associations et syndicats dénonçant une nouvelle dérive de surveillance et de militarisation de l’espace public ; de l’autre, un ministère de l’intérieur méprisant ouvertement les principes élémentaires des droits fondamentaux. Épaulé par le contexte sécuritaire, ce dernier se permet même de clamer tout haut ses fantasmes sécuritaires, entre dispositifs de marquage invisible et pilotes de drones à moto.

    Nous en parlions ici : l’année dernière, après plusieurs revers pour le gouvernement, celui-ci a réussi à faire voter par le Parlement un texte légalisant l’usage des drones par la police nationale et la gendarmerie. En avril dernier, un décret – attendu depuis longtemps – a été publié par le ministère de l’intérieur. Il permet aux préfets de prendre des arrêtés pour autoriser la police à utiliser des drones pour des missions de surveillance.

    Depuis la publication de ce décret, il est rare que quelques jours se passent sans qu’un arrêté vienne prévoir un nouveau déploiement. Manifestations, frontières, rodéos urbains, événements culturels, … Le Monde dénombrait la semaine dernière plus d’une cinquantaine d’usages en à peine un mois. Les drones ne sont d’ailleurs pas les seuls à être autorisés, la police peut également utiliser des caméras fixées sur des hélicoptères – on parle de « boules optroniques », capables d’identifier des individus à plus de 2km.

    Pour contrer cette vague sécuritaire d’une rare intensité (parmi d’autres), les associations et organisations syndicales mènent une bataille sur le terrain, en procédures d’urgence directement contre les arrêtés devant les tribunaux administratifs, avec quelques succès mais beaucoup de défaites. En complément, c’est pour lutter en amont contre ce déploiement que l’Association de Défense des Libertés Constitutionnelles (Adelico) a attaqué directement le décret d’autorisation des drones en demandant la suspension en référé (c’est-à-dire une procédure d’urgence) de ce texte, en attendant une décision sur le fond pour son annulation. La Quadrature du Net est intervenue au soutien de cette procédure.

    Des dispositifs de surveillance ni nécessaires ni proportionnés

    L’audience dans cette affaire s’est déroulée mardi dernier. Comme toute audience de référé, les débats oraux se sont déroulés avec, d’un côté, une représentante du ministère de l’Intérieur (en l’occurence, la directrice des libertés publiques au ministère), et de l’autre les associations et syndicats parties ou intervenants au recours (c’est-à-dire l’Adelico, le Syndicat des avocats de France, le Syndicat de la magistrature et La Quadrature du Net). Entre les deux, le juge des référés, un conseiller d’État, qui décidera seul s’il convient oui ou non de suspendre le texte.

    Pendant près de trois heures, les associations ont répété leurs inquiétudes sur la nouvelle atteinte que représente la surveillance par drones : une surveillance mobile, invisible, en capacité de surveiller d’un seul regard plusieurs centaines de milliers de personnes. L’intervention (une requête et une réplique) de LQDN se concentrait sur le principe de nécessité et de proportionnalité, au sens du droit de l’UE (ce même droit, pourtant protecteur dans le domaine de la surveillance, que le Conseil d’État refusait d’appliquer en 2021 en matière de surveillance d’Internet).

    Le principe que nous invoquions pour démontrer l’illégalité de ce décret se résume en un mot : le ministère ne démontre à aucun moment la nécessité d’utiliser des drones pour remplir ses missions de protection de l’ordre public, en particulier par rapport à l’armada d’agents, de caméras et de véhicules qu’il a déjà à terre. Pire, les drones étant en capacité de récupérer des données sensibles (comme des opinions politiques lors de la surveillance de manifestations, même si les drones traitent d’autres types de données sensibles dans les autres contextes d’utilisation), le ministère doit prouver la nécessité absolue d’utiliser ce dispositif – ce qu’il ne fait à aucun moment.

    Ces principes ont beau être inscrits explicitement dans le droit français et européen (et renforcés par des arrêts de la Cour de justice de l’Union européenne), la représentante du ministère les a balayé d’un revers de main pendant l’audience.

    Le ministère clame haut et fort son mépris des droits fondamentaux

    Monopolisant la parole et coupant celle des représentant.es des associations, la représentante du ministère de l’intérieur s’est contentée d’affirmer que cet outil leur était désormais bien utile car la police était devenue une « cible » qui « excite les manifestants ». Les débats ont ainsi révélé que l’objectif du ministère n’était pas seulement de protéger la population ou de suppléer à un manque d’effectif mais, particulièrement pendant les manifestations, de protéger la police des manifestant·es.

    Le ministère a refusé toute considération sur les libertés, considérant qu’il s’agissait d’une innovation technologique sans gravité particulière par rapport à la vidéosurveillance, nécessaire par rapport au risque terroriste, et qu’on avait heureusement évolué par rapport « aux épées du Moyen-Âge ». Un tel raisonnement passe-partout lui permettra de justifier de toute invention technologique, peu importe les finalités et les conséquences sur nos libertés.

    Autre point : le décret reconnaît que les drones pourront filmer l’intérieur des domiciles (ainsi que les entrées ou terrasses ou jardins). Alors qu’il s’agissait auparavant d’une limite infranchissable dans la surveillance, le ministère soutient au contraire qu’il se donne quarante-huit heures pour conserver ces images et les transmettre, si besoin, à l’autorité judiciaire.

    Notons que ce mépris du ministère pour le droit n’est pas nouveau. Cela fait plus de 3 ans que nous menons des contentieux contre l’usage des drones par la police, et cela fait plus de 3 ans que le ministère enchaîne les contre-vérités et les approximations devant les juridictions. Il aura fallu deux décisions du Conseil d’État en 2020 et une sanction de la CNIL début 2021 pour les forcer à s’arrêter une première fois – avant que la loi ne vienne les légaliser. Et encore, déjà à l’époque le ministère de l’intérieur ne montrait que du mépris envers les institutions qui le contraignaient : en mai 2020, il inventait une doctrine d’emploi pour tenter d’échapper à la sanction ; à l’été 2020, la préfecture de police de Paris sortait de son chapeau un dispositif de floutage désactivable à souhait ; en 2021, la CNIL justifiait la sanction (décision la plus forte que la CNIL peut prendre) du ministère de l’intérieur par le fait que ce dernier avait annoncé qu’il ne respecterait pas une éventuelle mise en demeure ou avertissement.

    La surveillance de l’espace public en surchauffe

    Cette surchauffe se fait sur deux lignes parallèles. L’une d’entre elle concerne la multiplication et l’extension des moyens de captation. Caméras de vidéosurveillance fixes, caméras-piétons, caméras sur les véhicules, caméras dans les halls d’immeubles, hélicoptères de surveillance, drones de surveillance. Depuis 1995, cette extension est exponentielle. De l’autre côté, c’est l’utilisation des images captées qui est démultipliée : mutualisation des flux, vidéosurveillance augmentée, reconnaissance faciale

    Il devient d’ailleurs difficile de tenir le compte des lois et règlements sur le sujet, entre loi Sécurité Globale en 2021, loi Responsabilité pénale et sécurité intérieure et loi d’orientation et de programmation du ministère de l’intérieur en 2022, loi Jeux olympiques en 2023, et on en oublie sûrement. Le Sénat prépare d’ailleurs déjà la prochaine étape, avec une proposition de loi sur la surveillance biométrique. Le ministère de l’intérieur a par ailleurs annoncé à l’audience qu’un décret encadrant l’usage des drones en police judiciaire (soit pour la recherche d’auteurs d’infractions) était dans les tiroirs.

    Toujours plus inquiétant : les préfets et le ministère ne se satisfont déjà plus des drones. Dans les échanges lors de l’audience ou pendant la procédure écrite (comme l’a soulevé Mediapart), le ministère fait déjà part de ses velléités pour le futur : drones équipés de lampes puissantes, pilotes de drones à moto, et drones équipés de dispositifs de produits de marquage codés (spray ou billes tirées à partir de fusils à air comprimé permettant de marquer certains individus lors de manifestations). Où s’arrêtera le ministère de l’Intérieur ?

    Nous espérons que le Conseil d’État mettra un coup d’arrêt à cette intensification sans précédent de la surveillance de l’espace public.

    ]]>
    EN GAV, t’es fiché·e – ÉPISODE 2 : les empreinteshttps://www.laquadrature.net/?p=20535http://isyteck.com/autoblog/quadrature/index.php5?20230512_114200_EN_GAV__t___es_fiche__e_____EPISODE_2____les_empreintesFri, 12 May 2023 09:42:00 +0000Après avoir dressé le bilan des évolutions juridiques concernant l’accès aux téléphones en garde à vue, nous revenons dans ce nouveau volet sur l’inscription généralisée des personnes arrêtées au fichier automatisé des empreintes digitales – ou FAED.

    La prise d’empreintes relève d’un vieux et sombre rêve de la fin du XIXe siècle de classification, catégorisation et identification de la population criminelle d’après ses caractéristiques physiques. À l’époque du bertillonnage – du nom du criminologue qui a créé l’anthropométrie judiciaire -, les empreintes étaient relevées sur fiches cartonnées. Désormais, les justiciables se voient prendre leurs empreintes digitales et palmaires sur scanner, de gré ou de force.

    Que dit la loi ?

    Les empreintes digitales et palmaires font systématiquement l’objet d’un relevé signalétique par les policiers lors d’une garde à vue (GAV), puisque, en application de l’article 55-1 du code de procédure pénale, il suffit d’être suspecté d’un délit ou d’un crime pour y avoir droit. Dans ce cadre, la prise de la photographie fait également partie de la signalétique et est versée au fichier des antécédents judiciaires (TAJ) qui sert actuellement de tremplin à la reconnaissance faciale en France. Ce sera l’objet d’un prochain article.

    Au 1er janvier 2020, 6,7 millions de personnes étaient enregistrées au FAED. Mais la police nationale annonce détenir seulement 6,5 millions de profils à la fin de l’année 2022. Peut-on croire les chiffres de la police et imaginer qu’un nettoyage des fichiers ait été effectué ? Difficile à imaginer : en septembre 2021, la CNIL sanctionnait le ministère de l’Intérieur après avoir constaté que des données non prévues par la loi y étaient conservées et que l’obligation d’effacement des données en cas d’absence de poursuites était peu respectée, tout comme la durée de conservation des données, qui excédait les limites légales.

    De plus, une nouvelle disposition législative a certainement contribué à gonfler les chiffres : la loi du 24 janvier 2022, dite « sécurité intérieure », a en effet introduit la possibilité, en cas de refus de la personne gardée à vue, et s’il s’agit de l’unique moyen de l’identifier, de prendre ses empreintes sans son consentement, ou autrement dit, de force. Cette prise forcée d’empreintes concerne à la fois les adultes et les mineur·es (article 55-1 alinéa 5 du code de procédure pénale et article L413-17 du code de justice pénale des mineurs). Le Conseil constitutionnel a récemment précisé les conditions de cette prise forcée des empreintes dans sa décision n° 2022-1034 QPC du 10 février 2023.

    Pour être légale, elle doit remplir l’ensemble de ces conditions : que la personne concernée soit suspectée d’avoir commis un délit puni d’au moins trois ans d’emprisonnement (cinq pour les mineurs), qu’aucun autre moyen ne permette de justifier de l’identité de la personne, avoir l’autorisation écrite du Procureur de la République, que l’avocat·e soit présent, et que la contrainte soit strictement nécessaire et proportionnée (en tenant compte, théoriquement, de la vulnérabilité de la personne ainsi que de la situation particulière du ou de la mineur·e). Aussi, le Conseil constitutionnel a finalement exclu l’audition libre1L’ audition libre est un régime plus léger que la garde à vue pour entendre une personne suspectée d’avoir commis une infraction. Celle-ci ne doit pas avoir été emmenée sous la contrainte, et peut quitter les lieux à tout instant. du champ des situations où la prise d’empreintes de force est autorisée, ne laissant cette opération possible « que » pendant les gardes à vue. La prise d’empreintes a enfin été modifiée par la LOPMI qui a discrètement donné une base juridique à la comparaison, au moment de leur inscription, des empreintes et des photographies avec les fichiers existants (pratique qui avait déjà cours). Pour rappel, ces données biométriques sont ensuite conservées au FAED entre 15 à 25 ans selon l’infraction (pour laquelle, à ce stade, la personne n’a même pas été encore jugée).

    La France condamnée par la CEDH

    La Cour européenne des droits de l’homme (CEDH) a considéré en 2013, dans l’arrêt M.K. contre France, que cette durée de conservation des empreintes digitales par l’État français était excessive et constituait une violation du droit au respect de la vie privée, alors même que la personne était uniquement suspectée d’avoir commis un délit et n’avait pas été condamnée. Cependant, les possibilités effectives de consultation, de rectification et d’effacement de ces données au FAED sont traditionnellement considérées comme des garanties suffisantes.

    Malgré cette condamnation, cela n’a pas empêché la France de continuer son fichage massif des empreintes digitales. En 2019, elle a reconnu elle-même dans une déclaration publique la violation de l’article 8 de la Convention Européenne des Droits de l’Homme (droit à la vie privée) à l’occasion de la collecte des empreintes et de l’ADN de plusieurs personnes condamnées au pénal pour refus d’inscription au FAED ou à son fichier équivalent pour l’ADN, le FNAEG, alors que ces personnes avaient saisi la CEDH. Mais cette déclaration unilatérale, assortie d’indemnisations, a opportunément et malgré la volonté des requérant·es, mis fin aux recours devant la Cour européenne, qui ne jugera donc jamais cette affaire.

    Un récent arrêt d’une autre Cour européenne, la Cour de justice de l’Union européenne (CJUE), pourrait mettre des bâtons dans les roues des politiques de fichage en France. Cette décision du 26 janvier 2023 porte sur le système bulgare de prise d’empreintes en garde à vue. Et le jugement de la Cour est très intéressant : il réaffirme que la collecte systématique de données biométriques est contraire au droit de l’Union, auquel la France est soumise.

    En pratique : des violences au service du fichage

    Cette nouvelle législation inquiétante sur la prise d’empreintes de force a, sans surprise, occasionné des dérives majeures. Dès les premiers mois après son entrée en vigueur, on pouvait lire le témoignage glaçant d’une personne frappée et tasée en garde à vue. Plus récemment, c’est notamment au cours des très nombreux placements en garde à vue dans le cadre des protestations contre la réforme des retraites que cette pratique a refait surface. Ainsi, la bâtonnière du barreau de Rennes, Catherine Glon, a suspendu les désignations d’avocat·es d’office pour ces procédures, refusant que la présence de l’avocat·e, nécessaire pour la prise d’empreintes sous contrainte, ne serve de caution à une disposition « profondément attentatoire aux libertés individuelles et à la vie privée ». La bâtonnière a été soutenue sans réserve par la conférence des bâtonnier·es qui a dénoncé le recours systématique à ce fichage forcé.

    Dans les commissariats, la menace du recours à la force est couramment employée à l’encontre des personnes gardées à vue afin de leur faire accepter le fichage au FAED, y compris pour les personnes qui portent sur elles des papiers d’identité et sont donc censées échapper à la contrainte.

    Mais au-delà des menaces et des intimidations, des violences physiques ont également été constatées, particulièrement à Paris. Hanna Rajbenbach, membre elle aussi du collectif d’avocat·es à l’origine du dépôt d’une centaine de plaintes concernant les GAV arbitraires en atteste : « Il y a des violences tout à fait illégitimes exercées : des personnes ont été par exemples tasées ou se sont retrouvées la tête écrasée au sol en vue de procéder au relevé de leurs empreintes digitales.» D’autres témoignages de manifestant·es à ce sujet ont été rapportés par RadioParleur dans une émission du 6 mars dernier. Ces violences font actuellement l’objet d’une saisine auprès du Défenseur des Droits, à l’initiative de plusieurs avocat·es qui pointent la responsabilité du parquet. Ainsi l’État est prêt à brutaliser, à taser et à faire usage de ce qui est somme toute une forme de torture sur des personnes en garde à vue pour s’assurer que celles-ci seront fichées.

    Des procédures d’effacement existent : en cas de non-lieu, relaxe ou classement sans suite, cet effacement est en principe acquis (et doit d’ailleurs, en théorie, être effectué d’office par le responsable de traitement). Il est envisageable de le demander dans d’autres cas. La demande d’accès aux données s’effectue auprès du ministère de l’Intérieur et la demande de suppression auprès du procureur de la République. Si besoin, le guide « La folle volonté de tout contrôler » produit par la caisse de solidarité de Lyon propose des lettres types pour accompagner les demandes d’effacement (mise à jour à venir !).

    Dans les tribunaux, les réquisitions des procureur·es ne s’embarrassent en tout cas souvent pas de pédagogie quant aux finalités de ce fichage systématique : au-delà des dispositions légales contraignantes, inscrire des personnes aux fichiers se justifie « par la nécessité d’alimentation du fichier ». CQFD.

    References

    References
    1 L’ audition libre est un régime plus léger que la garde à vue pour entendre une personne suspectée d’avoir commis une infraction. Celle-ci ne doit pas avoir été emmenée sous la contrainte, et peut quitter les lieux à tout instant.
    ]]>
    Tout le monde déteste les droneshttps://www.laquadrature.net/?p=20524http://isyteck.com/autoblog/quadrature/index.php5?20230510_143701_Tout_le_monde_deteste_les_dronesWed, 10 May 2023 12:37:01 +0000Un an après la légalisation des drones par la loi de « sécurité Intérieure », le gouvernement a publié le 19 avril dernier le décret tant attendu par la police pour faire décoller ses appareils. Aux côtés d’autres associations, nous attaquons ce texte devant le Conseil d’État afin de dénoncer les atteintes aux libertés que portent en eux les drones et continuer de marteler le refus de ces dispositifs qui nourrissent un projet de surveillance de masse toujours plus décomplexé.

    Une longue bataille

    Rappelez vous, c’était pendant le confinement, en 2020. Les polices de France déployaient alors dans le ciel des drones pour contrôler les rues et ordonner aux personnes de rentrer chez elles. Avec la Ligue des droits de l’Homme, nous nous lancions dans un recours devant le Conseil d’État, qui a abouti à leur interdiction à Paris. Si cet épisode a marqué le début de la visibilité des drones aux yeux de tous·tes, ces engins de surveillance étaient en réalité loin d’être nouveaux. On en observait dès 2007 pour surveiller les banlieues, aux frontières mais aussi dès 2016 en manifestation, notamment dans la contestation contre la loi Travail. Provenant de l’industrie militaire en recherche de débouchés pour rentabiliser ses recherches 1Voir Cities under siege -The new military urbanism, Stephen Graham, accessible ici, les drones se sont petit à petit installés dans les pratiques policières, à coup d’appels d’offres astronomiques et de batailles juridiques.

    En effet, les velléités répétées et affichées des autorités pour utiliser ces drones ont été entravées par un certain nombre d’embûches. Malgré la décision du Conseil d’État, la préfecture de police de Paris a continué ostensiblement à les déployer en manifestation au cours de l’année 2020. Pourtant, il n’existait aucun cadre juridique à ce moment-là, ce qui signifiait que toute captation d’images par ces drones était illégale. Nous sommes alors retourné contester leur légalité et avons obtenu une nouvelle victoire, suivie d’une sanction de la CNIL auprès du ministère de l’Intérieur.

    Dans une impasse, le gouvernement a choisi la sortie facile : faire adopter une loi qui donnerait un cadre légal aux drones. En toute logique, il a choisi pour cela la loi Sécurité globale, proposition de loi issue de la majorité LaREM à l’objectif assumé de généralisation de la surveillance de l’espace public. Mais au moment où le gouvernement allait arriver à ses fins, le Conseil constitutionnel a mis un nouvel obstacle sur sa route en censurant l’article sur les drones, estimant le cadre trop large et les garanties trop minces. Ce n’est donc qu’après avoir revu sa copie que le gouvernement a finalement réussi à obtenir leur autorisation au travers de la loi « responsabilité pénale et sécurité intérieure », adoptée fin 2021 et dont nous parlions ici. Le nouveau chapitre qu’il crée dans le code de la sécurité intérieure autorise la police à recourir aux drones pour un éventail très large de situations : manifestations et rassemblements jugés comme « susceptibles d’entraîner des troubles graves à l’ordre public », aux abords de lieux ou bâtiments « particulièrement exposés à des risques de commission de certaines infractions » ou encore dans les transports ou aux frontières.

    Un déploiement qui ne s’est pas fait attendre

    Le décret d’application récemment publié était donc attendu depuis l’année dernière, en ce qu’il précise les conditions d’utilisation et lance ainsi formellement le top départ de la surveillance volante (ou « aéroportée » comme on dit dans le jargon militaro-policier). Dans le cadre d’une procédure de référé (c’est-à-dire une procédure d’urgence), l’Association de Défense des Libertés Constitutionnelles (ADELICO) a attaqué ce texte pour dénoncer la violation des droits qu’entraîne cette surveillance. Nous nous sommes joint·es à cette affaire en déposant vendredi dernier un mémoire en intervention, afin de compléter les arguments de l’ADELICO en soulevant également la violation du droit de l’Union européenne qu’entraîne l’utilisation disproportionnée de ces dispositifs (vous pouvez le lire ici).

    Car ce décret ne fait qu’aggraver le cadre général extrêmement permissif des drones. En effet, la loi laisse les mains libres à la police pour décider elle-même quels évènements doivent être surveillés, avec en première ligne les manifestations. Ainsi, il revient au préfet de justifier seul de la nécessité de l’utilisation des drones et, dans le cadre de rassemblements, de démontrer notamment qu’il est « susceptible d’entraîner des troubles graves à l’ordre public » pour avoir recours à cette surveillance. Or, nous l’avons observé de près ces dernières semaines, l’inventivité des préfets est sans borne dès qu’il s’agit de construire des récits et de présupposer des risques à la sécurité afin d’interdire des manifestations ou des casseroles. Néanmoins, un premier recours victorieux a réussi à les clouer au sol à Rouen le 5 mai, le tribunal administratif jugeant leur emploi non nécessaire.La perspective de devoir systématiquement, à chaque fois qu’on voudra manifester, déposer un recours contre les arrêtés préfectoraux d’interdiction, a quelque chose d’épuisant et de décourageant par avance qui avantage évidemment la position du pouvoir et de l’ordre policier.

    Empêcher la banalisation

    L’arrivée des drones dans l’arsenal policier a de quoi inquiéter : ce dispositif de surveillance ultime, qui se déplace, suit et traque, arrive dans un contexte de très importante répression des mouvements sociaux. Les premières utilisations qui ont suivi la publication du décret démontrent la volonté des préfets de les utiliser à tout va et de les installer dans l’imaginaire collectif. Que ce soit à Mayotte, aux rassemblements des Soulèvements de la Terre dans le Tarn ou à Rouen, lors des manifestations du 1er mai ou pour la finale de la Coupe de France, dès que la foule se rassemble, les drones devraient être là pour surveiller. De façon attendue, ces drones seront également utilisés en priorité dans les quartiers populaires, comme à Nice où la préfecture a annoncé y avoir recours pour « lutter contre le trafic de drogues » avant que l’on apprenne dans dans l’arrêté concerné que cela serait pour une durée de trois mois ! Cette même préfecture des Alpes-Maritimes s’est également empressé de les faire autoriser pour surveiller la frontière franco-italienne. Comme pour les caméras et leurs algorithmes, le but est d’alimenter la croyance que la sécurité passera par la surveillance, sans chercher une quelconque solution alternative qui ne serait pas répressive.

    De plus, le décret prévoit que les images captées par drone pourront être conservées sept jours notamment pour être utilisées lors d’enquêtes judiciaires. Nous craignons qu’à partir de ce moment-là les interdictions de recoupements avec des fichiers, prévues uniquement pour la police administrative, ne s’appliquent plus. Ces flux vidéo pourraient alors être utilisés pour faire de l’identification de personnes, notamment à travers le fichier TAJ qui permet aujourd’hui aux policiers d’avoir recours massivement à la reconnaissance faciale, en moyenne, 1600 fois par jours.

    L’arrivée des drones s’inscrit dans une logique délibérée de banalisation toujours plus importante de la surveillance de l’espace public, un mois après l’adoption de la loi JO. Si l’opposition contre ces dispositifs est heureusement bien présente, ce nouveau texte affaiblit considérablement le niveau de protection des libertés. Leur défense est ainsi laissée aux associations et militant·es qui devront, pour chaque autorisation préfectorale, contester en urgence leur caractère abusif et infondé devant un juge.

    L’audience de cette affaire aura lieu le 16 mai et nous espérons que le Conseil d’État prendra au sérieux les arguments avancés par les associations, à l’heure où la France a troqué sa place de pays défenseur des droits humains pour celle de leader européen de la surveillance.

    Nous vous tiendrons au courant de la décision et de la suite combat contre les drones. Et si vous voulez nous aider dans cette lutte, n’hésitez pas à faire un don si vous le pouvez !

    Mise à jour du 12 mai 2023 : en réponse à la défense du ministre de l’intérieur, nous venons d’envoyer un mémoire en réplique que vous trouverez ici.

    References

    References
    1 Voir Cities under siege -The new military urbanism, Stephen Graham, accessible ici
    ]]>
    En GAV, t’es fiché·e !https://www.laquadrature.net/?p=20482http://isyteck.com/autoblog/quadrature/index.php5?20230428_124105_En_GAV__t___es_fiche__e___Fri, 28 Apr 2023 10:41:05 +0000ÉPISODE 1 : le smartphone

    Le mouvement contre la réforme des retraites, qui n’en finit pas de ne pas finir, s’est heurté au maintien de l’ordre « à la française». Violences policières et placements massifs de personnes en garde à vue (GAV) ont suscité les inquiétudes du Conseil de l’ordre du barreau de Paris, de la Défenseure des Droits, et ont entrainé le dépôt d’une centaine de plaintes par un collectif d’avocat·es parisien·nes. Sans parler des inquiétudes internationales quant au respect du droit de manifester en France.

    Un nombre croissant de personnes font l’expérience de la garde à vue et de son corollaire: la collecte massive d’un certain nombre de données personnelles. Code de téléphone, ADN, photographie et empreintes : un passage en GAV laisse des traces difficiles à effacer. Alors que le ministère de l’intérieur compte investir dans des capteurs nomades biométriques qui permettront, en vue des JO 2024, le relevé de photos et d’empreintes « en bord de route », nous revenons dans une série d’articles sur le fichage galopant en France, son cadre juridique et les pratiques policières en la matière, qui se développent parfois en toute illégalité.

    Cet article, le premier de la série, revient sur les données collectées en GAV par la police sur nos téléphones portables.

    Les témoignages de personnes placées en garde à vue relatent que, quasi systématiquement, la police exige la divulgation du code de déverrouillage de téléphone, sous peine d’être sanctionné·e ou de se voir confisquer son appareil. Pourtant, ce n’est pas ce que prévoit la loi, qui a connu plusieurs interprétations et est le plus souvent instrumentalisée pour faire pression sur les personnes arrêtées.

    Que dit la loi ?

    Les dispositions légales qui entourent la demande du code de déverrouillage d’un téléphone proviennent initialement de lois assez anciennes, adoptées dans la foulée du 11 septembre 20011loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne et prévues principalement dans le cadre de l’anti-terrorisme.

    À l’origine, ce texte avait pour esprit de pénaliser le fait de ne pas remettre le mot de passe d’un appareil susceptible d’avoir facilité la commission d’un crime ou délit. On est alors dans les années 2000 et on parle de « convention secrète de déchiffrement » et de « moyen de cryptologie ». Le texte prévoit aussi une peine alourdie si la remise de cette clé aurait pu permettre d’éviter la commission dudit délit. Un petit air de Jack Bauer dans 24H Chrono : tous les moyens doivent être mis en œuvre pour récupérer des informations qui permettraient d’éviter un drame. La garde des Sceaux de l’époque précisait d’ailleurs que ce dispositif s’inscrivait dans la « lutte contre l’usage frauduleux de moyens de cryptologie qui interviennent dans la commission d’infractions particulièrement graves liées, on l’a vu, à des actes de terrorisme ou de grande criminalité ». 2Marylise Lebranchu, Sénat, séance du 17 octobre 2001, citée dans le commentaire autorisé de la décision du Conseil constitutionnel sur ces dispositions..

    Alors que ces dispositions légales n’étaient quasiment pas mobilisées par les procureurs, elles sont remises au goût du jour en 2016 par la loi qui succède aux attentats de novembre 2015 en France et renforce la lutte contre la criminalité organisée et le terrorisme (loi n° 2016-731 du 3 juin 2016). C’est cette loi qui permet aujourd’hui à un officier de police judiciaire (OPJ) de solliciter le code de déverrouillage d’un téléphone lors d’une garde à vue. Elle pénalise donc le refus de remettre « la convention secrète de déchiffrement d’un moyen de cryptologie » lorsqu’un appareil est « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit » (434-15-2 du code pénal).

    La loi de 2016 ne fait en réalité qu’aggraver la peine pour non remise d’une convention de chiffrement, mais ne se prononce pas sur le périmètres des délits concernés. C’est d’ailleurs bien ce qui a permis aux parquets de détourner ce dispositif, présenté au départ pour la lutte contre le terrorisme, et de l’utiliser dans tout un tas de situations. En pratique, l’existence d’un simple « groupement en vue de la préparation » d’un délit, infraction introduite en 2010, punie d’un an de prison et très fréquemment utilisée pour justifier l’arrestation de manifestant·es, suffit désormais à ce que la police puisse demander à accéder au téléphone en GAV.

    Ainsi, suivant un schéma désormais tristement connu, le champ des procédures d’exception justifiées par la lutte contre le terrorisme s’élargit et finit par concerner une grande partie de la population. On se souvient ainsi de la loi SILT de 2017 qui était venue intégrer certaines dispositions de l’état d’urgence dans le droit antiterroriste : perquisitions administratives, mesures individuelles de contrôle administratif et de surveillance (MICAS), fermeture de lieux de culte et instauration de périmètres de protection… Mais l’atteinte aux droits et libertés fondamentales inhérente à l’antiterrorisme a vite fait de s’étendre à d’autres situations: c’est sur cette notion de « périmètre de protection » que se basent actuellement de nombreux arrêtés préfectoraux pour interdire les manifestations à l’occasion de la visite d’un ministre ou du président.

    L’état actuel de la loi aboutit donc à ce que presque n’importe qui, retenu en garde à vue, puisse se voir demander le code de son téléphone dès lors qu’existe le soupçon d’un lien potentiel entre cet appareil et une éventuelle commission d’infraction. Et si la personne refuse, elle commet une nouvelle infraction qui permet de la poursuivre indépendamment des premiers faits délictueux qui lui étaient reprochés.

    Une jurisprudence défavorable

    Ces différents textes ont donné lieu à plusieurs interprétations par les juges. Mais la jurisprudence n’a pas davantage protégé les droits des personnes et certaines décisions ont, au contraire, donné un nouveau tour de vis sécuritaire à la possibilité d’accéder au contenu des téléphones.

    En 2018, le Conseil constitutionnel a été saisi d’une question prioritaire de constitutionnalité (QPC) et La Quadrature était intervenue au soutien dans cette affaire. Nous avions défendu la nécessaire censure de cette obligation de livrer ses clefs de chiffrement, au motif notamment que cette mesure est attentatoire au droit fondamental de chacun·e à ne pas s’auto-incriminer et au droit à la vie privée.

    En vain, puisque le Conseil constitutionnel a considéré que le droit au silence et le droit ne pas s’auto-incriminer n’entraient pas en contradiction avec la pénalisation du refus de communiquer son code. Le tour de passe-passe du Conseil constitutionnel consistait à dire que le droit à ne pas s’auto-incriminer ne pouvait être atteint puisque les données étaient déjà entre les mains de la police au moment où la convention secrète de chiffrement est exigée, même si la police ne détenait qu’une forme illisible – car chiffrée – des données.

    Quant à la définition de l’« autorité judiciaire » censée requérir la remise du code, la Cour de cassation a décidé en mars 2021 qu’un simple officier de police judiciaire était habilité, sous le contrôle du procureur, à le faire.3Pour mémoire, un OPJ est habilité à différents actes de procédure et d’enquête et décide notamment du placement en garde à vue : il se distingue en ce sens d’un agent de police judiciaire (APJ), qui lui n’a pas le droit de vous demander votre code de téléphone. Ce sont les OPJ qui mènent les gardes à vue, en relation avec le procureur et sous son autorité, leur qualité est notamment visible sur les procès verbaux des différents actes de la procédure. Concernant le code de téléphone, une simple réquisition de l’OPJ semble donc suffire d’après la Cour de cassation. Cette même Cour avait par contre estimé que le juge aurait dû vérifier que le téléphone du prévenu était bien équipé d’un moyen de cryptologie.

    Un flou subsistait également quant à l’interprétation retenue par les tribunaux de ce qui constitue une « convention secrète de déchiffrement d’un moyen de cryptologie » : le code de déverrouillage d’un téléphone est-il réellement concerné par ces dispositions ? En effet, techniquement, le code de téléphone n’opère pas une mise en clair de données qui seraient chiffrées au préalable mais permet juste un accès au téléphone et à son contenu, qui peut n’avoir jamais été chiffré. Saisie de cette question, la Cour de cassation a rendu le 7 novembre 2022 une décision clairement défavorable en considérant qu’« une convention de déchiffrement s’entend de tout moyen logiciel ou de toute autre information permettant la mise au clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission ». Cette conception extensive empiète nécessairement sur le droit des personnes à la protection de leurs données personnelles.

    Plusieurs cas de figure n’ont à notre connaissance pas encore été tranchés : qu’en est-il d’un oubli de code dans les conditions stressantes de la GAV ou d’une défaillance du système d’exploitation ?

    Un espoir au niveau européen?

    La Cour de justice de l’Union européenne (CJUE) est actuellement saisie d’une affaire concernant l’accès au téléphone d’une personne placée en garde à vue4Affaire C-548/21, Bezirkshauptmannschaft Landeck. Cette affaire concerne une tentative d’exploitation d’un téléphone sans l’accord de son détenteur. La CJUE doit donc dire si l’atteinte au droit à la vie privée et à la protection des données personnelles (droits fondamentaux respectivement protégés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne) est proportionnelle à l’objectif poursuivi.

    Malheureusement, l’avocat général, magistrat chargé de proposer à la Cour une décision, a estimé qu’un tel accès au téléphone devrait être relativement large et ne devrait pas être restreint aux faits de criminalité grave. La CJUE n’est pas obligée de suivre les conclusions de son avocat général, mais si elle le faisait elle mettrait gravement à mal les droits fondamentaux, en autorisant l’exploitation des téléphones peu importe la gravité des faits reprochés . Pire, l’avocat général montre une certaine naïveté lorsqu’il se contente de renvoyer à un contrôle au cas par cas de la nécessité d’exploiter un téléphone : on sait très bien que ces mécanismes de contrôles ne fonctionnent pas, par exemple en matière de vidéosurveillance où les préfets sont censés en théorie contrôler les autorisations alors qu’en pratique leur déploiement est massif.

    Cette affaire est pourtant l’occasion pour la CJUE, en s’inspirant de sa jurisprudence sur les données de connexion, de poser un cadre exigeant, en limitant au strict nécessaire l’accès à des données qui, étant donné le rôle d’un téléphone aujourd’hui qui devient presque un avatar numérique, révèlent nécessairement l’intimité des personnes. Gageons qu’elle ne suivra pas son avocat général et qu’elle ne cédera pas aux appels des États membres à donner plus de pouvoirs à la police.

    En pratique, atteintes à la vie privée et « confiscations sanctions » à Paris

    En attendant, côté manifestant·es, le code de déverrouillage du téléphone est quasi systématiquement demandé lors des GAV et il n’est pas rare que les OPJ brandissent la menace d’une mise sous scellé de l’appareil pour une tentative d’exploitation qui mettra des mois ou n’aboutira jamais.

    En pratique, de nombreux commissariats se sont vus doter ces dernières années de dispositifs d’aspiration des données d’un téléphone : Cellebrite, société informatique israélienne, a ainsi commercialisé des UFED (pour Universal Forensics Extraction Device, ou « kiosk »), petits dispositifs qui se branchent par USB sur un téléphone pour en copier le contenu. Cellebrite annonce que leur technologie est capable de contourner le chiffrement d’un téléphone. En pratique, on est bien loin du compte et ces kiosks semblent surtout utiles pour copier les données auxquelles le ou la propriétaire du téléphone a donné accès. 

    Ainsi, lorsqu’une personne déverrouille son téléphone, seront utilisées pour la procédure toutes les informations que les policiers pourront trouver : messages dans des applications de messagerie (du type Signal, Telegram, WhatsApp, Messenger, etc.), photos, vidéos, identifiants et contenus de réseaux sociaux, messages SMS, etc. Et la liste n’est pas exhaustive. Des photos et des extraits de conversations pourront alimenter un profil à charge, motiver des peines d’interdiction de manifester ou ouvrir la voie à des poursuites pour d’autres faits. On est déjà bien loin de l’enquête sur des faits de préparation ou de facilitation d’un délit grâce à un téléphone, tel que le prévoit la loi. 

    En effet, alors que l’exploitation d’un téléphone n’est en théorie possible que lorsqu’un faisceau d’indices montre qu’il aurait servi à commettre une infraction, en pratique cette condition n’est pas réellement respectée dans les commissariats : la présomption est généralisée et toute personne en GAV verra sont téléphone exploité sans qu’aucun indice ne démontre qu’il aurait servi à préparer ou commettre un délit. Coline Bouillon, avocate au barreau de Créteil ayant participé au dépôt de plainte collectif pour gardes à vue arbitraires, nous a confirmé cette pratique : « Le recours à ce procédé hautement intrusif est devenu monnaie courante, et ce même dans les cas où l’infraction poursuivie ne peut être établie par le contenu d’un téléphone. Bien souvent, les services de police font face à des dossiers vides qu’ils essaient de nourrir par l’exploitation du téléphone de la personne gardée à vue. » Elle pointe aussi l’objectif de renseignement inhérent à la demande de consultation du téléphone : « Cette infraction sert autant à condamner des militants qu’à nourrir des fichiers de police ». Les contacts contenus dans les téléphones pourraient ainsi servir à tracer des arborescences d’un milieu militant (le graphe social), toujours intéressantes pour le renseignement.

    Dans le paysage français, le parquet de Paris semble particulièrement zélé. Actuellement, en cas de refus de communiquer les codes, deux procédures sont utilisées aux fins de confiscation des appareils : le classement pénal sous conditions, et l’avertissement pénal probatoire (le cousin éloigné du défunt « rappel à la loi ») par lesquels il est demandé aux personnes de « se déssaisir de leur téléphone au profit de l’Etat». Jusqu’à l’absurde, puisqu’un manifestant a récemment reçu un avertissement pénal probatoire pour avoir refusé de donner le code d’un téléphone… qu’il ne possédait pas.

    Le procureur peut également demander à l’audience la confiscation du téléphone en cas de refus de communication du code de déverrouillage (voir ce compte-rendu d’audience du procès de Camille, libraire). Autant de confiscations à la limite du droit : à Paris, plusieurs personnes se sont par exemple vues saisir leur téléphone professionnel dans le cadre d’arrestations arbitraires. Coline Bouillon alerte sur ces « confiscations sanctions” quasi systématiques » et souligne le fait que la justice décide parfois de poursuivre des personnes uniquement pour le refus de donner son code de téléphone, alors même que l’infraction initiale qui a justifié le placement en garde à vue est tombée.

    Nous avons également recueilli le témoignage d’un manifestant qui, à l’occasion d’un piquet de grève d’éboueurs à Aubervilliers, le 31 mars dernier, a été obligé, de même que toutes les personnes présentes, à donner aux policiers, non seulement son identité, mais également accès à son téléphone portable pour que les fonctionnaires récupèrent le numéro IMEI (l’identifiant physique du téléphone, consultable en tapant *#06#). Ces pratiques hors de tout cadre légal suscitent de nombreuses questions : les données prélevées sont-elles stockées quelque part? Quel(s) fichier(s) contribuent-elles à enrichir? Qui y a accès? En 2019, déjà, Le Monde avait documenté une pratique similaire à l’occasion des mouvements de Gilets Jaunes, cette fois-ci par la prise en photo des cartes d’identité des manifestant·es.

    Ces pratiques sont le reflet d’une politique pénale du parquet pour le moins agressive à l’encontre des personnes gardées à vue : à la privation de liberté qui s’apparente déjà à une sanction s’ajoute la confiscation du téléphone. Il s’agit clairement d’un dévoiement des textes existants, qui s’inscrit dans une politique générale plus large, à la fois de collecte de renseignements mais aussi de dissuasion des manifestant·es.

    Cet état des lieux des pratiques policières et de la protection peu cohérente qui a été accordée par la jurisprudence n’est guère réjouissant. Face à ces pratiques abusives, la meilleure protection des données à ce jour semble encore de ne pas emmener son téléphone en manifestation. Des brochures et guides fleurissent également pour protéger au mieux ses données et informations en contexte militant et la legal team de Paris avait par exemple, en mai 2021, publié un article conséquent à ce sujet et proposé des conseils toujours pertinents. Enfin, certaines applications, comme Wasted ou Duress, permettent de configurer son téléphone pour effectuer un effacement de données en urgence, en activant une appli factice, en tapant un code spécifique ou simplement en réaction à la connexion d’un cable USB au téléphone alors qu’il est verrouillé.

    Quoiqu’il en soit, la lutte pour la protection des données n’est pas terminée et le refus de dévoiler son code de téléphone est un choix qui se plaide dans les tribunaux.

    References

    References
    1 loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne
    2 Marylise Lebranchu, Sénat, séance du 17 octobre 2001, citée dans le commentaire autorisé de la décision du Conseil constitutionnel sur ces dispositions..
    3 Pour mémoire, un OPJ est habilité à différents actes de procédure et d’enquête et décide notamment du placement en garde à vue : il se distingue en ce sens d’un agent de police judiciaire (APJ), qui lui n’a pas le droit de vous demander votre code de téléphone.
    4 Affaire C-548/21, Bezirkshauptmannschaft Landeck
    ]]>
    Loi JO 2024 : Passage de flambeau au Conseil constitutionnelhttps://www.laquadrature.net/?p=20468http://isyteck.com/autoblog/quadrature/index.php5?20230424_140300_Loi_JO_2024____Passage_de_flambeau_au_Conseil_constitutionnelMon, 24 Apr 2023 12:03:00 +0000 Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 24 avril 2023.

    La loi sur les Jeux olympiques a été définitivement adoptée le 12 avril. Dans la foulée, des député·es de l’opposition ont saisi le Conseil constitutionnel. L’Observatoire des Libertés et du Numérique (OLN) a adressé ses observations dans un mémoire (accessible ici), invitant le Conseil constitutionnel à censurer les articles portant sur la vidéosurveillance algorithmique (article 7), les scanners corporels (article 11) et l’infraction d’intrusion dans les stades (article 12).

    Après avoir mené le combat contre la vidéosurveillance algorithmique (VSA) au Parlement, l’OLN a réitéré ses critiques auprès du Conseil constitutionnel contre cette technologie de surveillance de masse, introduites pour la première fois en Europe à travers cette loi. Les dangers que la VSA fait peser sur les libertés découlent directement de la conception et du fonctionnement des logiciels de détection des comportements.

    Le mémoire débute par un exposé technique, qui se veut didactique, sur l’élaboration de systèmes algorithmiques. El est ensuite démontré que le recours à la VSA ne répond ni à la condition de nécessité ni à l’exigence de proportionnalité.

    D’une part, le gouvernement n’est pas parvenu à prouver de façon concrète et tangible une quelconque utilité ou efficacité de la VSA pour prévenir la délinquance, la criminalité ou les situations supposément risquées. D’autre part, les atteintes aux droits sont trop importantes par rapport à l’objectif poursuivi, les prétendues garanties prévues étant illusoires : celles-ci dépendent toutes du bon vouloir de l’État tandis que l’opacité de la fabrication des algorithmes par le secteur privé n’est jamais remise en question.

    Le flou des « évènements » censés être détectés par les algorithmes, qui ne sont jamais définis précisément dans la loi ni au cours des débats parlementaires, a été dénoncé. Ils ne seront précisés qu’ultérieurement par décret. La CNIL sera certes consultée mais son avis n’est pas contraignant. Surtout, il est difficile de compter sur cette institution tant elle s’est révélée défaillante sur le sujet notamment depuis qu’elle a perdu son rôle de contre-pouvoir.

    Une décision récente de la Cour constitutionnelle allemande a jugé inconstitutionnels des logiciels de police prédictive. Elle a considéré un traitement algorithmique problématique en ce qu’il crée et révèle de nouvelles informations plus intrusives sur les personnes. Le Conseil Constitutionnel a été invité à s’en inspirer.

    L’OLN a également soutenu l’inconstitutionnalité de l’article 11, qui met en place des scanners corporels attentatoires au droit à la vie privée, et de l’article 12, qui créé de nouvelles sanctions disproportionnées en cas d’intrusion dans des stades, et dont il est à craindre qu’elles visent principalement les actions militantes dans le prolongement d’autres dispositions législatives répressives.

    Le Conseil constitutionnel a maintenant un mois pour se prononcer. Sa jurisprudence passée, validant les dernières lois sécuritaires (loi sécurité intérieure, loi transposant le règlement de censure terroriste, LOPMI) ne laisse rien augurer de bon. Quoi qu’il en soit, les associations et organisations parties prenantes de l’OLN continueront d’agir contre chacune des expérimentations de la VSA et de dénoncer cette escalade vers un État de surveillance de plus en plus généralisé.

    Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, la Ligue des droits de l’Homme (LDH), Le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM), La Quadrature du Net (LQDN).

    ]]>
    Vidéosurveillance biométrique : derrière l’adoption du texte, la victoire d’un lobbyhttps://www.laquadrature.net/?p=20439http://isyteck.com/autoblog/quadrature/index.php5?20230405_120044_Videosurveillance_biometrique____derriere_l___adoption_du_texte__la_victoire_d___un_lobbyWed, 05 Apr 2023 10:00:44 +0000Derrière l’adoption la semaine dernière par l’Assemblée nationale du projet de loi sur les Jeux olympiques et son article 7 sur la vidéosurveillance biométrique, il y a aussi la victoire d’un lobby. Mêlant multinationales de la sécurité, start-up de l’intelligence artificielle et décideurs publics adeptes de la répression, ce lobby avance ses pions pour récupérer les parts d’un marché estimé à plusieurs milliards d’euros, bien loin de toute notion de transparence et de débat public.

    Cet article est réalisé dans le cadre d’un travail commun entre LQDN et l’Observatoire des multinationales.

    La semaine dernière, l’Assemblée nationale a adopté le projet de loi « relatif aux jeux Olympiques et Paralympiques de 2024 ». Déjà voté par le Sénat en janvier dernier, ce texte contient un article 7 qui autorise l’expérimentation de la vidéosurveillance automatisée sur le territoire français.

    Comme l’a rappelé La Quadrature du Net, cet article entérine un changement d’échelle sans précédent dans les capacités de surveillance et de répression de l’État et de sa police. La vidéosurveillance automatisée (VSA) est un outil de surveillance biométrique qui, à travers des algorithmes couplés aux caméras de surveillance, détecte, analyse et classe nos corps et comportements dans l’espace public pour alerter les services de police et faciliter le suivi des personnes.

    Après le déploiement ininterrompu des caméras de vidéosurveillance (dont le nombre exact n’est toujours pas connu), il s’agit d’une nouvelle étape dans la surveillance du territoire. Alors que la VSA est expérimentée depuis plusieurs années en toute illégalité, ce projet de loi sur les Jeux Olympiques vient la légaliser et donner le champ libre aux industriels pour perfectionner et installer dans la durée leurs outils d’algorithmisation de l’espace public.

    Un marché à plusieurs milliards d’euros

    Comme tout terrain d’influence des lobbies, la vidéosurveillance automatisée est avant tout un marché en pleine expansion. Si l’on en croit la CNIL, qui se base elle-même sur l’étude d’un cabinet américain, le marché représentait en 2020, au niveau mondial, plus de 11 milliards de dollars, avec une croissance de 7% par an (pour celui de la vidéosurveillance, c’est même 45 milliards en 2020 et 76 milliards estimés en 2025).

    L’argent attirant l’argent, les grands groupes et les start-up du secteur enchaînent les levées de fonds, aussi bien auprès des acteurs publics que privés. Dernier exemple en date, la start-up XXII qui a levé il y a quelques semaines 22 millions d’euros pour sa solution de surveillance automatisée auprès de Bpifrance. En 2018, c’était Thales qui avait levé 18 millions d’euros pour sa solution de « Safe City » à Nice et à La Défense. Notons aussi Sensivic, qui développe de l’audiosurveillance automatisée, et qui a levé 1,6 million en juin dernier.

    N’oublions pas les financements publics directs qui affluent dans le secteur de la vidéosurveillance et qui motivent d’autant plus les entreprises à se positionner sur le marché pour récolter le pactole. En 2022, ce sont 80 millions d’euros du fonds de prévention contre la délinquance qui ont été alloués principalement à la bien mal nommée vidéoprotection (une augmentation de 10 millions par rapport à l’année précédente).

    Tant d’argent qui amène tout un écosystème à s’organiser le plus efficacement possible pour profiter du gâteau.

    Lobby multiforme : multinationales, start-ups et associations

    Ce lobby de la VSA est avant tout multiforme, c’est-à-dire porté par de multiples acteurs, aussi discrets que puissants, parmi lesquels se trouvent des multinationales bien connues telles que Thales, Safran, Idemia, IBM, Atos ainsi que de nombreuses start-up florissantes. Parmi les plus prometteuses, XXII, Two-I, Datakalab, Aquilae ou encore Sensivic.

    La plupart sont enregistrés auprès de la Haute Autorité pour la transparence de la vie publique (HATVP), avec à chaque fois le nombre de « représentants d’intérêts » (lobbyistes), les dossiers ayant donné lieu à lobby et un montant moyen des dépenses de lobbying sur l’année. Thales par exemple déclare entre 400 et 500 000 euros de dépenses de lobbying en 2022, Idemia 10 000 euros. Notons que la start-up XXII déclare près de 200 000 euros de dépenses.

    Si l’on additionne rapidement les chiffres des entreprises citées au premier paragraphe, on arrive, et alors même qu’il ne s’agit ici que d’un échantillon restreint des entreprises du secteur, à environ 1,4 million d’euros dépensés en lobbying sur une année (à noter bien évidemment que ces entreprises ne s’occupent pas uniquement de VSA et utilisent cet argent pour sûrement d’autres sujets – cela permet simplement de donner un ordre de grandeur).

    Leur toile d’influence est d’ailleurs largement plus vaste et complexe. Chacune de ces entreprises, notamment sur le site de la HATVP, renvoie vers des mandants ou des associations qui sont elles-mêmes actives en matière de lobbying. Et sur le sujet de la vidéosurveillance, il y en a tellement que cela devient presque impossible à suivre. Toutes ces entreprises se regroupent dans des associations professionnelles – des lobbies – chargées de représenter leurs intérêts auprès des institutions, telles que le GICAT, l’Alliance pour la confiance numérique (ACN), la Secure Identity Alliance, le CIGREF, le FIEEC et l’AN2V, l’Association nationale de la vidéoprotection… Suivre les dépenses et les activités d’influence publique de chacune de ces entreprises, de leurs mandants (cabinets de conseils) et de leurs associations devient alors quasiment impossible.

    Des noms pour la plupart inconnus du grand public, mais qui sont bel et biens intégrés dans les rouages du système et dotés d’une puissante force de frappe en matière d’influence.

    Un lobby de l’intérieur

    A tout cela, il faut encore ajouter la couche des responsables publics qui influencent l’appareil étatique de l’intérieur. Les entreprises n’ont pas toujours besoin de dépenser beaucoup d’énergie pour convaincre des décideurs qui semblent eux-mêmes déjà persuadés de la nécessité de transformer nos villes en un fantasme sécuritaire. La liste serait longue à faire mais on peut évoquer les principaux.

    Le plus vocal est Christian Estrosi, le maire de Nice, aujourd’hui proche du pouvoir et qui ne cesse de se faire le promoteur de la vidéosurveillance automatisée. Depuis plusieurs années, il expérimente la VSA hors de tout cadre légal et insulte la CNIL dès que celle-ci ose, occasionnellement, lui faire des remontrances. Il n’est bien évidemment pas le seul.

    Outre les ministres de l’Intérieur qui sont, par nature, les premiers à défendre les différentes lois sécuritaires (citons Gérarld Darmanin qui lors de l’examen de la loi sur les Jeux Olympiques a défendu la VSA avec passion), plusieurs députés se sont déjà fait les chantres de l’industrie : Jean-Michel Mis, ancien député de la majorité, qui a rédigé un rapport vantant la VSA et proche de l’industrie (voir son portrait ici), Didier Baichère, lui aussi ancien député de la majorité qui a multiplié les entretiens pour faire de la reconnaissance faciale « éthique », Philipe Latombe, député Modem en place qui a donné de sa personne à l’Assemblée pour la défense de la VSA. Citons enfin Marc-Philippe Daubresse, sénateur, qui, on le verra plus bas, a redoublé d’efforts pour convaincre ses collègues de la nécessité de déployer la VSA.

    Il n’y a d’ailleurs pas que l’Intérieur. Le secrétariat d’Etat au numérique lui aussi a toujours été un allié de l’industrie de la VSA. Cédric O, ancien de Safran et ancien Secrétaire d’Etat, est allé jusqu’à dire que « expérimenter la reconnaissance faciale est une nécessité pour que nos industries progressent ». Qui retrouve-t-on d’ailleurs aujourd’hui au poste de directeur de cabinet de l’actuel Secrétaire ? Renaud Vedel, ancien préfet engagé sur la stratégie nationale pour l’IA, qui avait déjà prouvé son goût pour la surveillance biométrique.

    Autant d’acteurs ou de proches de la majorité se sont fait remarquer pour leur énergie à expliquer l’intérêt et le formidable progrès que représente, selon eux, la surveillance de masse algorithmique. L’influence de ce lobby s’étend la Cour des Comptes qui, en 2023, déclarait sans aucune forme de retenue que « les innovations technologiques qui pourraient être déployées pour assurer une meilleure sécurité des Jeux et réduire les besoins doivent être arbitrées et financées sans délai ».

    La stratégie d’influence des industriels est d’autant plus efficace qu’il ne s’agit pas de deux mondes, privé et public, distincts, mais d’un seul système où les uns et les autres s’échangent les postes et responsabilités.

    Brassage public-privé

    Cette influence passe en effet aussi par des techniques traditionnelles, comme le mécanisme ordinaire des portes tournantes, qui consiste à embaucher des personnes passées par le secteur public, afin de profiter de leur connaissance des rouages du système et de leur réseau personnel.

    Quelques exemples. Chez Thales, la directrice des relations institutionnelles Isabelle Caputo a travaillé plusieurs années avant à l’Assemblée nationale. Olivier Andries, le Directeur général de Safran, a commencé sa carrière dans la fonction publique, au ministère de l’Industrie puis à la direction du Trésor, avant de devenir conseiller pour l’industrie dans le cabinet du ministre de l’Économie et des Finances. Toujours chez Safran, le directeur des affaires publiques, Fabien Menant, a quant à lui occupé des postes à la mairie de Paris, au ministère des Affaires étrangères, puis de la Défense.

    N’oublions pas les start-up et les associations : François Mattens, lobbyiste pour XXII, est passé par le Sénat, le ministère de l’Intérieur et celui des Affaires étrangères et Axel Nicolas, actuel directeur des affaires publiques pour le GICAT, est un ancien de l’Assemblée nationale.

    On pourrait continuer longtemps. Les acteurs du lobby ont en commun le même entremelêment d’expériences dans l’administration, dans le privé, au Parlement qui tendent à en faire une force compacte, qui partage les mêmes réseaux, le même carnet d’adresses – et qui multiplie les possibilités d’échanges occasionnels, discrets, loin des regards du public.

    Tout ce monde se retrouve d’ailleurs bien officiellement au COFIS (pour « Comité de la filière industrielle de sécurité ») qui, selon sa page officielle, permet « un dialogue public-privé rénové« , c’est-à-dire, en plus clair, met en relations industriels de la sécurité et hauts fonctionnaires. La liste des participants à son comité de pilotage atteste de cette mixité public-privé. Nous avons cherché à en savoir plus sur ce fameux dialogue public-privé, en sollicitant les documents préparatoires à la signature du contrat stratégique pour la filière « Industries de Sécurité », conclu le 30 janvier 2020 par le gouvernement et le COFIS. Nous n’avons toujours obtenu aucune réponse malgré un avis positif de la Commission d’accès aux documents administratifs (CADA).

    Rendez-vous discrets

    Les rendez-vous avec les responsables publics se font souvent très discrètement, ce mélange entre public et privé empêchant une réelle publicité des liens entre industries de la sécurité et pouvoirs publics.

    Ainsi, malgré l’obligation de les produire chaque année au registre de la HATVP, les déclarations d’activités de lobbying restent sommaires et imprécises, ne permettant pas de rendre compte de l’ampleur et de la portée de ces rencontres, d’autant qu’elles sont soumises au bon vouloir des entreprises.

    Par exemple, on sait que des représentants de Thales ont rencontré un « Membre du Gouvernement ou membre de cabinet ministériel – Intérieur » (qui?) sur l’activité « Plan numérique du Gouvernement : Sensibiliser sur les enjeux industriels de l’identité numérique » entre le 1er janvier et le 31 décembre 2020 (quand?). On ne sait donc ni qui, ni quand, ni où, ni la forme de cette rencontre et ce qui en a résulté.

    Assez peu d’activités de lobbying sont en réalité déclarées sur le sujet. Par exemple, Thales n’a déclaré que 5 activités tous domaines d’activités confondus en 2021, Idemia aucune, Safran seulement 2 en 2022…

    Sans compter que ces déclarations ne prennent pas en compte le lobbying plus insidieux, indirect, qui s’exerce à travers la participation des entreprises aux travaux des think thanks, leurs liens dans les universités, l’organisation de conférences, au sein du COFIS ou aux multiples salons qui pullulent sur le sujet (le plus connu reste Milipol, auto-proclamé évènement mondial de la sécurité intérieure). À quoi il faut encore ajouter les activités des associations professionnelles qui regroupent ces mêmes entreprises.

    Du côté des décideurs publics, on ne trouve pas plus d’information. L’agenda public du Ministre des armées, Sébastien Lecornu, annonce un seul rendez-vous avec Patrice Caine, le DG de Thales, le 8 juillet 2022, mais sans dévoiler les sujets discutés.

    Le Sénat main dans la main avec les industriels de la VSA

    La même alliance complaisante entre décideurs et industriels se remarque dans les rapports parlementaires faisant la promotion de la VSA. Et ils sont nombreux. En 2019, une note de l’OPECST étudie la reconnaissance faciale. En septembre 2021, c’est Jean-Michel Mis qui remet une note au Premier ministre sur le sujet. En mai 2022, c’est Marc Daubresse qui rend son rapport sur la surveillance biométrique sur lequel on reviendra plus bas. Et aujourd’hui, en 2023, la mission d’information de Latombe devrait rendre sous peu son rapport.

    Ce sont aussi les modalités de rédaction de ces rapports qui interpellent. À l’occasion de l’examen de la loi JO au Sénat, un rapport général d’information sur la reconnaissance faciale et ses risques au regard de la protection des libertés individuelles a été rendu le 10 mai 2022.

    Ont été auditionnés plusieurs entreprises et lobbies du secteur : IDEMIA, ID3 Technologies, Amazon France, Microsoft France, l’Alliance pour la confiance numérique, l’AFNOR et Meta et IBM ont livré des contributions écrites. Par contraste, seules trois associations de défense des libertés – dont la Quadrature du Net – ont été entendues.

    Le plus choquant reste les rencontres privilégiées dont ont pu profiter les entreprises à l’occasion de l’élaboration de ce rapport. La mission d’information a organisé plusieurs déplacements de délégués entre février et avril 2022 pour participer à des événements professionnels dédiés à la promotion de la vidéosurveillance ou pour des démonstrations offertes par les industriels. Le jeudi 17 mars 2022 par exemple, la délégation s’est rendue à Nice et pu visiter le Centre de supervision de la Ville, assister à des présentations des travaux en matière de reconnaissance faciale de l’INRIA et du Sophia Antipolis Accenture Labs (un centre de recherche financé par l’entreprise Accenture) avant de participer à une table ronde d’entreprises qui développent des solutions utilisant la reconnaissance faciale. Une journée très productive pour le lobby de la surveillance.

    Quelques jours plus tard, le 29 mars 2022, clou du spectacle au centre Thales de Meudon, où les sénateurs ont été invités à participer à différentes activités, présentations des produits Thales et démonstrations vantant l’efficacité de la VSA, une vitrine inestimable pour l’entreprise.

    Au cours de ses 5 jours de déplacements entre la France et Londres, la délégation n’a en revanche assisté à aucun événement critique de la VSA. Une simple comparaison entre le temps passé à absorber les élements de langage des industriels de la sécurité et celui à écouter les critiques de la vidéosurveillance suffit à comprendre le caractère absurdement biaisé de cette mission parlementaire.

    Il suffit de reprendre les comptes-rendus des débats du Sénat et de l’Assemblée pour voir les effets d’une telle proximité sur la manière dont la loi est examinée et adoptée.

    Adoption du texte et victoire du lobby de la VSA

    Il n’y a jamais eu de véritable « débat » ou « réflexion » sur la question de la vidéosurveillance biométrique en France. L’adoption de l’article 7 de la loi JO est avant tout l’aboutissement d’un travail d’influence de multinationales, de start-up et de décideurs publics qui veulent se faire une place sur les marchés de la sécurité.

    La toute petite partie de ce travail d’influence qu’il nous est possible d’analyser, sur la base des déclarations partielles du registre de transparence de la HATVP, laisse deviner la force de frappe de ce lobby, que ce soit en matière d’argent ou de réseaux. C’est surtout l’entremêlement public-privé qui le caractérise, ce dont personne ne semble se cacher, comme s’il était naturel que les personnes au pouvoir, qui décident et votent sur le sujet, soient aussi proches des industriels qui vendent leurs produits.

    Il est toujours effrayant de voir comment à force d’expérimentations illégales, de mirage financier et de déterminisme technologique, ce lobby a réussi à faire voter une loi lui donnant les mains libres dans l’expérimentation de ces technologies.

    ]]>
    « Le numérique nous insère dans une trame toujours plus resserrée »https://www.laquadrature.net/?p=20415http://isyteck.com/autoblog/quadrature/index.php5?20230330_113053_____Le_numerique_nous_insere_dans_une_trame_toujours_plus_resserree____Thu, 30 Mar 2023 09:30:53 +0000Fin 2022, deux membres de La Quadrature ont répondu aux question de Ruptures, un collectif de militant.es grenoblois.es formé à l’automne 2021. L’entretien a été publié dans leur journal La nouvelle vague n°10, paru en mars 2023. Cet échange aborde les enjeux de la campagne Technopolice, le front plus large de la lutte contre les technologies numériques de contrôle, ainsi que certaines questions stratégiques. Nous le reproduisons ci-dessous.

    Pouvez-vous nous expliquer ce qu’est la technopolice, et les moyens d’actions que vous vous êtes donnés ?

    Technopolice est le nom de la campagne de recherche-action lancée par La Quadrature du Net en 2019. Elle désigne aussi ce contre quoi nous luttons dans cette campagne, à savoir le développement et l’adoption croissante par la police française de nouvelles technologies numériques dédiées à la surveillance de l’espace public : vidéosurveillance automatisée et microphones intelligents censés repérer des comportement suspects, police prédictive, drones… Depuis le départ, l’idée est de documenter la genèse et la mise en œuvre de déploiement de ces technologies, des laboratoires de recherches qui les mettent au point aux usages opérationnels en passant par les grands programmes budgétaires et les lois qui les financent ou en autorisent l’usage.

    Nous tentons aussi d’offrir à des individus ou collectifs des analyses, guides, des espaces de discussion afin d’articuler les combats locaux à des mobilisations nationales ou européennes. Nous dénonçons des projets de loi et tentons de faire supprimer les dispositions les plus dangereuses ; nous allons devant les tribunaux pour démontrer l’illégalité de certains projets et y mettre un terme (par exemple, nous avons attaqué le couplage de l’intelligence artificielle et de la vidéosurveillance à Moirans) ; nous organisons des actions de sensibilisation, d’affichage public ou des projections de documentaires pour faire connaître notre combat et convaincre de nouvelles personnes d’y prendre part. Plus largement, notamment aux travers de nos interactions avec certains médias, nous cherchons à sensibiliser les gens à la prolifération de ces technologies de surveillance policière et à mettre en œuvre les moyens d’y résister collectivement.

    État d’urgence, État d’urgence sanitaire, procédures parlementaires accélérées, 49.3, procédures dérogatoires au droit commun… Devant la multiplication de règles de droit à géométrie variable, la question se pose : peut-on encore croire en la justice ?

    À La Quadrature du Net, nous avons commencé à développer l’action contentieuse en 2015, après avoir constaté que nos stratégies d’influence parlementaire achoppaient sur un consensus sécuritaire de plus en plus prégnant, à gauche comme à droite. Notre idée d’alors était que si le législateur était incapable de protéger les droits humains inscrits au sommet de la hiérarchie des normes juridiques, si « les droits de l’Homme et du citoyen » ne trouvaient plus aucune traduction tangible dans la fabrique de la loi, alors il fallait mobiliser le terrain judiciaire contre l’alliance entre un pouvoir exécutif dopé à l’exception et un Parlement trop enclin à lui concéder les pleins pouvoirs.

    Nous savons que le champ juridique agit en grande partie comme un terrain de neutralisation des revendications politiques et de la contestation de l’ordre établi. Force est de constater que les usages contestataires du droit se heurtent à toutes sortes d’obstacles techniques – par exemple la lenteur des procédures – et au fait que le plus souvent, les magistrats – et c’est en particulier le cas du Conseil d’État devant qui se soldent nos contentieux contre le gouvernement – agissent comme des garants de l’État et de sa violence.

    Mais de fait, il se trouve encore des juges pour tenir tête au pouvoir politique. Nous avons remporté quelques victoires, dont certaines non négligeables, à l’image de l’interdiction de la reconnaissance faciale à l’entrée des lycées de la Région Sud ou devant la Cour de justice de l’Union européenne dans le dossier de la conservation généralisée des données (les opérateurs de télécommunications sont censés conserver les métadonnées de la population – qui communique avec qui, à quelle heure, pendant combien de temps, depuis quel endroit). Et ces jurisprudences créent un univers de contraintes autour des bureaucraties d’État. Elles permettent aussi de donner de l’écho à nos luttes politiques.

    Au final, l’action juridique est ambivalente. Il y a toujours le risque qu’une défaite vienne légitimer ce contre quoi on se bat. Mais, à condition d’être articulée à d’autres modes d’action, elle reste selon nous un outil symbolique fondamental. Car en dépit de toutes leurs limites et contradictions internes, les droits humains sont un héritage des luttes démocratiques des siècles passées. Nous sommes en tout cas d’avis qu’il importe de les faire vivre en ces heures sombres. Même lorsque nous perdons ou que nous obtenons des victoires temporaires ou cosmétiques, nos recours permettent de mettre en évidence les contradictions d’un régime représentatif qui s’enfonce dans le libéralisme autoritaire, de parler aux juges dans leur langage qui prétend à l’universel et de montrer dossier après dossier à quel point l’État de droit qu’ils prétendent incarner n’est pour l’essentiel qu’un mensonge, à quel point ils demeurent pour la plupart, comme l’écrivait Pierre Bourdieu, les « gardiens de l’hypocrisie collective ». Bref, lorsqu’il est bien manié et complété par d’autres moyens de lutte, le droit peut en réalité être un moyen de délégitimer le pouvoir et donc d’y résister.

    Selon tous les indicateurs, les prochaines années vont être secouées de multiples crises (climatique, sanitaire, économique…), que Jérôme Baschet unifie sous le terme de « crise systémique du capitalisme ». Dans le contexte de nouvelles tensions géopolitiques entre grandes puissances (Russie vs Ukraine/Europe, Chine vs Taïwan/usa,…), avec toutes les entorses au droit que cela permet, et avec le développement de moyens technologiques toujours plus puissants, quelles évolutions du contrôle social envisagez‑vous pour les prochaines années ?

    Nous n’avons évidemment pas de boule de cristal et il est reste très compliqué de faire des prédictions, à fortiori dans un environnement politique aussi tumultueux. Sans doute la crise sanitaire a-t-elle offert un bon aperçu de ces nouvelles formes de contrôle social qui vont continuer à se développer dans les prochaines années, ou revenir en force à l’aune des prochaines « crises ».

    La reprise en main d’Internet risque de se poursuivre au rythme de sa place toujours plus importante dans l’infrastructure de nos sociétés de masse. Les quelques espaces alternatifs qu’une association comme La Quadrature du Net s’est donné pour objectif de défendre risquent de connaître une marginalité encore plus grande qu’aujourd’hui. Dans le même temps, les espaces « mainstreams » – fussent-ils la propriété de libertariens comme Elon Musk – continueront de s’insérer dans les politiques de contrôle étatiques. Ils seront les seuls à pouvoir surnager dans un océan de normes toujours plus drastiques en matière de censure, de surveillance ou de cybersécurité, tout en continuant de jouer un rôle dans les compétitions géopolitiques internationales. Ainsi, la censure extra-judiciaire d’Internet a beaucoup progressé ces dernières années, que ce soit au prétexte de lutter contre la propagande terroriste et les discours de haine que de combattre la désinformation scientifique, comme on l’a vu pendant la crise sanitaire. Les élites politiques prétendent s’armer contre la position dominante d’acteurs comme Google, Microsoft et consorts. La réalité, c’est que les dispositifs mis en place consacrent ces entreprises dans le rôle de points de contrôle sur lesquels peut s’appuyer la reprise en main d’Internet.

    Il y a aussi l’automatisation croissante de l’ensemble des structures bureaucratiques qui nous administrent, de Parcousup à Linky en passant par les algorithmes de la CAF ou de Pôle Emploi. La déshumanisation bureaucratique va se poursuivre sous les oripeaux de la « transformation numérique » de l’État et du marché, cherchant à invisibiliser le déni de justice et la violence de classe liés à ces bureaucraties, le tout sous couvert d’efficacité. La 5G et la domotique s’inscrivent dans ce mouvement vers une capillarité croissante de l’infrastructure numérique, insérant nos existences dans la trame toujours plus resserrée d’administrations centralisées.

    Et puis il y a les questions d’identité numérique. Les plans en la matière au niveau européen ou français permettront demain de confier à n’importe quelle personne munie d’un smartphone la mission de contrôler les allées et venues de la population, la capacité de les retracer dans le temps encore plus finement que ne le permettent les réseaux de télécommunications, de réguler l’accès à certains espaces ou services sans forcément en passer par la police, et ce à un coût extrêmement faible pour l’État puisque nous avons déjà financé l’essentiel de cette infrastructure en achetant nous-mêmes nos smartphones. Depuis le mois d’août 2021, les cartes d’identité délivrées en France embarquent un code en deux dimensions contenant les données d’état civil et l’adresse du domicile – des informations lisibles par n’importe qui – et une puce biométrique lisible pour l’instant pour les seuls usages « régaliens ». Quelques jours plus tard, la multinationale française de l’identité Idemia a été retenue par l’Agence nationale des titres sécurisés (ANTS) dans le cadre du programme interministériel France Identité Numérique. Le but de ce marché public est de permettre de contrôler l’identité d’une personne à l’aide d’un smartphone et de la nouvelle carte d’identité électronique. Ces évolutions préparent dans l’Hexagone la généralisation du « portefeuille d’identité numérique » européen prévue pour 2024, et promue par le commissaire européen Thierry Breton.

    Ce qui se passe en Chine sur le plan du contrôle numérique nous concerne assez directement. En effet, derrière les stratégies de distinction des élites européennes, la modernisation à marche forcée de la société chinoise en lien avec l’édification d’un système techno-sécuritaire spectaculaire contribue à un véritable soft-power de l’Empire du milieu auprès des élites européennes. Comme le résume Junius Frey dans la préface française d’un livre du philosophe Yuk Hui, « la gouvernementalité chinoise sert d’ores et déjà de modèle aux formes occidentales d’exercice de la puissance ». Après, ici comme là-bas, on sent bien à quel point toutes ces tendances sont fragiles. Elles sont non seulement insoutenables au plan écologique – sauf à finir de mettre la planète à sac – et elles restent soumises à de multiples résistances.

    Outre son impact en termes de contrôle social, il nous semble que la technologie a d’autres aspects négatifs : emprise totalitaire sur nos vies, aliénation (chacun rivé sur son écran à regarder des vidéos pour se divertir), dépendance de plus en plus accrue à l’énergie et aux matières premières… Pensez-vous que c’est simplement l’usage policier de la technologie qui est problématique ? Ou bien la technologie est-elle la manifestation de la démesure humaine à l’ère industrielle ? En d’autres termes : selon vous la technologie est-elle neutre ?

    Bien sûr que non, la technologie n’est pas neutre : bien qu’elle soit plurielle et elle aussi soumise à des tendances contradictoires, elle est globalement produite – et elle tend généralement à reproduire – un système politique, économique et social à la fois écocide, capitaliste, raciste, patriarcal. Et oui, la technologie porte en elle la démesure d’un système technicien mis presque tout entier au service de l’édification de sociétés de masse inégalitaires, bureaucratisées et industrialisées.

    Nous sommes parties prenantes d’un milieu militant qui a largement bercé dans les utopies fondatrices d’Internet, mais l’expérience politique collective qu’est La Quadrature du Net nous a permis de nous en départir. Même si nos moyens limités nous conduisent à mettre l’accent sur tel ou tel sujet selon les moments, notre action collective est loin de se réduire aux seuls sujets liés à la Technopolice, bien qu’ils soient sans doute les plus visibles ces temps-ci. Nous voyons évidemment plus loin que les usages policiers et nous sommes bien conscients de l’imbrication entre technologies numériques et les différentes formes de pouvoir qui régissent nos existences.

    L’une des difficultés, une fois que l’on admet cette non-neutralité de la technique, c’est que le numérique est un fait social total et qu’il est très difficile aujourd’hui d’exister socialement ou politiquement sans en passer par lui. Ce qui pose la question de la place que l’on accorde aux usages alternatifs de l’informatique, des formes d’adoption minimale auxquelles nous consentons malgré tout, et la manière dont on peut les articuler à des stratégies d’évitement ou de contestation des infrastructures numériques existantes. Sur ces sujets notamment, il existe des positions et des pratiques diverses au sein de notre collectif. Nous tâchons de nous nourrir de cette diversité et des débats qu’elle suscite.

    Que faire face à ce déferlement de contrôle ? Peut‑on revenir en arrière ? Quels moyens de résistance pensez‑vous efficaces ?

    Revenir sur les lois sécuritaires et les régimes d’exception est bien évidemment possible, mais soyons lucides : le vent de l’histoire n’est pas favorable. Sur le plan de la matérialité technologique, revenir en arrière est impossible. Nous héritons quoiqu’il arrive de quantités d’infrastructures numériques qu’il faudra pour certaines maintenir – au moins un temps –, d’autres dont il faudra organiser le démantèlement immédiat, le tout en s’occupant de milieux saccagés dont nous devrons tâcher de tirer nos moyens d’existence.

    Quant aux stratégies de résistance efficaces, notre sentiment personnel, c’est que même si certaines sont plus pertinentes que d’autres, il ne faut en rejeter aucune à priori. De l’entrisme au sabotage, toutes peuvent avoir leur efficacité dans un contexte donné. À chacun de décider ce qui lui incombe de faire, selon ses positions sociales et ses appétences, en essayant d’apprendre constamment de nos échecs et de nos erreurs ; d’être lucide, d’ajuster le diagnostic et de réviser nos tactiques avant de réessayer.

    L’efficacité politique de nos luttes dépend sans doute pour beaucoup de notre capacité à articuler toutes ces différentes manières de faire, à nourrir un dialogue et des solidarités entre elles en faisant preuve de réflexivité, en les arrimant à un horizon commun de rupture avec le système existant pour faire percoler la radicalité. Même lorsque tout peut sembler perdu, rappelons-nous qu’à travers l’histoire, des pouvoirs en apparence inébranlables se sont avérés extrêmement fragiles. Des stratégies réfléchies et la contingence de l’histoire peuvent en venir à bout bien plus vite qu’il n’y paraît.

    ]]>
    La France, premier pays d’Europe à légaliser la surveillance biométriquehttps://www.laquadrature.net/?p=20395http://isyteck.com/autoblog/quadrature/index.php5?20230323_131217_La_France__premier_pays_d___Europe_a_legaliser_la_surveillance_biometriqueThu, 23 Mar 2023 12:12:17 +0000L’article 7 de la loi sur les Jeux olympiques a été adopté ce midi par l’Assemblée, actant l’entrée formelle de la vidéosurveillance algorithmique (VSA) dans le droit français, jusqu’en décembre 2024. À l’ombre du tumulte de la réforme des retraites, et grâce à une procédure comme d’habitude extrêmement rapide, le gouvernement a réussi à faire accepter une des technologies les plus dangereuses jamais déployées. Pour cela, il a usé de stratégies, de mensonges et de récits fictifs, pour que jamais ne soient sérieusement et concrètement discutés le fonctionnement technique de ces outils et leurs conséquences politiques et juridiques en termes de surveillance de masse. Grâce à une majorité totalement désinvestie et au soutien total de l’extrême droite, la VSA a donc pu être légalisée sur la base de mensonges sapant toujours un peu plus le jeu démocratique.

    • Le mensonge de la biométrie : le gouvernement a répété et inscrit dans la loi que la VSA ne relevait pas de la surveillance biométrique. C’est totalement faux. Cette technologie identifie, analyse, classe en permanence les corps, les attributs physiques, les gestes, les silhouettes, les démarches, qui sont incontestablement des données biométriques. Nous n’avons cessé de l’expliquer (voir notre note et notre video), de le rabâcher aux rapporteurs du Sénat et de l’Assemblée ainsi qu’aux députés, comme l’ont également fait 38 organisations internationales et une quarantaine d’eurodéputés qui ont récemment interpellé le gouvernement. Mais celui-ci a continué de s’enfoncer dans ce mensonge à la fois technique et juridique. Ainsi la France viole à nouveau le droit de l’Union européenne et consacre sa place de championne européenne de la surveillance.
    • Le mensonge de l’utilité : le gouvernement a utilisé les Jeux olympiques comme prétexte pour atteindre plus vite l’objectif, fixé depuis des années, de légaliser ces technologies, s’inscrivant par là dans la « tradition », observée partout ailleurs et consistant à instrumentaliser de façon très opportuniste les méga-évènements internationaux. Le gouvernement a réussi à faire croire à une nécessité, fabriquée de toute pièce, pour « repérer les colis suspects » ou « prévenir les mouvements de foule ». Ces évènements sont soudainement devenus la nouvelle priorité du ministère de l’Intérieur et des députés zélés, qui n’ont cessé de résumer la sécurité des JO à ces situations, rarement identifiées comme prioritaires en temps normal, et dont nous démontrions ici que la résolution dépend davantage de maîtrise humaine que de technologie. Ainsi, la VSA a été acceptée sur le seul fondement d’un mythe bien ancré selon lequel la technologie permettrait d’assurer magiquement la sécurité, sans qu’aucune évaluation ni démonstration de l’utilité ou de la proportionnalité de ces technologies très opaques n’ait jamais été honnêtement réalisée.
    • Le mensonge technique : l’application principale de la VSA consiste à identifier des comportements que la police aura préalablement définis comme « suspects ». Arbitraire et dangereux par essence, le fonctionnement de ces algorithmes n’a jamais été expliqué par le gouvernement : et pour cause, il n’est sans doute pas compris par la majorité des décideurs… Incompétence inexcusable ou volonté assumée de noyer le poisson, dans tous les cas, cela a ramené les débats parlementaires à un niveau extrêmement bas, qui n’est pas à la hauteur des enjeux gravissimes soulevés par ces technologies biométriques. Grâce à l’aide des rapporteurs Renaissance Guillaume Vuilletet et Sacha Houlié (le remplaçant) et de quelques députés, ce sont les rhétoriques de minimisation tirées des arguments de vente des entreprises de la VSA, les mensonges et les inepties techniques qui ont prédominé. Ce qui en ressort, c’est l’incapacité patente du Parlement à discuter de questions techniques, mais surtout la crainte légitime que la société doit avoir pour le futur, au vu de l’incompétence des représentants à appréhender les contours et les dangers des prochaines technologies qui émergeront.

    À l’heure où les images de violences policières inondent les écrans, où la police, armée de matraques, assure le service après-vente de mesures impopulaires au possible, l’accentuation de la surveillance policière participe d’une stratégie politique visant à étouffer toute contestation.

    Il faut dénoncer ces manœuvres permettant à l’État de détourner la réalité des prérogatives de surveillance qu’il s’arroge. Particulièrement dans un contexte où les mots sont sciemment déviés de leur sens, où l’on tente de nous convaincre que « la surveillance c’est la protection », que « la sécurité c’est la liberté », et que « la démocratie c’est le passage en force ». Il est nécessaire de visibiliser, de contrer ce faux jeu démocratique, et de remettre en cause sans relâche les pouvoirs exorbitants attribués à l’appareil policier français. Il n’est pas nécessaire d’évoquer une dystopie « à la chinoise » pour prendre la mesure des dangers. Mieux vaut regarder l’histoire française et le climat politique actuel, pour mesurer et comprendre la fuite en avant sécuritaire visible depuis vingt ans : toujours plus de caméras, de surveillance et de fichiers, dans une dépolitisation croissante des enjeux sociaux, et une perte de repères des décideurs politiques. Ainsi, les débats sur la loi JO ont principalement brillé par la perte de boussole politique des dirigeants qui semblent hermétiques à tout questionnement sur ces sujets.

    Cette première légalisation de la vidéosurveillance automatisée est une victoire d’étape pour les industries sécuritaires françaises. Elles qui demandaient depuis des années à pouvoir tester leurs algorithmes sur les populations, pour les perfectionner et les vendre à l’international, les voilà servies. Bientôt Thales, XXII, Two-I et Neuroo pourront vendre leurs logiciels biométriques à d’autres États, tout comme Idemia a vendu sa technologie de reconnaissance faciale à la Chine. La startup XXII n’a même pas attendu le vote de la loi pour annoncer en fanfare qu’elle avait levé 22 millions d’euros pour devenir, selon ses mots « le leader européen » de la VSA.

    Du côté des institutions censées préserver les libertés, comme la CNIL, on note une démission totale. Institution dotée de véritables capacités de contre-pouvoir pour mesurer les velléités étatiques de surveillance à sa création en 1978, la CNIL est devenue un service après-vente des mesures gouvernementales et s’applique méticuleusement à accompagner les entreprises à exercer une « bonne » surveillance afin de préserver les intérêts économiques de l’industrie en dépit de toute considération pour les droits et libertés collectives.

    Cette première légalisation de la vidéosurveillance automatisée va nécessairement ouvrir la voie à toutes les autres technologies de surveillance biométrique : audiosurveillance algorithmique, reconnaissance faciale, suivi biométrique des personnes a posteriori…

    Nous n’allons pas lâcher le combat, nous continuerons de dénoncer les mensonges du gouvernement, nous serons présents dès que la première expérimentation sera mise en œuvre pour documenter les abus inévitables auxquels conduisent ces technologies. Nous chercherons des moyens de les contester devant les tribunaux, et nous nous battrons pour que cette expérimentation ne conduise pas, comme c’est hélas probable, à leur pérennisation.
    Et nous continuerons de refuser ces technologies et la Technopolice qu’elles incarnent, notamment en nous battant au niveau européen pour obtenir leur interdiction.

    Alors si vous voulez nous aider dans cette lutte, gardez un œil sur ce qu’on pourra lancer dans les mois à venir, et si vous le pouvez n’hésitez pas à faire un don !

    ]]>
    Fiasco du Stade de France : la VSA ne masquera pas les échecs du maintien de l’ordrehttps://www.laquadrature.net/?p=20365http://isyteck.com/autoblog/quadrature/index.php5?20230321_152834_Fiasco_du_Stade_de_France____la_VSA_ne_masquera_pas_les_echecs_du_maintien_de_l___ordreTue, 21 Mar 2023 14:28:34 +0000Alors que la loi JO est actuellement débattue à l’Assemblée, que l’article 7 va être examiné ce soir ou demain en séance, que plus de 250 élu·es appellent à s’opposer à la VSA, tout comme 38 organisations internationales et les eurodéputés, le gouvernement continue de défendre dur comme fer cette technologie. Et pour cela, il monte en épingle des problèmes de sécurité avec des arguments fallacieux :

    Dans un précédent article, nous revenions sur les stratégies d’acceptation des technologies biométriques utilisées par les industriels et les politiques. Nous avions listé quelques-unes de ces stratégies, comme la dépolitisation des mesures de surveillance, l’expérimentation pour faire croire à leur côté éphémère, la dialectique du progrès versus les réactionnaires qui refusent de tels dispositifs… Et l’une d’entre elles consiste à être opportuniste, c’est-à-dire à utiliser n’importe quel événement ou actualité médiatique pour justifier l’utilisation de la vidéosurveillance algorithmique, et même parfois la reconnaissance faciale.
    Le fiasco du Stade de France est un de ces évènements. Durant les débats à l’Assemblée et au Sénat, le ministère de l’Intérieur, de même que les députés et sénateurs de la majorité, n’ont pas cessé de faire référence à la finale de la Ligue des champions comme exemple ultime de la nécessité pour la France de se doter en algorithmes d’analyse d’images afin de garantir la sécurité lors de grands événements comme les Jeux olympiques. En réalité, il s’agit plutôt d’instrumentaliser une catastrophe pour cacher un échec, le cas du Stade de France étant un parfait contre-exemple pour montrer que la technologie sécuritaire ne fonctionne visiblement pas.

    Rappel des faits

    Le 28 mai 2022 avait lieu la finale de la Ligue des champions de football, opposant les clubs de Liverpool et du Réal de Madrid. Mais suite à une conjonction d’événements, la soirée a viré au drame : le RER B en grève, les autorités décidant de placer un point de contrôle pour plusieurs milliers de personnes en amont, à la sortie d’un corridor sous l’autoroute, finalement enlevé en fin de journée pour risque de piétinement. Ensuite des temps d’attente interminables avant d’entrer dans le stade, sans aucune information ni indication, des supporters agressés, les grilles du stade de France fermées, des personnes qui s’agglutinent et enfin l’usage de gaz lacrymogène par la police par dessus tout ça. Finalement, le coup de sifflet sera donné avec plus de 30 minutes de retard. Cet article, qui reprend le rapport cinglant de l’UEFA (Union des associations européennes de football), livre des témoignages glaçants de supporters.

    L’instrumentalisation de l’événement

    Dans un rapport sénatorial chargé de faire la lumière sur les événements et publié en juillet 2022, les élus étrillaient le ministère de l’Intérieur et son chef, G. Darmanin, pour « dysfonctionnement » et « défaillances ». L’Intérieur est accusé : « Les premières déclarations ne correspondaient pas à la vérité », et sont pointées les « défaillances » de la préfecture de police de Paris. Défaillances reprises par le rapport de l’UEFA, qui, à l’aune de centaines de témoignages, analyse les failles de la gestion sécuritaire de la préfecture de police de Paris et de l’Intérieur.

    Si la situation n’a pas débouché sur une catastrophe, le rapport de l’UEFA
    estime
    notamment que c’est uniquement grâce au sang froid des supporters : « Mieux organisés et plus réactifs que les policiers et les gendarmes chargés de veiller à leur sécurité, ces fans de Liverpool ou de Madrid n’ont dû leur salut qu’à une solidarité sans faille et une capacité à se discipliner qui forcent l’admiration dans un contexte aussi résolument hostile à leur endroit. »

    L’ensemble de ces rapports mettent donc clairement en lumière la responsabilité de la préfecture de police de Paris et du ministère de l’Intérieur dans l’échec de la gestion de cet événement. La colère ne faiblit pas pour les supporters de Liverpool, qui déplient lors d’un match en février dernier des banderoles qui accusent le ministre de l’Intérieur et la ministre des Sports d’être des « menteurs ».

    Mais dès les jours suivant ce qui était déjà communément désigné comme le « fiasco du Stade de France », le maire de Nice, Christian Estrosi sautait sur l’occasion : « Nous sommes équipés, nous avons les logiciels, nous avons des start-ups et des grands industriels, y compris français comme Thalès, qui ont des systèmes très au point pour garantir les libertés individuelles, et que seules les personnes fichées puissent être détectées par l’intelligence artificielle ».

    Du côté de l’Intérieur, après s’être embrouillé dans des pseudo-justifications de dizaines de milliers de faux billets imaginaires, G. Darmanin commence à réciter une fable : celle de la VSA et de sa nécessité afin d’éviter des violences comme celles ayant eu lieu au Stade de France. En janvier 2023 devant le Sénat , c’est la ministre des sports et jeux olympiques et paralympiques, Amélie Oudéa-Castéra (qui défend la loi avec le ministre de l’Intérieur) qui revient dessus lors de la présentation des dispositions de l’article 7 et se félicite de ne pas utiliser de reconnaissance faciale « En matière de sécurité, nous entendons enfin tirer tous les enseignements des événements survenus au Stade de France le 28 mai dernier ».

    Et la vidéosurveillance algorithmique ne manque pas de soutien dans l’hémicycle, elle est plébiscitée par l’extrême-droite, qui reprend parfaitement l’argumentaire de la majorité :

    Yoann Gillet (RN) : « L’organisation des Jeux olympiques et paralympiques rend cruciale cette question. Au vu des défaillances majeures constatées en mai 2022 au Stade de France, le groupe Rassemblement national réclame des actions concrètes et adaptées pour assurer la sécurité intérieure du pays. Le traitement algorithmique des images de vidéosurveillance, prévu à titre expérimental par l’article 7, est un outil indispensable pour identifier les risques qui pourraient menacer la sécurité des personnes pendant cette manifestation internationale ».

    Le ministre de l’Intérieur utilise notamment un point, qu’on retrouve parmi une liste de plusieurs dizaines de recommandations dans le rapport sénatorial précédemment cité, à savoir celui qui préconise le recours à l’intelligence artificielle pour éviter d’autres situations comme celle du Stade de France. La petite histoire commence alors.

    Lors des discussions sur la loi JO, le 24 janvier dernier, le sénateur Thomas Dossu, résume parfaitement l’absurdité de ce technosolutionnisme :

    «  Disons-le clairement, voir émerger cette recommandation dans ce rapport avait déjà un caractère saugrenu. En effet, l’intelligence artificielle aurait-elle permis d’éviter la défaillance dans l’orientation des supporters anglais ? L’intelligence artificielle aurait-elle déconseillé l’usage immodéré des gaz lacrymogènes sur des supporters pacifiques ? L’intelligence artificielle aurait-elle tiré, en amont, les conclusions d’une grève touchant l’une des deux lignes de RER qui menaient au Stade de France ? En d’autres termes, l’intelligence artificielle aurait-elle fait mieux que les intelligences combinées du ministre Darmanin et du préfet Lallement ? Aussi surprenant que cela puisse paraître, je ne le pense pas. »

    Ainsi, on passe d’un événement où la responsabilité des forces de police françaises est mise en cause à la soi-disant nécessité d’une extension des pouvoirs de surveillance de cette même police, à travers l’ajout d’algorithmes aux caméras. Cette instrumentalisation de l’événement pour cacher un échec est bien pratique. À un peu plus d’un an des Jeux olympiques, le gouvernement français joue sa crédibilité : s’il est incapable de gérer une finale de Ligue des champions, comment pourrait-il accueillir un méga-évènement comme les JO ? Plutôt que d’avouer son échec, il jette de la poudre aux yeux en déviant sur la pseudo nécessité de la vidéosurveillance algorithmique.
    Depuis le début des débats sur la loi JO, la prévention des « mouvements de foule » est alors mise en avant par la majorité comme l’usage principal de cette technologie. D’une part, cela invisibilise – à dessein- les applications bien plus dangereuses de la VSA. D’autre part, le gouvernement infuse de cette manière dans le débat une source d’insécurité fabriquée de toute pièce et qui n’avait jamais pris autant d’importance lors des autres évènements organisés en France.

    La VSA aurait-elle pu être utile pour éviter le fiasco ?

    Idée reçue : La VSA permettrait à la police d’être mieux organisée

    Le fiasco du Stade de France est de toute évidence instrumentalisé pour promouvoir la VSA : mais celle-ci pourrait-elle quand même être efficace face à de tels événements ?
    Le problème majeur de cette finale de la Ligue des champions n’a pas été le manque de technologie pour gérer la foule, mais bien la stratégie du maintien de l’ordre de l’Intérieur et de la préfecture, comme l’exposent les différents rapports précédemment cités, avec des erreurs de gestion de foule (contrôle des tickets dans des endroits trop étroits, ligne de RER en grève) couplées au gazage à tout-va des supporters. On voit mal comment la vidéosurveillance algorithmique aurait permis à l’évènement d’être mieux organisé ou à la police d’être moins violente…

    Si la rengaine du technosolutionnisme presque magique, qui pourrait résoudre tous les problèmes, est régulièrement utilisée, elle laisse complètement dubitative dans ce cas-là. Le Stade de France compte 260 caméras de vidéosurveillance, pourtant celles-ci n’ont pas servi à grand-chose. Les bandes ont d’ailleurs étrangement été effacées au bout d’une semaine, personne n’ayant visiblement pensé à les réquisitionner : ni le tribunal, ni les sénateurs n’ont pu avoir accès aux images. En quoi l’ajout d’algorithmes aurait-il pu empêcher un tel événement ? Au contraire, le fiasco du Stade de France montre bien qu’une politique de sécurité répressive et inhumaine, dans laquelle les caméras et la VSA s’inscrivent largement et où la police est en partie à l’origine des mouvements de foule, n’aboutit qu’à la violence

    Si l’Intérieur souhaite réellement éviter la reproduction de tels événements, il faudrait plutôt songer à changer la doctrine du maintien de l’ordre et s’enquérir de gestion humaine de l’espace : s’assurer d’avoir des couloirs assez grands, d’indiquer les guichets, d’avoir des agents multilingues pour orienter les supporters, d’informer en temps réel sur ce qui se passe, et de défaire les préjugés des forces de l’ordre sur le « hooliganisme anglais »…

    Idée reçue : La VSA permettrait de détecter et prévenir des mouvements de foule

    Pour éviter les mouvements de foules, les chercheurs dans le domaine pointent l’importance de l’organisation spatiale en amont, la nécessité de poster des humains pour orienter et aider les personnes présentes, le désengorgement des transports… Toutes solutions sans rapport avec la vidéosurveillance, qui ne peut clairement rien pour prévenir les mouvements de foule.

    La concentration de milliers de personnes en un même endroit nécessite certes une préparation en amont, mais une fois la foule réunie, qu’est ce que la VSA pourrait repérer qui ne serait perceptible par des humains ? Et si un mouvement de foule se déclenche effectivement, la technologie biométrique ne peut ni porter secours ni réorienter les personnes pour diminuer la densité. On voit donc mal ce que la VSA apporterait sur le sujet. Rappelons également que chaque semaine depuis des décennies, des stades se remplissent et se vident en France. A notre connaissance, il n’a pas été documenté ou identifié de nouveaux problème majeurs de mouvements de foule qui nécessite de changer le savoir faire humain habituellement mis en œuvre dans ces lieux.

    Que ce soit dans la prévention ou la résolution de tels mouvements, la technologie n’est pas une aide. Ici, c’est au contraire une stratégie afin d’orienter le débat et le dépolitiser. La vraie question est ailleurs : la VSA n’est pas un outil « neutre » d’aide à la décision, mais s’inscrit dans des stratégies de répression qui ont conduit à produire le fiasco du Stade de France.

    Mouvement de foule à Séoul, 2022

    Un autre exemple utilisé pour justifier la VSA par son fervent défenseur – encore et toujours – P. Latombe est celui du mouvement de foule meurtrier le soir d’Halloween à Séoul en octobre dernier. Encore une fois, c’est un mauvais exemple, la Corée du Sud et notamment la ville de Séoul utilisent déjà la vidéosurveillance algorithmique, ce qui n’a pas empêché 156 personnes de mourir et des centaines d’autres d’être blessées lors de ce dramatique évènement. Dans ce cas-là, il semble que la faute incombe une fois de plus à la police, trop peu nombreuse sur place et occupée à arrêter des personnes pour trafic de drogues (une centaine de policiers présents pour 100 000 personnes entassées dans un quartier de Séoul), mais aussi à l’ignorance des appels d’urgence de personnes sur place et de ceux des pompiers.
    Les spécialistes des mouvements de foule pointent1Voir la vidéo d’un chercheur en mouvement de foule, Mehdi Moussaïd https://www.youtube.com/watch?v=hlnZA89hVwo l’aménagement de l’espace comme la donnée la plus importante pour éviter ces phénomènes (présence d’issues de secours, nombre et largeur de celles-ci), suivie par l’organisation en amont (communication avec la foule, orientation des flux, organisation des secours). La technologie n’a pas de place là-dedans. Encore une fois, filmer une catastrophe ne permet pas de la prévenir.

    Conclusion :

    La référence au fiasco du Stade de France pour justifier le recours à la vidéosurveillance algorithmique ne tient pas l’analyse une seconde. Il est donc clair qu’il s’agit davantage d’une tentative d’utiliser un choc émotionnel provoqué par une catastrophe et d’essayer de couvrir un échec organisationnel et de répression policière. Mais surtout, en imposant ce faux débat dans les discussions sur la VSA, le gouvernement parvient à étouffer les véritables enjeux liés aux dangers de ces technologies. Le sujet des mouvements de foule a monopolisé les discussions sur la loi JO en commission des lois, empêchant les députés de questionner en profondeur les usages bien plus problématiques de ces algorithmes. Ainsi, la définition de « comportement suspect » ou le suivi biométrique des personnes dans la rue n’ont quasiment pas été débattus alors qu’il s’agit d’applications existantes et dangereuses, promues et développées par les entreprises de VSA qui seront chargées des expérimentations.

    La légalisation de la VSA ne permettra pas d’empêcher les fiascos tels que celui ayant eu lieu lors de la finale de la Ligue des champions, mais contribuera bien à augmenter les capacités de surveillance de l’État et la répression de la population. Il faut contrer les manœuvres du gouvernement et regarder en face la société de surveillance qu’il est en train de faire accepter. Refusons toutes et tous l’article 7 !

    References

    References
    1 Voir la vidéo d’un chercheur en mouvement de foule, Mehdi Moussaïd https://www.youtube.com/watch?v=hlnZA89hVwo
    ]]>
    JO sécuritaires : le podium des incompétentshttps://www.laquadrature.net/?p=20350http://isyteck.com/autoblog/quadrature/index.php5?20230316_193839_JO_securitaires____le_podium_des_incompetentsThu, 16 Mar 2023 18:38:39 +0000Le 8 mars dernier, les débats sur la loi relative aux Jeux Olympiques et Paralympiques de 2024 ont débuté en commission des lois à l’Assemblée nationale. Ce texte s’apprête, via son article 7, à amorcer la légalisation de la surveillance biométrique, en commençant par la vidéosurveillance algorithmique (VSA). Cette technologie, basée sur des algorithmes d’intelligence artificielle, est très complexe. Pour nous assurer que les députés soient en mesure de mener ces débats, d’en comprendre les enjeux techniques ainsi que la dangerosité de l’usage de la biométrie, La Quadrature du Net a envoyé à l’ensemble des parlementaires une note fournie et a organisé des sessions d’appel aux députés.

    Le résultat a été stupéfiant : à peine une semaine avant le vote en commission, aucun député n’était réellement informé sur le sujet. Ces derniers justifient leur manque d’investissement sur le sujet en pointant du doigt un agenda législatif très chargé. D’autres assument ne pas s’intéresser au sujet et suivre l’avis des responsables du dossier au sein de leur parti. Alors qu’il s’agit de la légalisation d’une des technologies les plus graves de la dernière décennie, de l’acceptation en creux d’une société de surveillance, les députés sont aux abonnés absents.

    Sans surprise donc, le jour des débats en commission, très peu de députés ont pris la parole sur le sujet. À coté de celles et ceux de droite ou d’extrême droite ne jurant que par la sécurité et la protection qui seraient inhérentes à la VSA, les élus de la majorité ont été totalement silencieux et n’ont quasiment pas pris la parole (les groupes Horizons et Renaissance n’ont déposé que quelques amendements). Plus effrayant encore, les quelques députés censés être chargés du sujet ont fait étalage de connaissances très approximatives sur les technologies utilisées par la VSA et ont énoncé nombre d’absurdités avec une grande assurance.

    Le champion de cette catégorie est sans aucun doute Philippe Latombe, député Modem, fraîchement nommé à la CNIL et autoproclamé spécialiste de la VSA, alors même que ses liens avec l’industrie sont plus que visibles. Ce dernier assumait en effet pousser pour la légalisation de VSA au salon Expo Protection en novembre 2022, durant lequel il a d’ailleurs été qualifié de « coéquipier » par Sébastien Garnault, représentant du lobby CyberTaskForce. Il a également rencontré le lobby de la vidéosurveillance AN2V dont le président Dominique Legrand regrette que l’impasse ait été faite, dans le texte de loi, sur « la détection des anomalies sonores […] telles qu’un coup de feu ou un bris de vitre. ». Qu’il se console, Philippe Latombe est là pour proposer un amendement sur la surveillance sonore !

    De manière générale, le passage en revue des interventions des députés démontre leurs véritables intentions politiques pro-business sécuritaire, mais révèle qu’une fois de plus les parlementaires ne savent pas ce qu’ils votent.

    Les jeux de données

    Une des incohérences les plus grossières avancées en commission a été de laisser penser qu’en maîtrisant les données fournies aux systèmes d’IA pour apprendre à reconnaître les prétendus comportements « suspects », on pourrait empêcher toute mauvaise utilisation ou « biais » de ces algorithmes. Cette affirmation révèle une compréhension très lacunaire de l’impact de l’usage des données captées dans l’espace public.

    • Le caractère « biaisé » de certains jeux de données

    La question de la construction du jeu de données — sa représentativité en terme de diversité de genre, d’ethnie, d’âge, etc. — est devenue incontournable. Le cas du logiciel COMPAS, utilisé par certaines juridictions américaines et dont l’objectif était de détecter les possibilités de récidive en fonction des éléments d’un dossier policier, a popularisé les dérives de l’automatisation de la prise de décision. Le programme avait appris sur un jeu de données qui embarquait les décisions racistes du dispositif de police américain concerné, et avait déduit qu’une des caractéristiques principales liée à la récidive était la couleur de peau. On peut trouver d’autres exemples plus récents en parcourant la AI Incident Database.

    Le problème est souvent présenté de cette manière : « Lorsque l’on recueille des données et que l’on recherche des corrélations entre elles, on peut aboutir à des résultats orientés si dans le jeu de données, une corrélation est surreprésentée ». On qualifie alors souvent de « biaisé » le jeu de données de départ et l’algorithme ainsi entraîné à partir de ces données. Cette qualification sous-entend qu’il serait possible d’avoir un algorithme neutre, fournissant une analyse objective de la réalité. En fait, si l’on reprend l’exemple de COMPAS, ce n’est pas un « biais », une erreur, qui a conduit à l’automatisation de décisions racistes de la part de l’algorithme, mais bel est bien le fait que les données réelles à partir desquelles on entraîne les machines sont des données produites par des humains et donc teintées d’opinions et portant en leur sein toutes les oppressions existant dans la société. Présenter le problème comme un « biais », c’est penser que le problème est technique alors qu’il s’agit d’un problème politique. C’est aussi reproduire le vain idéal d’une technique neutre, qui n’existe pas : toute technique est formatée par ses conditions de production, et par l’intention de ses auteurs.

    La VSA, c’est la surveillance des espaces publics. Dans ces lieux il y a une surreprésentation des personnes précaires et marginalisées par rapport à la population globale, il y a aussi plus d’hommes, moins de personnes très jeunes ou très âgées. Cette surreprésentation se retrouve donc aussi dans les flux vidéo issus de la surveillance de ces espaces. Peut-on pour autant dire que les jeux de données issus de ces captations sont « biaisés » ? Non, cet état de fait n’est pas la conséquence d’une erreur de constitution d’un jeu de données mais bien de la décision politique, ciblée et discriminatoire, de vouloir renforcer la répression précisément dans ces espaces.

    Plutôt que de confronter la réalité politique du choix des lieux d’implantation et des populations visées, les défenseurs du texte se cachent derrière des réponses techniques inopérantes relatives à de prétendus « biais ». Par exemple, Philippe Latombe explique :

    «Le vrai souci sur l’IA c’est de s’assurer qu’il n’y a pas de biais. Il y a une façon assez simple qui est celle prévue par la CNIL notamment, c’est de dire « on vous donne des jeux de données, on sait exactement ce qu’il y a dans ces jeux de données, on sait ce qu’on doit attendre comme résultat positif mais aussi ce qu’il ne faut pas que nous ayons comme résultat négatif », et dans ces cas là on saura si le traitement est loyal ou pas loyal, s’il y a des biais ou s’il y a pas de biais.(…) Il faut des jeux de données standardisées.»

    Pour résoudre ce soi-disant problème, il demande à ce que l’État fournisse lui-même des jeux de données aux entreprises, persuadé que cela permettrait de « pouvoir vérifier justement que les algorithmes n’ont pas de biais » et qu’avoir un laboratoire public [comme le NIST] permettrait de « prouver que l’algorithme il est loyal, il n’y a pas de biais, que les biais sont maîtrisés et qu’il n’y a pas de discrimination » (à écouter ici et ).
    M. Latombe manie l’argument du recours à l’État comme figure d’autorité rassurante, faisant mine d’oublier que le droit à la sûreté individuelle est précisément censé protéger aussi contre l’arbitraire de l’État.

    Il est rejoint sur ce point par le rapporteur Guillaume Vuilletet, qui explique que « le fait de fournir des données à un algorithme pour le nourrir, faire en sorte qu’il apprenne et qu’il évite les biais est consubstantiel de la démarche algorithmique ». Mais en réalité, cela signifie d’ouvrir l’accès aux images des caméras publiques à des entreprises privées pour qu’elles puissent utiliser les vidéos des personnes dans la rue, désignées cobayes involontaires, pour alimenter généreusement leurs logiciels. Une manne de données gratuites mises au profit d’entreprises privées.

    La discrimination des populations imposée par la VSA n’est pas circonscrite à la seule sélection des jeux de données. En réalité, les conséquences les plus problématiques résultent davantage des fonctionnalités qui sont développées dans les logiciels et qui visent précisément les publics les plus vulnérables. Si le simple fait d’augmenter la répression dans les espaces publics est déjà discriminatoire, le fait que la VSA ait pour but de repérer les personnes allongées (personnes sans abri), les regroupements de personnes (personnes n’ayant accès qu’à des espaces publics pour se retrouver) tout en qualifiant ouvertement tous ces comportements de « suspects » est encore plus discriminatoire et problématique. Sans parler de l’atteinte potentielle aux droits fondamentaux de réunion, d’expression et de manifestation sur la voie publique. Cette question très inquiétante de la qualification des « comportements suspects » n’a cependant pas été développée lors des discussions en commission, alors qu’il s’agit d’un des problèmes majeurs de cette loi.

    • Les usages possibles d’un jeu de données particulier

    Plusieurs fois au cours des débats, les députés ont sous-entendu que les algorithmes n’étaient utiles que dans un cadre similaire à celui dans lequel ils ont été entraînés. Le rapporteur du texte, Guillaume Vuilletet lui-même, dit par exemple :

    «La réalité c’est que c’est parfaitement borné. Les fournisseurs ne pourront pas revendre ailleurs ce qu’ils ont fait avec des cas d’usage. Ce que nous expérimentons ce sont des cas d’usage. Comme les JO ne reviendront pas à Paris avant un siècle, avant qu’on ait la configuration géographique et périmétrique du stade de France ou d’un autre site, ça ne veut rien dire.»

    Le but est de minimiser le danger de la VSA et de prétendre que les algorithmes ne fonctionnent pas de manière générale mais seulement dans un contexte donné, parce que leur apprentissage s’est déroulé dans un contexte et pour un usage déterminé. Ceci est totalement faux. En réalité, les algorithmes entraînés sur les images des JO pourront tout à fait être utilisés à l’avenir pour surveiller les foules dans un contexte différent (une manifestation, par exemple). Encore pire, ces algorithmes développés par des entreprises privées utilisant la population comme cobaye pourront parfaitement être revendus, par la suite, à d’autres pays. Idémia, société française et leader du marché international de la reconnaissance faciale, pourra continuer à vendre ses algorithmes à la Chine.

    On comprend qu’il importe peu que les données d’entraînement soient supprimées, ou propres à un contexte particulier : le résultat auquel elles ont permis d’aboutir sera conservé et pourra servir à une multitude d’applications qui peuvent être différentes du contexte premier de l’expérimentation.
    Ce qui a de la valeur et qui sert à des usages futurs, ce sont la quantité de données utilisées et le modèle entraîné qui en résulte.

    Est-ce par stratégie ou par méconnaissance que le rapporteur du texte affirme de telles absurdités ? Que ce soit l’une ou l’autre de ces explications, nous avons de grandes raisons de nous inquiéter de laisser l’avenir de la surveillance biométrique entre ses mains.

    La fausse neutralité de l’automatisation

    Ce qui ressort également des interventions des défenseurs de la VSA, c’est une croyance aveugle en la neutralité des outils techniques et en leur potentialité à résoudre facilement les problèmes politiques auxquels ces mêmes défenseurs seraient censés se confronter.

    À entendre les députés, l’IA serait une forme de baguette magique statistique qui permettrait de révéler des corrélations invisibles pour l’humain et de détecter, comme par miracle, les signes précurseurs de mouvements de foule ou d’attentats terroristes. Cela relève du fantasme : toute la conception de l’algorithme est guidée du début à la fin par l’humain et implique un ensemble de prises de décisions techniques et politiques.

    Outre le choix du jeu de données évoqué plus haut, dont on a vu qu’il influençait considérablement les décisions prises par l’algorithme, on trouve dans le processus d’élaboration d’un logiciel de VSA d’autres étapes qui orientent la décision finale et imposent à leurs concepteurs de faire des choix qui resteront inscrits dans le logiciel.

    L’entraînement du modèle, c’est à dire le moment où les données sont fournies à l’algorithme pour qu’il établisse des corrélations et converge vers un état final satisfaisant, est également très important. On peut voir ce processus comme le calibrage de boutons à tourner : en fonction de la position des boutons, les différentes données de l’images sont pondérées différemment dans la décision d’activer, ou non, la détection. Ces boutons sont tournés de façon automatique par l’algorithme, mais le concepteur avance « à l’aveugle » : il favorise un résultat conforme à son attente, mais sans qu’il sache avec quels critères l’algorithme est arrivé à ce résultat. Si, pour rechercher une personne « suspecte », la combinaison finale de boutons tournés aboutit à ce que l’algorithme trouve plus efficace de repérer les personnes en survêtement, ou encore les personnes de telle couleur de peau, le concepteur ne saura même pas que c’est cette information qui est décisive pour l’algorithme. Il connaîtra juste la pondération que l’algorithme a faite et choisira d’opter pour cette configuration de paramètres car c’est celle-ci qui rend ce dernier le plus efficace.

    Il y a donc trois moments décisifs dans la conception de l’algorithme qui vont orienter sa décision finale (et déclencher une intervention de la police) :
    – Le choix de la finalité du logiciel de VSA : autrement dit, la définition du comportement suspect (point totalement évacué par les députés lors des débats),
    – Le choix du jeu de données et la manière dont il est labellisé (on en parle juste au dessus),
    – Et enfin cette étape de pondération d’usage de telle ou telle caractéristique (faite à l’aveugle, sans moyen de savoir si la donnée en question est sensible).

    Difficile donc, quand on connaît le fonctionnement de cette technologie de prétendre qu’elle est neutre, tant son élaboration impose de faire des choix, des choix ayant des conséquences politiques importantes.

    Ainsi, lorsque Philippe Gosselin (député LR, ex membre de la CNIL, et corapporteur avec Philippe Latombe d’une mission d’information sur la vidéosurveillance) dit : « L’algorithme n’est évidemment qu’un « outil » qui ne doit pas être confondu avec une « intrusion dans la vie privée » », il s’insère exactement dans ce discours visant à prétendre que les logiciels de VSA seraient « neutres ». Il escamote la question du pouvoir conféré à L’État et à la police par la technologie, et efface en quelques secondes les sombres traces de la surveillance dans l’Histoire moderne.

    Fonctionnement des algorithmes

    Tout au long des discussions, les députés ont tenté des explications techniques, parfois agrémentées de mots savants, sans que cela suffise à cacher leur manque de maîtrise du sujet. Voici notre podium.

    Médaille de bronze

    La médaille de bronze revient au multimédaillé et favori dans sa catégorie, Philippe Latombe, qui manipule les notions juridiques d’obligation de moyens et d’obligation de résultat sans que l’on comprenne vraiment où il veut en venir. Ce qu’on comprend surtout c’est qu’il estime impossible d’évaluer techniquement la VSA et qu’il faudrait absolument l’« expérimenter » pour garantir la sécurité lors des JO. Cela, sans jamais prévoir la manière dont on évaluera l’impact réel de telles technologies de surveillance de masse, alors même que l’on a jamais eu de retour sur les résultats sur les tests réalisés depuis des années sur la VSA. .

    La vision assistée par ordinateur nécessite d’avoir recours au deep learning, ou « apprentissage profond », car les flux vidéo contiennent de grandes quantités de variables impliquant de très nombreux calculs. Une simple image HD compte plus de 2 millions de pixels : il n’est pas imaginable que toutes les dimensions que nécessite son analyse soit chapeautées par un humain.

    Les calculs que nécessite l’analyse de telles images sont effectués dans différentes couches de réseaux de neurones. Chaque couche a un rôle précis et permet de pondérer l’algorithme pour lui faire adopter différents comportements. Certains algorithmes comportent de si nombreuses couches que leur fonctionnement est opaque, y compris pour les data scientists qui les manipulent, souvent à tâtons, sans pourvoir dire pourquoi tel réglage fonctionne mieux que tel autre : on se retrouve face à un divorce entre, d’un côté l’intention du programmeur et ses a priori, et de l’autre ce que la machine produit effectivement comme programme. Les ingénieurs ne peuvent avoir la main que sur la correction des erreurs du résultat (est-ce bien une personne qui court ?) et non sur la manière dont le résultat est obtenu (comment l’algorithme a déduit qu’il s’agissait d’une personne qui court).

    Regarder les résultats d’un algorithme ne permet donc ni une vision claire de son fonctionnement et des décisions (aux conséquences politiques) qui l’ont conduit au résultat final, ni de savoir tout ce que l’IA n’a pas réussi à reconnaître.

    Ainsi, quand Philippe Latombe bafouille « Dans le cas d’un système d’intelligence artificielle reposant sur un apprentissage, il est très compliqué de valider sur le plan technique la notion d’obligation de résultat. On valide éventuellement un logiciel ou un traitement algorithmique au départ, mais en fonction de l’apprentissage, ils peuvent évoluer. (…) il faut assumer le fait qu’il soit impossible de recourir à un algorithme s’il a évolué et ne répond plus entièrement aux conditions de départ. », pensant briller en mêlant jargon juridique et technique, il ne fait que démontrer qu’il n’est pas en mesure de mettre en place des garde-fous juridiques pour encadrer la surveillance biométrique (et pour cause, ce n’est pas possible tant le deep learning est une technologie opaque) ni même de garantir une quelconque efficacité. Bien essayé.

    Médaille d’argent

    À la deuxième place du podium, on trouve le rapporteur Guillaume Vuilletet qui, pour refuser l’ouverture et la transparence des algorithmes, explique : « S’il y a bien quelque chose qui peut servir aux terroristes c’est d’avoir le code et de comment le contourner (…) donner les codes des algorithmes, les rendre publics, c’est donner les outils à tous ceux qui voudraient pirater les algorithmes et voudraient les détourner. »

    Car c’est bien connu : les terroristes, si facilement détectables avec une caméra et un bon logiciel, pourraient changer leur attitude pour laisser croire qu’ils ne sont pas terroristes. Car avant tout, le terroriste est fourbe.
    Oui, c’est de l’ironie, mais c’est le député qui a commencé en nous prenant pour des buses.

    Il n’est pas le seul, les députés ont à plusieurs reprises mentionné l’idée « d’ouvrir le code » pour dire à quel point il ne fallait surtout pas le faire.

    Concernant les logiciels de VSA, il y a plusieurs choses qui peuvent être rendue accessibles :
    – les données d’entraînement : en pratique, nombre de ces jeux de données sont déjà accessibles, sous des licences autorisant plus moins d’usages. Parmi eux, beaucoup sont utilisés de manières illégales et comportent, par exemple, des images récupérées sans consentement sur les réseaux sociaux.
    – les algorithmes utilisés : il en existe de nombreux et eux aussi sont très fréquemment opensource
    – le paramétrage de ces algorithmes : c’est la partie qui est développée par les entreprises de VSA et comme on l’a dit plus tôt qui détermine les décisions politiques.

    Donc la question de la transparence des algorithmes n’est jamais posée correctement car elle est multiple. Surtout, cette problématique de l’ouverture du code efface la question de l’interdiction même de cette technologie. Plutôt que de chercher à rendre la surveillance biométrique plus transparente, autant se contenter de ne pas la légaliser.

    Petite mention spéciale à Philippe Latombe, qui déclare « Donc ne commencez pas à dire « suspicion généralisée », ca va forcément être avec des biais, il faut ouvrir le code. Désolé mais vous demandez à Google d’ouvrir le code, le lendemain il vaudra plus rien, vous n’aurez pas les expertises pour pouvoir le faire. Y a des vrais sujets de praticité des choses

    On comprend qu’il n’a aucune notion de ces éléments. Par exemple, Google n’a rien à perdre à rendre ses méthodes d’apprentissage publiques, elles sont déjà open sources pour la plupart (notamment la bibliothèque TensorFlow utilisée dans le monde entier) et la croyance que la mise à disposition d’un code lui enlève sa valeur est particulièrement datée. Les députés démontrent ainsi ne rien connaître à l’économie de l’opensource, qui est très importante dans le développement de l’intelligence artificielle (OpenAI, par exemple, a publié le modèle GPT2 qui est derrière ChatGPT) et n’abordent jamais le véritable sujet qui serait d’être plus transparent sur les pratiques policières pour lutter contre celles qui sont les plus discriminantes.

    Médaille d’or

    Enfin, la médaille d’or est attribuée à Philippe Latombe (encore lui, quel champion !), pour avoir expliqué – ici et – que les traitements de la VSA ne sont que des « traitements vectoriels », car : « Les images sont transformées en vecteur et en points». Ainsi, la foule ne serait qu’une agrégation de points attribués à des personnes. Et pour les bagages abandonnés ? C’est très simple :

    «On associe une personne que l’on transforme en un vecteur mathématique à un objet qui lui n’est pas un vecteur, et on voit si ça bouge et si il y a un écartement entre les deux. Cet écartement permet simplement d’éviter qu’il y ait un bagage abandonné sur le quai de la SNCF.»

    On le connaît bien cet enfumage ! On vous en parlait il y a deux semaines lorsqu’on analysait les stratégies des entreprises pour donner à la VSA une image acceptable. À entendre les promoteurs de la VSA, on donne une définition mathématique des données biométriques et hop ! Magie ! Il n’y a plus de biométrie. « Ce n’est pas une image d’une personne, c’est juste une suite de nombres ! Et ça, ce n’est pas un micro, c’est un capteur de vibration de l’air ! ». Bientôt on aura droit à « Non ce n’est pas de l’ADN, c’est juste une macromolécule définie par une suite de bases nucléiques, rien de biométrique ! ».

    Oui, une image est faite de pixels, qui restent des nombres, et oui on peut modéliser ce qui y est représenté avec des vecteurs. Une image avec des personnes majoritairement Noires, si on la modélise mathématiquement avec des vecteurs par exemple, « contiendra » l’information qu’une majorité des personnes sont Noires. Le prétendu « passage en vecteur » n’empêche absolument pas au programme de reconnaître une démarche, des vêtements ou une couleur de peau, de conserver cette information, de lui donner un poids et de prendre des décisions en fonction de ces variables. Au contraire, c’est grâce à ce traitement que l’on peut exploiter plus facilement les données biométriques.

    Une fois encore, M. Latombe — par ignorance ou délibérément ? — tente de minimiser la qualification biométrique de cette surveillance, qui est pourtant indiscutable. La reconnaissance de comportements suspects implique nécessairement l’analyse du corps humain, de sa démarche, de ses attributs physiques et de ses mouvements, pour l’individualiser et le reconnaître. Il sera ainsi possible de reconnaître que telle personne présente sur telle zone est la même que celle visible sur une autre caméra, par exemple en raison de sa démarche. Le suivi et l’identification biométrique (c’est-à-dire la capacité à dire qu’il s’agit de la même personne d’après ses caractéristiques physiques, quand bien même on ne connaît pas son nom) sont explicitement rendus possibles par l’utilisation de cette nouvelle technologie, et c’est l’un des dangers prégnants qu’elle fait peser sur le droit à l’anonymat.

    Malheureusement, comme un certain nombre de ses collègues, le député Thomas Rudigoz (Renaissance) prétend que « ce traitement algorithmique exclut tout traitement biométrique. Ce que l’on recherche c’est à identifier les mouvements de foule, les densifications de personne à un endroit particulier, identifier des zones interdites qui seraient occupées par telle ou telle personne, des colis suspects et aucunement une reconnaissance faciale ou biométrique ».

    Nous l’avons déjà répété plusieurs fois : la VSA met en œuvre des traitements de données biométriques. Les associations européennes ont récemment alerté les députés sur ce point et il est totalement faux de prétendre l’inverse. L’industrie a usé de stratégies de communication pour modifier le sens de ce mot et le cantonner à la reconnaissance faciale (nous avons décortiqué cette manœuvre ici). Il est désolant de voir une grande partie des députés se laisser mener en bateau par cette rhétorique sans sourciller.

    Conclusion

    Les débats en commission des lois ont montré que les députés de la majorité ne maîtrisent ni les enjeux techniques ni les dangers politiques des technologies de vidéosurveillance automatisée. À aucun moment la question de la définition politique et morale de la notion de « comportement suspect » n’a été sérieusement abordée, ni les problématiques du rapport de la population à la sécurité dans l’espace public — qui passe par bien d’autres solutions que la surveillance et la répression. La croyance que la « protection » ne peut être atteinte que par l’installation de dispositifs de surveillance est tellement ancrée dans l’imaginaire des gouvernants qu’ils ne savent même plus déceler les pouvoirs à limiter et les abus à prévenir.

    De nouveau la dépolitisation des questions collectives, voulue par le marché de la sécurité et alimentée par les politiques univoques de ces dernières décennies qui mettent systématiquement le sentiment d’insécurité au centre du débat public, a achevé d’enterrer tout débat constructif, les parlementaires ne faisant même plus semblant de maîtriser l’objet de leurs lois.

    Les débats commencent lundi prochain en séance. Il est urgent de mettre les députés face à leurs contradictions pour les convaincre de voter contre cet article 7. Rendez-vous sur notre page de campagne pour voir comment les contacter et refuser ensemble la surveillance biométrique !

    ]]>
    38 organisations internationales contre la surveillance biométrique !https://www.laquadrature.net/?p=20321http://isyteck.com/autoblog/quadrature/index.php5?20230307_114430_38_organisations_internationales_contre_la_surveillance_biometrique___Tue, 07 Mar 2023 10:44:30 +0000 Hier, trente-huit organisations européennes et internationales, coordonnées par l’ECNL, ont dénoncé dans une lettre ouverte le projet du gouvernement français de légaliser la vidéosurveillance algorithmique en France. Nous les remercions de leur soutien à notre campagne et republions leur lettre ci-dessous.

    Ces associations alertent l’Assemblée nationale sur le fait qu’il s’agirait de la première légalisation de la surveillance biométrique en Europe, qui confirmerait la position de la France comme fer de lance de la surveillance dans l’Union européenne. Cela n’est pas si étonnant quand on se souvient que le Conseil d’État avait courant 2021 écarté le droit de l’UE pour valider les pratiques de surveillance de la police et des services de renseignement, et que plus récemment la France s’est positionnée dans les négociations du règlement sur l’intelligence artificielle pour qu’il y ait le moins de restrictions possibles à l’usage de la surveillance biométrique.

    Les Jeux olympiques sont instrumentalisés pour rendre acceptable un objectif politique pensé et voulu de longue date. Alors interpellons les député·es pour les convaincre de refuser ce premier pas vers une société où les logiciels de surveillance automatisée de nos corps deviendraient la norme. Rendez-vous sur notre page de campagne pour empêcher le vote de l’article 7 de la loi !

    Lettre de la société civile aux députés français sur le projet de loi relatif aux Jeux olympiques et paralympiques 2024

    Nous, 38 organisations de la société civile soussignées, exprimons notre vive inquiétude en ce qui concerne l’article 7 du projet de loi relatif aux Jeux olympiques et paralympiques de 20241 https://www.senat.fr/leg/pjl22-220.html . Cette disposition crée une base juridique pour l’utilisation de caméras dotées d’algorithmes en vue de détecter des événements suspects spécifiques dans l’espace public.

    Ce projet de loi ouvre la voie à l’utilisation d’une vidéosurveillance algorithmique intrusive sous couvert d’assurer la sécurité lors d’événements de grande ampleur. En vertu de cette loi, la France deviendrait le premier État de l’Union européenne (UE) à légaliser de manière explicite ce type de pratiques. Nous estimons que les mesures de surveillance introduites sont contraires au droit international relatif aux droits humains dans la mesure où elles ne satisfont pas aux principes de nécessité et de proportionnalité et impliquent des risques inacceptables vis-à-vis de plusieurs droits fondamentaux tels que le droit à la vie privée, le droit à la liberté de réunion et d’association et le droit à la non-discrimination.

    Nous invitons les députés français à envisager le retrait de l’article 7 et à consulter la société civile en ouvrant un débat sur cette question. Si l’article était adopté, il créerait un précédent inquiétant en matière de surveillance injustifiée et disproportionnée dans l’espace public, au détriment des droits fondamentaux et des libertés.

    Ce projet de loi représente une grave menace pour les libertés civiques et les principes démocratiques

    Par sa simple présence dans des zones accessibles au public, la vidéosurveillance algorithmique non ciblée (souvent appelée « indiscriminée ») peut avoir un effet dissuasif sur les libertés civiques fondamentales, et notamment sur le droit à la liberté de réunion, d’association et d’expression. Comme l’ont souligné le Comité européen de la protection des données et le Contrôleur européen de la protection des données2https://edpb.europa.eu/system/files/2021-10/edpb-edps_joint_opinion_ai_regulation_fr.pdf, la surveillance biométrique a de graves répercussions sur les attentes raisonnables des personnes en matière d’anonymat dans les espaces publics et a un effet négatif sur leur volonté et leur capacité d’exercer leurs libertés civiques, car elles redoutent d’être identifiées, repérées ou même poursuivies à tort. En l’état, cette mesure menace l’essence même du droit à la vie privée et à la protection des données, ce qui la rend contraire au droit international et européen relatif aux droits
    humains.

    Conformément aux valeurs et aux principes démocratiques, lors d’événements de grande ampleur tels que les Jeux olympiques, il est essentiel de garantir l’entière protection de ces droits fondamentaux et d’offrir des conditions propices au débat public, et notamment à l’expression politique dans les espaces publics.

    Par ailleurs, ce projet de loi allonge considérablement et dangereusement la liste des motifs justifiant la surveillance des espaces publics. Ainsi, les situations de mendicité ou de rassemblements statiques pourraient être qualifiées d’« atypiques », créant un risque de stigmatisation et de discrimination pour les personnes qui passent beaucoup de temps dans l’espace public, par exemple parce qu’elles sont sans abri, en situation de vulnérabilité économique ou de handicap. Il est prouvé que l’utilisation des technologies de surveillance crée un état de contrôle, de profilage et de suivi permanent qui nuit de manière disproportionnée aux personnes marginalisées. L’utilisation de systèmes algorithmiques pour lutter contre la criminalité a entraîné une surveillance excessive de la part de la police, une discrimination structurelle dans le système de justice pénale et une criminalisation disproportionnée des minorités raciales, ethniques et religieuses. Cela conduit à la violation, entre autres, du principe de non-discrimination inscrit dans les normes internationales et européennes relatives aux droits humains.

    Ce projet de loi entraînerait une surveillance biométrique de masse

    Le paragraphe III de l’article 7 du projet de loi dispose de manière erronée que les systèmes algorithmiques de vidéosurveillance ne traiteront aucune donnée biométrique. Le règlement général sur la protection des données (RGPD) de l’Union européenne définit les données biométriques comme des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique » (article 4-14 du RGPD).

    Si l’usage de caméras dotées d’algorithmes est destiné à détecter des événements suspects spécifiques dans l’espace public, ces caméras capteront et analyseront forcément des traits physiologiques et des comportements de personnes présentes dans ces espaces. Il pourra s’agir de la posture de leurs corps, de leur démarche, de leurs mouvements, de leurs gestes ou de leur apparence. Le fait d’isoler des personnes par rapport à leur environnement, qui s’avère indispensable en vue de remplir l’objectif du système, constitue une « identification unique ». Tel que l’établit la loi sur la protection des données de l’UE et selon l’interprétation du Comité européen de la protection des données3https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_fr.pdf, la capacité d’isoler une personne parmi une foule ou par rapport à son environnement, que son nom ou son identité soient connus ou non, constitue une « identification unique ».

    Il est important de garder à l’esprit que l’utilisation de systèmes basés sur l’intelligence artificielle en vue d’analyser et de prédire les comportements, les émotions ou les intentions des personnes peut être tout autant intrusive et dangereuse que celle de systèmes visant à identifier des personnes. Le fait de placer des personnes dans une catégorie regroupant les comportements « à risque » sur la base de leurs données biométriques constituerait une catégorisation biométrique, que le Défenseur des droits et le projet de loi sur l’intelligence artificielle de l’UE définissent comme le fait de catégoriser des personnes physiques en fonction de
    caractéristiques spécifiques en se fondant sur leurs données biométriques. Nous attirons l’attention des députés français sur le risque que cette mesure soit en contradiction avec la future loi de l’UE sur l’intelligence artificielle. Dans le cadre du travail législatif en cours, plusieurs amendements proposent l’interdiction totale de la catégorisation biométrique au regard des risques importants qu’elle entraîne pour les droits fondamentaux.

    Les atteintes graves aux droits humains contreviennent aux exigences de nécessité et de proportionnalité

    Pour garantir une véritable protection des droits humains, il convient de commencer par comprendre les limites des technologies et apporter des preuves de leur adéquation par rapport aux objectifs poursuivis. Dès lors, il est indispensable de mener une étude en vue de déterminer si les technologies introduites au nom de la sécurité répondent à des menaces avérées et quelles incidences leur utilisation aura sur les droits humains et les libertés civiques.

    Bien que ce projet de loi présente des risques élevés pour les droits fondamentaux et malgré les preuves existantes4https://www.lemonde.fr/societe/article/2021/12/22/une-etude-commandee-par-les-gendarmes-montre-la-relative-inefficacite-de-la-videosurveillance_6106952_3224.html de l’inefficacité de la vidéosurveillance en matière de prévention des infractions et des menaces à la sécurité, le gouvernement n’a pas démontré la conformité de ce projet de loi aux principes de nécessité et de proportionnalité et il n’a pas engagé de véritable dialogue avec la société civile au sujet de cette mesure. De ce fait, nous estimons que les restrictions des droits humains introduites ne satisfont pas aux trois critères de légalité, de but légitime et de nécessité et de proportionnalité. Elles constituent une violation des obligations incombant aux États en matière de droits humains en vertu de traités internationaux, et notamment du Traité international relatif aux droits civils et
    politiques et de la Convention européenne des droits de l’homme.

    Ce projet de loi constitue une étape vers la normalisation de pouvoirs d’exception en matière de surveillance

    L’article 7 du projet de loi est représentatif de la tendance inquiétante des gouvernements à étendre leurs pouvoirs de surveillance dans le cadre de mesures d’urgence prises au nom de la sécurité. Or, il est rare que ces mesures dites « d’exception » soient levées rapidement. En lieu et place, les mesures de surveillance et de contrôle deviennent la norme. Souvent, elles ne s’accompagnent pas de garanties suffisantes et de mécanismes de responsabilité, elles manquent de transparence et elles ne font l’objet d’aucun dialogue avec les parties intéressées.

    Cette tendance a été amplement constatée en ce qui concerne les mesures de surveillance prises au cours des deux dernières décennies sous couvert de la lutte contre le terrorisme et, plus récemment, avec les solutions numériques adoptées dans le contexte de la pandémie de Covid-195https://ecnl.org/publications/under-surveillance-misuse-technologies-emergency-responses. Nous avons également observé par le passé que les Jeux olympiques peuvent servir de terrain d’expérimentation6https://www.scielo.br/j/cm/a/zcKnN9ChT9Wqc4hfGWKSk4d/?format=pdf&lang=en pour doter l’État de pouvoirs renforcés qui sont ensuite maintenus lorsque la situation d’exception prend fin.

    Ces exemples suffisent à justifier nos craintes de voir l’utilisation de la vidéosurveillance algorithmique perdurer au-delà de 2025. Si elle est adoptée, cette loi constituera également un précédent dangereux pour d’autres pays européens, tels que le Portugal et la Serbie, qui ont tenté, à ce jour sans succès, de légaliser une série de pratiques de surveillance biométrique risquées. La France endosserait alors le rôle peu reluisant de « leader » des politiques de surveillance au sein de l’Union européenne.

    Nous espérons sincèrement que les députés français prendront des mesures de toute urgence en consultation avec la société civile afin de répondre aux préoccupations exposées ci-dessus.

    • Access Now, International
    • AlgoRace, Espagne
    • AlgorithmWatch, Allemagne
    • AlgorithmWatch CH, Suisse
    • Amnesty International, International
    • ApTI, Roumanie
    • ARTICLE 19, International
    • Association Nationale des Supporters, France
    • Big Brother Watch, Royaume-Uni
    • Bits of Freedom, Pays-Bas
    • Centre for Democracy & Technology, Europe
    • Chaos Computer Club Lëtzebuerg, Luxembourg
    • Citizen D / Državljan D, Slovénie
    • Civil Liberties Union for Europe, Europe
    • Deutsche Vereinigung für Datenschutz e.V. (DVD), Allemagne
    • Digitalcourage e.V., Allemagne
    • Digitale Gesellschaft, Suisse
    • Digitale Freiheit e.V., Allemagne
    • Elektronisk Forpost Norge, Norvège
    • Eticas Tech, Espagne
    • European Center for Not-for-Profit Law Stichting (ECNL), Europe
    • European Digital Rights, Europe
    • Fair Trials, International
    • Forum Civique Européen, France/Europe
    • Football Supporters Europe, Europe
    • Homo Digitalis, Grèce
    • Human Rights Watch, International
    • Irish Council for Civil Liberties, Irlande
    • IT-Pol, Danemark
    • Iuridicum Remedium, République tchèque
    • Liberty, Royaume-Uni
    • Panoptykon Foundation, Pologne
    • Privacy International, International
    • Privacy Network, Italie
    • Share Foundation, Serbie
    • Society Vrijbit, Pays-Bas
    • Statewatch, Europe
    • Today is a new day / Danes je nov dan, Slovénie
    ]]>
    PARIS 2024 : LA FRANCE CHAMPIONNE OLYMPIQUE DE LA TECHNOPOLICEhttps://www.laquadrature.net/?p=20270http://isyteck.com/autoblog/quadrature/index.php5?20230302_145810_PARIS_2024____LA_FRANCE_CHAMPIONNE_OLYMPIQUE_DE_LA_TECHNOPOLICEThu, 02 Mar 2023 13:58:10 +0000Nous republions un article écrit pour le numéro 24 de la revue papier Mon Lapin Quotidien. Illustration de Quentin Faucompré.

    À moins de deux ans des Jeux olympiques de Paris 2024, et à un an de la Coupe du monde de Rugby 2023, les décideurs publics annoncent de grands projets sécuritaires : la nation tout entière est en ordre de marche vers la Sécurité, comprise uniquement comme pratique policière de la répression et comme industrie de l’équipement de surveillance.

    Jeux olympiques de Paris 2024. La liesse, la foule, les couleurs, le bruit. Des milliers de spectateurs se pressent dans les allées du village olympique et dans les alentours du Stade de France. Au-dessus d’eux, à peine visibles dans le ciel bleu, des drones bourdonnent. Ils filment en haute définition, et les images sont transmises au sol où des ordinateurs analysent sans relâche l’écoulement fluide de la foule, à la recherche d’un groupe qui chahute ou d’individus dont le comportement trop singulier inquiète : un attroupement sans cause visible, un arrêt prolongé dans un lieu de passage qui ralentirait ou dévierait le flux des spectateurs, ou une personne qui se met brusquement à courir. Le logiciel lance aussitôt une alerte. Sur chaque mât de lampadaire, des caméras pivotent en direction de la zone désignée par l’ordinateur. Alertés, des opérateurs humains se penchent sur les écrans. Les drones convergent pour donner une image plus précise de la situation vue du ciel — point de vue idéal, dispositif panoptique absolu, partout présent et localisable nulle part, un peu comme Dieu mais avec quatre hélices.
    Comme 30 000 agents de police sont mobilisés chaque jour pour contrôler et rassurer la foule des touristes, le suspect est vite appréhendé dans une rue de Saint-Denis. Les policiers le photographient avec leur téléphone et soumettent son visage à leurs bases de données, en passant par le fichier du Traitement des antécédents judiciaires (TAJ), qui comporte une très utile fonction de reconnaissance faciale, interrogée plusieurs milliers de fois par jour. Très vite son nom revient, accompagné de toutes les informations dont disposent le fichier des Titres électroniques sécurisés (TES) : son âge, son adresse, ses empreintes digitales et son empreinte faciale. Il est relâché : malgré son aspect maghrébin, qui pouvait motiver une inquiétude bien acquise chez un policier français (de la police française), l’homme n’est pas défavorablement connu des services. En revanche, son comportement anormal ayant troublé l’ordre public et nécessité l’intervention coûteuse et inutile des forces de l’ordre, alors que le risque d’attentat est très élevé, une amende forfaitaire lui est infligée. Soulagé de quelques centaines d’euros, il peut reprendre le cours de sa vie d’innocent en sursis, à condition de ne pas courir.

    Le désastre sécuritaire qui vient

    Cette description relève encore partiellement de la science-fiction, mais plus pour très longtemps. Car l’ambition déclarée du ministère de l’Intérieur — dirigé aujourd’hui par Darmanin, Gérald — est bien de permettre au système sécuritaire français de concrétiser ce cauchemar avant juin 2024. Dans un « Livre blanc de la sécurité intérieure » paru fin 20201Livre blanc de la sécurité intérieure, novembre 2020. ainsi que dans un rapport annexe à la récente « Loi d’orientation et de programmation du ministère du l’Intérieur » (LOPMI, adoptée à l’Assemblée nationale le 18 novembre 2022), les intentions du ministère sont explicitées sans fausse pudeur : il s’agit d’un « réarmement », selon les mots du ministre lui-même, dans le cadre duquel les outils de haute technologie numérique seront de précieux auxiliaires de police. Casques à vision intégrée, exosquelette de protection, consultation des fichiers à distance, caméras mobiles, reconnaissance faciale en continu, drones, fichage, tout l’arsenal imaginable est envisagé, avec ses besoins de financement et son encadrement législatif, suivant un calendrier qui prend 2024 comme horizon. Tout doit être prêt pour les Jeux olympiques.

    L’ambition est bien entendue habillée des meilleures intentions du monde. La légitime protection contre la menace terroriste est abondamment invoquée pour justifier ce déferlement sécuritaire. Darmanin parle de « terroristes islamistes, de l’ultra-droite et de l’ultra-gauche », et affirme que les renseignement feront un « effort » pour « maîtriser » ces personnes en amont des JO. Ce n’est pas sans rappeler la COP 21 de 2015, quand nombre de militants écologistes avaient été perquisitionnés, arrêtés pour certains, et assignés à résidence un peu avant le début de l’événement2« Les militants de la COP21, cibles de l’état d’urgence », Le Monde, 27 novembre 2015..

    Apparition de la Technopolice

    La Quadrature du Net, dont l’objet est la défense des droits et des libertés fondamentales à l’ère du numérique, s’intéresse activement depuis 2018 aux pratiques de surveillance technologique dans les villes françaises, que nous appelons la Technopolice. Tout est parti d’un article de presse3« À Marseille, le big data au service de la sécurité dans la ville », Le Monde, 8 décembre 2017. au sujet d’un projet municipal, à Marseille, de construire un « Observatoire de la Tranquillité publique », qui devait mettre le big data au service de la sécurité. Le nouveau centre de supervision urbain (CSU) — endroit où arrivent les flux vidéos de toutes les caméras de vidéosurveillance — devait également centraliser toutes les données numériques produites par les services de la ville : trafic routier, police municipale, marins-pompiers, hôpitaux, etc. L’ambition : malaxer cette montagne de données quotidiennes avec des algorithmes d’intelligence artificielle pour dégager des motifs, des récurrences, des lois, bref, des éléments signifiants, dans l’espoir d’anticiper la délinquance ou les perturbations de l’ordre public.
    Il nous a aussitôt paru nécessaire de mettre en lumière ce qui se passait à Marseille et sans doute dans d’autres villes les françaises. Pour cela, nous avons utilisé un outil démocratique intéressant, le « droit d’accès au documents administratifs » que tous les citoyens peuvent exercer auprès des administrations, sous le contrôle d’un commission nationale (la Cada). Nous avons donc demandé aux mairies, par courrier, leurs délibérations et leurs appels d’offres en matière de dispositifs numériques de sécurité.

    Les demandes Cada et l’effet vampire

    Nous avons assez vite obtenu de nombreux documents, qui décrivent les dispositifs technologiques vendus par les industriels aux mairies. Des caméras, des logiciels, des algorithmes d’intelligence artificielle, des micros, des drones… Il faut bien comprendre que ces dispositifs ne sont pas des fantasmes de policiers ou de militants anti-répression, mais des réalités quotidiennes aujourd’hui en France. Un bestiaire étonnant, mais vite monotone, car les acteurs sont peu nombreux et toujours les mêmes. Autre surprise : de nombreuses communes ont acheté des packs de vidéosurveillance sans être toujours conscientes de la nature des systèmes qui leur ont été vendus. Et parfois, des initiatives plus déroutantes que d’autres se font remarquer : le maire de Saint-Étienne voulait installer des micros dans quelques rues « sensibles » d’un quartier populaire de la ville, pour lancer des interventions de police en cas de bruits suspects (bombe aérosol de peinture, cris, etc.). Dès que le projet a été rendu public, la mairie l’a retiré pour mettre un terme aux protestations. C’est ce qu’on appelle l’effet vampire  : les projets honteux ne résistent pas à la lumière.

    La campagne Technopolice

    Cet arsenal hybride se déploie depuis quelques années à très grande vitesse, mais derrière une brume tactique qu’il fallait dissiper. C’est pourquoi La Quadrature du Net a lancé une campagne Technopolice invitant les habitants des communes du pays à se saisir du problème et à faire des demandes Cada auprès de leurs mairies.
    La campagne s’est organisée autour d’un forum pour fédérer les initiatives locales et d’un site internet pour publier les documents obtenus et cartographier l’emprise croissante de la Technopolice. Elle cherche à documenter les dispositifs de surveillance, illégaux pour la plupart, qui sont aujourd’hui mis en place sous couvert d’expérimentation dans un premier temps, avant d’être entérinés par la pratique, puis par le droit.

    Les JO, un grand accélérateur de sécurité

    Dans ce contexte de monomanie sécuritaire — dernier pouvoir d’un État réduit à son squelette régalien, et confiné dans un rôle d’orientation des fonds publics vers l’entreprise privée — les Jeux olympiques sont une aubaine : pouvoir légaliser des pratiques (policières), financer une économie (industrielle) et fabriquer de la sécurité.
    La Coupe du monde de Rugby 2023 et surtout les Jeux olympiques de Paris 2024 sont explicitement envisagés comme des rendez-vous pour les forces de surveillance, car ils permettront de faire entrer dans le droit commun des pratiques jusqu’alors illégales, et de faire sauter le verrou qui bloquait la massification d’usages policiers encore marginaux, et de faire perdurer, bien au-delà de la période des JO, les moyens déployés spécifiquement pour ces derniers. C’est le célèbre effet cliquet : un événement exceptionnel justifie des mesures exceptionnelles qui ne seront jamais remises en cause par la suite. On se souvient par exemple que de nombreuses mesures de « simplification » administrative et judiciaire, prises lors de la longue période d’état d’urgence qui a suivi les attentats du 13 novembre 2015, ont ensuite été versées au droit commun par la loi Sécurité intérieure du 31 octobre 20174Loi Sécurité intérieure du 31 octobre 2017.. Le pays baigne de fait dans un état d’exception permanente.

    Une nouvelle « loi olympique » en 2023

    Lors d’une audition récente au Sénat, Gérald Darmanin a déclaré que la préparation des JO occupait un tiers de son temps de ministre, et annoncé que 30 000 agents des forces de sécurité seront mobilisés chaque jour, que 15 000 nouvelles caméras de surveillance seront installées, financées à hauteur de 44 millions d’euros par le ministère de l’Intérieur, et renforcées par des programmes de vidéosurveillance et des dispositifs anti-drones (la police se réservant ainsi le monopole du drone légitime).
    En amont, selon les mots du ministre, un « plan Zéro délinquance » prévoit de « nettoyer les banlieues », c’est-à-dire de harceler les populations ayant le malheur de vivre là où se tiendront les JO, dans les communes de Seine-Saint-Denis qui accueilleront le village olympique et les installations sportives (Saint-Denis, Aubervilliers, etc). Comme le Comité d’organisation des Jeux olympiques (COJO) l’écrit lui-même sur la page consacrée à « l’héritage » de ces Jeux : « Paris 2024 est un laboratoire pour inventer la ville de demain, une ville pour les gens »5Site officiel de Paris 2024
    Au cours de la même audition6Audition de Gérald Darmanin au Sénat, 25 octobre 2022., le ministre Darmanin a annoncé qu’une nouvelle « loi sur les Jeux olympiques » sortira des cartons au début de l’année 2023. Outre les dispositions déjà évoquées, son objectif sera d’introduire des « ajustements juridiques » pour légaliser la vidéosurveillance algorithmique.

    La VSA, un vieille connaissance de La Quadrature du Net

    Au cours de nos enquêtes sur les usages de la Technopolice municipale, nous avons beaucoup rencontré la vidéosurveillance intelligente, que nous préférons appeler la vidéosurveillance automatisée ou algorithmique (VSA). Les caméras urbaines génèrent chaque jour des centaines, des milliers d’heures d’images. L’humain n’est pas capable de les regarder avec efficacité. L’industrie a donc imaginé d’imposer cette fausse évidence : il suffit de confier le travail à des logiciels. Les algorithmes sont dressés à reconnaître des situations-types et chargés de repérer les « comportements suspects » définis par la police elle-même7« Qu’est-ce que la surveillance algorithmique ? », Technopolice, mars 2022..
    Ces algorithmes sont capables de s’intéresser à des « événements » (déplacements rapides, altercations, immobilité prolongée) ou aux traits distinctifs des personnes : une silhouette, un habillement, une démarche, grâce à quoi ils peuvent isoler une personne au sein d’une foule et la suivre tout le long de son déplacement dans la ville. Plus large et plus variée que la seule reconnaissance faciale, la VSA est à la fois un outil de police idéal et une filière industrielle aux débouchés nombreux.
    Pour cela, le gouvernement doit faire entrer dans le droit commun ces technologies aujourd’hui illégales, avec le moins de débat public possible.
    La vidéosurveillance, en plus d’être inefficace en regard de l’objectif qu’elle prétend atteindre (« moins de délinquance »), est une chimère politique de droite qui trace un signe égal entre la notion de sécurité et la simple répression. Une « sécurité de gauche », qui engage d’autres imaginaires, comme la sécurité sociale, sanitaire, alimentaire, ou le droit au logement, est beaucoup plus coûteuse à défendre. La VSA, à l’inverse, propose une solution simple en venant automatiser des dynamiques discriminatoires à l’œuvre depuis longtemps.

    Un enjeu de taille pour une industrie impatiente

    Les Jeux olympiques sont une aubaine pour les industriels de la sécurité, depuis les grandes multinationales comme Thalès ou Dassault, jusqu’aux petites start-ups agiles et disruptives de l’intelligence artificielle qui concoctent, avec un zèle touchant, les algorithmes de détection des « comportements suspects ».
    Thalès a déjà testé la reconnaissance faciale en 2021 dans les allées de Roland-Garros. La start-up Two-I avait essayé d’identifier les visages des supporters interdits de stade, à Metz, en 20208Reconnaissance faciale au stade de Metz, France 3 Grand Est, février 2020. : la CNIL lui avait infligé un avertissement pour cette expérience de police sauvage. Ces prestataires de la Technopolice se frottent aujourd’hui les mains : portés par les fonds de l’Agence Nationale de la Recherche et par l’appel d’air sécuritaire créé par les JO, ils comptent exposer aux yeux de monde entier le savoir-faire français en matière de surveillance et vendre leurs solutions à d’autres villes en France, en Europe, ou plus loin encore.
    Ces technologies sont aujourd’hui en phase de test — pas moins de 180 expérimentations avant la fin de 2022, pour un budget de 21 millions d’euros donnés par l’ANR — avant d’être « déployées » pour la Coupe du monde de Rugby de septembre 2023, dernière répétition générale avant les JO. Le gouvernement et les industriels sont main dans la main pour faire de la France une championne du marché techno-sécuritaire mondial.
    Au moment où le ministère de l’Intérieur voit son budget croître encore de 15 milliards d’euros sur cinq ans9« Loi d’orientation du ministère de l’Intérieur : nouvelle version mais vieilles recettes », Libération, 8 septembre 2022., le budget « sécurité » des Jeux olympiques, d’abord prévu à 182 millions d’euros, est passé à 295 millions d’euros. La surveillance et la répression n’ont pas entendu parler de la fin de l’abondance. Pour un gouvernement économiquement libéral et politiquement autoritaire, comme celui que pratique Emmanuel Macron, la dépense publique de sécurité est un fusil à deux coups : les milliards d’argent public permettent d’« assurer la sécurité des Français » et de « créer de l’emploi ». En même temps. On nage dans le bonheur et l’efficacité.

    Croissance et fragilité de la sécurité privée

    Cette privatisation de la sécurité publique présente un autre aspect : les nombreuses lois sécuritaire de ces dernières années donnent aux entreprises privées une part toujours plus grande des missions de sécurité publique.
    Les mouchards stipendiés par les préfets parisiens du 19e siècle regarderaient sans doute avec envie la rigueur professionnelle que le Livre blanc de la sécurité intérieur (2020) entend donner au « continuum de la sécurité privée ». Comme l’écrit Thomas Jusquiame : « moralisée, intégrée, contrôlée, protégée, alimentée, organisée, la sécurité privée n’a jamais paru autant en harmonie avec les forces de répression régaliennes »10« Sécurité privée et privatisation de la police », Lundi matin, 27 décembre 2021..
    Mais les organisateurs de Paris 2024 sont hantés par le souvenir des Jeux de Londres en 2012 : l’entreprise de sécurité privée mandatée par l’État avait déclaré forfait trois semaines avant le début des Jeux, faute d’agents disponibles, et le gouvernement britannique avait dû faire appel au personnel de l’armée. Or, à deux ans de la cérémonie d’ouverture des Jeux de Paris 2024, les 25 000 à 30 000 agents de sécurité demandés par le COJO manquent encore à l’appel.
    Le Conseil national des activités privées de sécurité (CNAPS) tente de rendre ce métier attractif, en proposant aux chômeur·euses d’île-de-France des formations payées par l’État, et cible même les étudiantes (il faut du personnel féminin pour les fouilles). À cela s’ajoute la nécessité de réaliser un million d’enquêtes administrative, dont la grande majorité concerne le recrutement des agents de sécurité privée. Le COJO a déjà annoncé avoir refusé entre 100 et 200 candidats fichés S.
    Le grand embrigadement dans la société de surveillance est apparemment un chemin plein d’épines. Et il convient d’en rajouter.

    Perspectives de lutte et plainte collective

    Les Jeux olympiques ont souvent été dénoncés pour leur manière d’affirmer que le capitalisme fonctionne, tout en détruisant à la pelleteuse des vies, des habitats et des communautés11« Paris JO 2024, miracle ou mirage », ouvrage collectif publié en 2022 aux éditions Libre et Solidaire.. En mai dernier, une rencontre anti-olympique a eu lieu à Paris12Retour sur les rencontres anti-olympiques internationales, mai 2022.. Le collectif Vigilance JO Saint-Denis dénonce les projet d’aménagement urbain destructeurs13Collectif Vigilance JO Saint-Denis. Le collectif Saccage 202414Saccage 2024 regroupe les organisations qui combattent les destructions occasionnées par les Jeux, qui accélèrent « les problèmes écologiques et les injustices sociales dans nos villes, et nous privent des moyens de décider collectivement de ce qui nous entoure ».
    Le déploiement des dispositifs technopoliciers diffère en fonction des contextes locaux, des volontés municipales et des accointances avec des industriels. Mais l’ambition du chantier de surveillance des JO de Paris 2024 confirme que le ton général est donné par le sommet de la pyramide sécuritaire nationale. C’est pourquoi la Quadrature du Net a décidé de porter une plainte collective — plus de 15 000 personnes nous ont confié leur mandat, et la plainte été déposée devant la CNIL le 24 septembre 2022 — contre le ministère de l’Intérieur et contre les grands piliers du système de la Technopolice : la vidéosurveillance, les logiciels de VSA, la reconnaissance faciale, et le fichage généralisé (fichiers TAJ et TES). Nous dénonçons la volonté d’imposer à marche forcée ces dispositifs de surveillance totale, sans volonté démocratique et sans retour possible, pour le maintien d’un ordre dont tout indique, des hôpitaux aux universités, des crises sanitaires aux crises migratoires, des océans aux forêts, de la biodiversité au climat, qu’il est un ordre de mort.

    ]]>
    Une BD pour refuser la surveillance biométrique !https://www.laquadrature.net/?p=20188http://isyteck.com/autoblog/quadrature/index.php5?20230224_150608_Une_BD_pour_refuser_la_surveillance_biometrique___Fri, 24 Feb 2023 14:06:08 +0000 Nous publions une BD de Grisebouille contre la surveillance biométrique (dont on peut retrouver le site internet ici) de Framasoft. Merci !

    ]]>
    Stratégies d’infiltration de la surveillance biométrique dans nos villes et nos vieshttps://www.laquadrature.net/?p=20162http://isyteck.com/autoblog/quadrature/index.php5?20230223_121130_Strategies_d___infiltration_de_la_surveillance_biometrique_dans_nos_villes_et_nos_viesThu, 23 Feb 2023 11:11:30 +0000Depuis 2019, l’initiative Technopolice documente et analyse le déploiement illégal des technologies d’intelligence artificielle qui cherchent à augmenter la puissance policière de répression dans l’espace public. En quatre ans, ces technologies se sont perfectionnées et leurs promoteurs – des entreprises et des représentants de politiques sécuritaires – tentent de sortir de cette position illégale inconfortable.
    Alors que le déploiement de ces IA policières s’est fait dans l’illégalité la plus totale, la loi sur les Jeux Olympiques et Paralympiques de 2024 a précisément pour but d’amorcer cette légalisation de la surveillance biométrique, en commençant par la VSA : la vidéosurveillance algorithmique. Mais pour arriver jusqu’ici, l’industrie a déployé tout un panel de stratégies pour rendre ces technologies acceptables. Décortiquons-les.

    Panorama des technologies phares de surveillance biométrique

    Tout d’abord, rappelons la véritable nature des trois technologies phares des entreprises du marché de la surveillance biométrique, qui mêlent captation de nos attributs (couleur des vêtements, sacs, couvre-chefs, etc.), de nos caractéristiques physiques (formes de nos corps, démarche…) et intelligence artificielle.

    • VSA

    La vidéosurveillance algorithmique consiste en l’automatisation du travail d’analyse des images de vidéosurveillance grâce à un logiciel, basé sur des algorithmes de « computer vision » (le champ de l’intelligence artificielle spécialisé dans le traitement des images), qui se charge de produire des notifications lorsque qu’il détecte un événement qu’on l’a entraîné à reconnaître, généralement en vue d’une intervention policière. Cette technologie est aussi utilisée pour des usages privés, par exemple pour détecter des intrusions dans une propriété privée ou pour surveiller les clients des supermarchés.

    Les algorithmes ayant pour but de reconnaître une information sur une image sont généralement basés sur de l’apprentissage automatique, aussi appelé « machine learning ». Pour pouvoir faire de la reconnaissance sur ces flux vidéo, il convient de traduire des informations (nombre de pixels, position, couleur, et leur évolution dans le temps) en informations statistiques plus intelligibles et manipulables qu’on appelle des caractéristiques.

    Nous avons recensé de manière non exhaustive la mise en place de cette technologie dans plus de 200 villes françaises. Par exemple, la VSA peut détecter des « évènements anormaux » qui sont en réalité des comportements anodins tels que des rassemblements ou le fait d’être statiques, mais aussi suivre le parcours d’une personne ou lire des plaques d’immatriculation.

    • ASA

    L’audiosurveillance algorithmique fonctionne de la même manière que la VSA mais en utilisant des signaux audio à la place des flux vidéo. Contrairement à la VSA, qui se base sur le parc de vidéosurveillance existant, cette technologie demande d’installer des micros dans les rues. La première ville dans le viseur des collectifs luttant contre la technopolice a été Saint-Étienne, où, sous couvert d’expérimentation la municipalité avait prévu d’installer plusieurs dizaines de capteurs sonores dans un quartier de la ville afin d’en traquer les « bruits suspects » (klaxons, bris de verres, bombes aérosols)… Dès 2019, nous avions pu analyser la gravité du projet qui a finalement été annulé suite à une grande mobilisation des Stéphanoi·ses et un avertissement de la CNIL.

    Cela n’a pas empêché la ville d’Orléans de lancer un projet similaire en 2021, contre lequel La Quadrature a déposé un recours, toujours en cours d’examen par le tribunal.

    • Reconnaissance faciale

    La reconnaissance faciale fonctionne grâce aux mêmes algorithmes de « computer vision » que la VSA, c’est à dire de l’apprentissage statistique qui a pour but d’analyser et déterminer les corrélations et paramètres identiques entre des images. Dans cette application là, les algorithmes sont circonscrits aux traits du visage, on peut donc considérer la reconnaissance faciale comme une sous-catégorie de la VSA.

    En France, la reconnaissance faciale est déjà massivement utilisée par la police à travers le fichier de police du Traitement des Antécédents Judiciaires (TAJ). Dans ce cadre, la reconnaissance faciale est utilisée pour créer un lien direct entre le visage d’une personne et son identité civile enregistrée dans le TAJ. Cet usage permet aux agents de comparer, a posteriori, des images de vidéosurveillance ou de réseaux sociaux avec plus de huit millions de photos de personnes contenues dans ce fichier.

    De plus, nous avons pu observer plusieurs tentatives d’installation de la reconnaissance faciale dans l’espace public en France. Par exemple, la région PACA a voulu mettre en place des portiques de reconnaissance faciale dans deux lycées, à Nice et à Marseille en 2018. Nous avons fait un recours et le dispositif a été jugé illégal en 2020, car totalement disproportionné, par le Tribunal administratif de Marseille et par la CNIL.

    Les entreprises qui proposent des solutions de VSA sont tout autant en mesure de faire de la reconnaissance faciale. Officiellement, la plupart d’entre elles affirment ne pas utiliser les caractéristiques biométriques propres au visage car cela les ferait souffrir d’une trop mauvaise publicité, due au rejet massif de la reconnaissance faciale dans la société. Pourtant, elles utilisent bien d’autres caractéristiques biométriques (analyse des corps et de leurs mouvements) qui leur permettent de vendre leurs outils de VSA aux municipalités. De plus, nombre de ces entreprises proposent conjointement la VSA et la reconnaissance faciale dans leurs services, c’est le cas par exemple de Atos, Idemia, Thales, Axis, Avigilon ou encore Two-I.

    Nous dénonçons depuis longtemps le lien étroit entre toutes les technologies de surveillance biométrique. Si la VSA venait à être légalisée, les promoteurs de la reconnaissance faciale n’auraient plus qu’à expliquer qu’elle est seulement une application particulière de la VSA pour la faire accepter à son tour, comme un prolongement naturel ou logique. En autoriser une, c’est les accepter toutes, il est donc extrêmement important de ne laisser aucune de ces technologies gagner du terrain.

    Les stratégies d’acceptation et de légalisation de la surveillance biométrique

    Le droit actuel fournit une large protection des données personnelles et particulièrement des données biométriques. Nous l’expliquions dans cet article, avec le RGPD et la directive Police-Justice, la surveillance biométrique est pour l’heure strictement illégale. Les promoteurs de la surveillance biométrique sont au fait de cette illégalité. Pour contourner cet obstacle juridique, ils utilisent plusieurs stratégies pour faire exister ces technologies, les rendre acceptables et, in fine, les légaliser.

    Comme ces technologies sont déployées en toute opacité, obtenir des informations sur ces stratégies nous a demandé d’employer divers moyens : demandes d’accès à des documents administratifs (pour les appels d’offre et les procès-verbaux de conseils municipaux par exemple), analyse de la communication des entreprises ou réception d’informations par des lanceurs d’alertes (notamment par notre plateforme de leak sécurisée). Récemment, nous avons aussi obtenu auprès de la CNIL les réponses des entreprises à la consultation qu’elle avait lancée il y a un an sur le sujet, que nous citons et publions ici, tant celles-ci sont l’illustration patente de ces techniques d’acceptabilité1Les autres réponses reçues et non citées dans l’article sont disponibles ici : celles de l’association 810, du lobby AFEP, de la ville de Cagnes-sur-mer, du Cerema (Centre d’études et d’expertise sur les risques, l’environnement, la mobilité et l’aménagement), du CNPEN (Comité national pilote d’éthique du numérique), de Décathlon, du Défenseur des droits, de l’entreprise Digeiz, du délégué à la protection des données du ministère de l’Intérieur, de la Délégation à la protection des données (DPD) de la Ville et de l’Eurométropole de Strasbourg, du GPMSE (Groupement Professionnel des Métiers de la Sécurité Electronique), d’Île-de-France Mobilités, de la ville du Havre, de la ville de Neuilly -Plaisance, du PERIFEM (groupe réunissant les grandes enseignes de distribution, de l’entreprise Pizzorno, l’entreprise Quantaflow, du thinktank Renaissance Numérique, de l’entreprise Samsara, du groupe Transdev, de la Ville de Nice et de l’entreprise Wintics. .

    • L’expérimentation : faire croire à la surveillance éphémère

    L’expérimentation a été une des premières stratégies mises en œuvre pour confronter les publics à la surveillance biométrique et ainsi les habituer à cette technologie. L’appellation d’« expérimentation » permet de donner un sentiment d’éphémère et de réversibilité de leur mise en place.

    Dès 2018, nous avons assisté à une tentative d’installation de portiques de reconnaissance faciale à l’entrée de deux lycées à Nice et à Marseille, sous couvert d’expérimentation. De même, la ville de Nice a expérimenté un système de reconnaissance faciale en 2019 lors de son carnaval, expérimentation dont les résultats n’ont jamais été objectivement communiqués.

    Pour justifier la violation du RGPD et de la directive Police-Justice, les arguments consistaient à dire que l’expérience de reconnaissance faciale était « limitée dans le temps » et fondée sur le consentement explicite de volontaires. Cette stratégie se résume à faire exister des projets de surveillance biométrique en les « adoucissant » grâce à l’image expérimentale et permet aux promoteurs de la surveillance biométrique d’ancrer ces technologies sur le territoire, de les rendre normales dans nos environnements. Une fois que ces technologies ont une existence physique, il est beaucoup plus facile de les pérenniser et donc de justifier leurs légalisation.

    Un grand nombre d’entreprises poussent cette stratégie dans les réponses à la consultation de la CNIL. Par exemple le lobby de la vidéosurveillance AN2V(l’Association Nationale de la « Vidéoprotection ») plaide pour un « droit à l’expérimentation » quand l’entreprise Deveryware juge que « les tests grandeur nature constituent également une nécessité pour vérifier la robustesse du produit, son efficacité et son efficience ».

    On retrouve exactement le même procédé d’acceptabilité dans le projet de loi sur les Jeux olympiques, celui-ci prévoyant une « expérimentation » dans les évènements récréatifs, sportifs et culturels. Le gouvernement peine à masquer les volontés d’installer la VSA dans le quotidien puisque cette « expérimentation » durerait quasiment deux ans !

    • La dialectique du progressisme contre les réactionnaires

    Les technologies de surveillance biométriques sont fondées sur des algorithmes de « machine learning » dont l’existence est assez récente et qui sont très en vogue, y compris en dehors de l’industrie de la surveillance. Ils incarnent donc la nouveauté, le progrès et un futur soi-disant « inéluctable ». De nombreuses villes, y compris de très petites communes – comme Moirans en Isère – veulent l’adopter pour se donner une image de progrès et de modernité. Couplé à la stratégie d’expérimentation, il est assez facile pour ses promoteurs de présenter les militants s’opposant à la surveillance biométrique comme des réactionnaires souhaitant « revenir en arrière », alors même que ceux-ci ne font que réclamer la suspension de projets illégaux et présentés initialement comme éphémères.

    Pour mettre en avant ces bienfaits, les entreprises s’arment d’un discours publicitaire toujours plus valorisant à l’égard de leurs produits en les présentant comme très efficaces, voire « technomagiques », pour résoudre tout type de problème. Ainsi, dans les réponses à la CNIL, un grand nombre d’acteurs présentent la VSA comme ayant des bénéfices « évidents » pour la sécurité et arguent que les refuser serait préjudiciable pour la société. Pourtant l’évidence de ces bénéfices n’est jamais démontrée.

    Pour l’Union des Transports publics et Ferroviaires (qui voit dans la VSA un « bien commun », le chargé d’affaires publiques était manifestement très inspiré), « le déploiement de nouveaux systèmes de vidéos augmentées est important : il offre une nouvelle capacité d’anticipation et de réaction des opérateurs de service public non seulement en adéquation avec les réalités de fonctionnement du quotidien en matière de transport de masse, mais aussi, en adéquation avec les risques de notre temps et les attentes de « mieux vivre ensemble » du citoyen-voyageur ».

    Pour l’entreprise Idemia (leader du marché de la reconnaissance faciale), l’intérêt de la vidéosurveillance est « indiscutable » car la VSA « permettrait de réduire le nombre d’agents chargés de l’exploitation des flux des caméras (…) au bénéfice d’agents sur le terrain, plus vite (stratégie des feux naissants) et donc plus directement au service des citoyens ». L’entreprise prétend même que les biais algorithmiques – par leur nature supposée quantifiable et maîtrisable – seraient moindres que les biais humains. Cela l’amène à rêver de « salles vidéo aux écrans éteints, et donc une liberté d’aller et de venir retrouvée » car « chaque caméra aura alors l’efficacité d’une patrouille expérimentée, sans avoir les dérives potentielles [des biais humains] ».

    Ce discours péremptoire et mensonger de l’industrie – la VSA aurait un « intérêt indiscutable », serait du « bien commun », permettrait de « mieux vivre ensemble », etc. – ne s’accompagne d’aucune étude, d’aucune preuve, il s’agit simplement d’un discours publicitaire qui se retrouve pourtant bien souvent repris sans être questionné par des représentants politiques voulant démontrer qu’ils agissent pour la « sécurité ».

    • La hiérarchisation : accabler une technologie pour faire accepter les autres

    Une autre stratégie utilisée par les promoteurs de la surveillance biométrique est de mettre en concurrence la capacité d’atteinte aux libertés des différents outils de surveillance biométrique pour en présenter certaines comme inoffensives. Tout l’enjeu de cette stratégie est de hiérarchiser ces technologies – pourtant toutes considérées comme illégales par le RGPD et la directive Police-Justice – afin de jeter l’opprobre sur certaines et ainsi maintenir les autres dans l’opacité pour en cacher la gravité. Les entreprises de l’industrie de la surveillance biométrique entendent par cette rhétorique contribuer à dessiner la ligne d’un soi-disant « garde-fou » tout en se donnant l’image de se préoccuper des libertés alors qu’elles sont en réalité en train de les piétiner.

    La reconnaissance faciale est alors un outil stratégique très utile. Bien connue et depuis longtemps car très représentée dans la fiction dystopique, elle évoque instantanément la surveillance de masse : elle est dans l’imaginaire collectif la « ligne rouge » à ne pas franchir. Conscientes de cela, les entreprises tentent de créer une différenciation entre la reconnaissance faciale, dangereuse, et les autres technologies de surveillance biométrique – l’ASA et la VSA – qui seraient beaucoup moins graves en comparaison, et donc acceptables.

    Le choix des mots utilisés pour nommer et décrire ces technologies représente un enjeu stratégique majeur pour leur acceptabilité par la population. Chaque entreprise développe donc tout un discours marketing mélioratif et dédramatisant visant a éclipser le caractère biométrique de leur surveillance et à le présenter comme moindre par rapports à d’autres technologies plus graves. Dans les réponses envoyées par les entreprises à la CNIL lors de sa consultation sur la VSA, on retrouve beaucoup de ces éléments de langage. Par exemple, l’entreprise francilienne Alyce affirme « qu’il ne peut y avoir de postulat de dangerosité » concernant la VSA, niant ainsi tous les dangers de l’usage des données biométriques pour faire de la surveillance. Elle reconnaît que beaucoup des systèmes de VSA présentent « un fort risque d’intrusion » mais tente de les hiérarchiser en précisant que « tous ne présenteront pas un niveau de risque fort, notamment selon le caractère identifiant des images captées, le niveau d’identification permise par la captation », et cite comme exemple les dispositifs en différé ou bien ceux sur les axes routiers « car notamment insusceptible de révéler des données sensibles ». Rappelons pourtant que la surveillance des axes routiers et notamment la LAPI (le type de VSA qui permet la lecture automatisée des plaques d’immatriculation) fournit un identifiant unique rattachable à l’identité civile du conducteur du véhicule.

    De la même manière, l’entreprise Veesion (qui fait de la détection de vol) minimise sa technologie en la comparant à d’autres dans sa présentation : « La technologie de Veesion se fonde uniquement sur un traitement algorithmique de la gestuelle et des attitudes. L’entreprise n’utilise donc ni la reconnaissance faciale, ni le suivi de client, ni l’enregistrement d’identité ».

    Ces stratégies se révèlent souvent assez efficaces. Le choix de faire de la reconnaissance faciale un épouvantail attirant toute la lumière, alors que c’est surtout la VSA qui est au cœur du texte de la loi Olympique, a déteint jusqu’au gouvernement, qui a précisé au paragraphe III de l’article 7 que l’expérimentation n’incluait pas la reconnaissance faciale. La présidente de la CNIL a également foncé dans le piège en soutenant que l’exclusion de la reconnaissance faciale était une garantie.

    L’urgence pour l’heure n’est pas de parler de la reconnaissance faciale mais de visibiliser les conséquences de la VSA, au cœur de l’article 7 de la loi : la reconnaissance faciale est massivement rejetée par la population car ses dangers sont connus, c’est beaucoup moins le cas de la VSA qui comporte pourtant des dangers similaires. Il est essentiel de faire connaître cette technologie et de manifester notre opposition. N’hésitez pas à appeler les député·es (on vous explique comment faire ici) pour leur faire prendre conscience de la gravité du texte qu’ils sont en train de voter.

    • L’opportunisme : saisir chaque événement ou actualité pour promouvoir la surveillance biométrique

    Conscients qu’avec un espace de débat ouvert sur le temps long, les mesures d’augmentation de la surveillance seraient fortement rejetées par la population, les promoteurs de la surveillance biométrique se servent de toutes les occasions possibles leur permettant de précipiter sa légalisation. C’est une stratégie à laquelle nous sommes fréquemment confrontés : l’épidémie de covid-19 a par exemple été prétexte à l’usage de drones, à la mise en œuvre du suivi de nos déplacements et à une accélération de la collecte des données de santé.

    L’événement ici instrumentalisé, les Jeux olympiques, a déjà servi par le passé à l’extension de la surveillance. Par exemple, pour les JO de Tokyo, le gouvernement japonais a fait passer une loi « anti-conspiration » voulue de longue date pour mater les groupes militants et syndicaux, et fortement critiquée notamment par les Nations Unies au regard des atteintes aux libertés qu’elle créait et aux pouvoirs de surveillance qu’elle conférait à l’État. Plus récemment, le Qatar a mis en place un grand système de surveillance des personnes assistant à la Coupe du monde de football en 2022.

    L’avantage, en terme d’acceptabilité, de se servir d’un événement exceptionnel comme les Jeux olympiques est de venir renforcer le sentiment d’éphémère et d’expérimentation. Dans les réponses à la CNIL, on retrouve l’échéance de la Coupe du monde de Rugby 2023 et des Jeux de Paris 2024 dans quasiment toutes les bouches, comme par exemple celle de Deveryware (page 4), la RATP (page 13) ou encore la SNCF (page 3).

    Autre opportunisme que l’on croise très fréquemment dans la technopolice : celui des débouchés économiques. Pour le secteur, le développement des technologies créerait de l’emploi et favoriserait la croissance économique du marché de la surveillance. Aussi, celui-ci doit exister en France pour se positionner face à la concurrence internationale, qui apparaît inéluctable.

    Ainsi, l’ancien député Jean-Michel Mis clame la « souveraineté » du marché et pour le réseau Alliance pour la Confiance Numérique (représentant un certain nombre d’entreprises de vidéosurveillance), la CNIL doit « favoriser l’émergence de leaders français de l’intelligence artificielle de confiance et non pas aboutir à des règles ou des situations qui pourraient entraver leurs développements à la faveur d’acteurs non souverains ». Pour Deveryware, « les industriels ont pour mission de créer de la richesse pour la nation avec notamment l’objectif d’exporter leurs solutions » quand Veesion juge qu’un droit d’opposition trop contraignant exposerait « les entreprises du secteur à être considérées comme illégales et donc à arrêter l’ensemble de leurs activités. Cela conduirait à menacer, de manière immédiate, 500 emplois directs en France. »

    De nouveau, cette stratégie parvient à ses fins puisqu’elle a été reprise par le ministre de l’Intérieur lui-même pendant les débats sur le projet de loi au Sénat le mois dernier : « Lorsqu’un dispositif est développé avec un cadre français, nous pouvons parler aux industriels, gérer en partie leurs actions, les réguler, regarder leur capital. Soyons fiers des entreprises françaises ! »

    • L’euphémisation : mettre en avant les usages les moins inquiétants

    Les algorithmes utilisés dans la surveillance biométrique ont des applications bien plus larges que l’analyse des seuls corps humains. Si l’on prend l’exemple de la VSA, les algorithmes de « computer vision » peuvent très bien être utilisés sur des images ne contenant pas d’activité d’humaine, et n’utilisant donc pas de données biométriques, comme par exemple pour détecter des produits défectueux au bout d’une chaîne de fabrication.

    Une stratégie particulièrement mise en avant par les promoteurs de la surveillance biométrique est alors de la rapprocher d’autres usages qui semblent beaucoup moins problématiques. Ils mettent généralement en avant les situations où l’activité humaine est la moins perceptible : repérer des ordures déposées sur des trottoirs ou des bagages abandonnés par exemple. Étant donné que l’objet de la détection n’est pas humain, il est facile de prétendre qu’il s’agit là d’une détection similaire à la détection d’anomalie dans une chaîne de production et de faire fi du fait que, pour aboutir à cette détection, l’algorithme sonde continuellement les flux vidéo de la rue, ou de l’espace public où se retrouve déposé l’objet. Avec cette technique, les entreprises se gardent bien de faire comprendre que, même pour repérer un objet, les humains sont analysés en permanence.

    Ainsi, pour justifier le bon usage de la VSA, l’AN2V mentionne des traitements ne « disposant d’aucun algorithme permettant de détecter des personnes : détection d’animal errant, mesure des traversées d’animaux, ouverture automatique d’une borne sur une rue piétonne sur détection d’un véhicule d’urgence, affichage d’un message ou commande d’un dispositif (feu rouge, borne) sur mesure de vitesse, etc. ». Pour la RATP, « l’amélioration de la puissance d’analyse d’un système de vidéoprotection ne dénature ni ne change la portée de la vidéo [exploitée] depuis de nombreuses années » car dans tous les cas, « que la détection soit d’origine humaine ou algorithmique », l’action des service de police ou de la RATP, serait « identique ».

    Autre exemple, quand le maire de Nice laissait croire l’année dernière que le système de VSA qu’il souhaitait mettre en place ne traitait que des données « générales » et non biométriques (ce qui est faux), afin de minimiser ce que faisait réellement l’algorithme.

    Les entreprises ont aussi recours à des jeux rhétoriques et des périphrases. La ville d’Orléans a par exemple
    tenté
    de faire passer l’audiosurveillance algorithmique implantée dans ses rues par la société Sensivic pour un simple « détecteur de vibration de l’air ». Cette technologie, en réalité basée sur la pose de microphones couplés à un logiciel d’analyse algorithmique, fonctionne comme la VSA et la reconnaissance faciale sur de l’analyse de l’activité humaine afin de repérer des cris ou divers bruits. La ville d’Orléans tentait par cette pirouette de faire oublier que cette surveillance était basée sur de l’analyse de données personnelles, et comptait ainsi échapper au RGPD. De la même manière, l’AN2V mentionne des « détections d’anormalité sonore » ou des « signatures sonores », tant de mots techniques destinés à camoufler que l’on parle de la mise sur écoute des personnes.

    • La neutralisation de la technologie

    Une autre rhétorique que l’on a beaucoup rencontrée à La Quadrature est, lorsque l’on dénonce l’usage d’une technologie renforçant la surveillance, de s’entendre rétorquer que cet outil aurait un soi-disant caractère neutre et impartial. Les technologies sont alors présentées comme de simples aides techniques, des logiciels sans conséquence.

    Concernant la VSA, la stratégie consiste alors à mettre en avant la décision finale de l’humain et à présenter le logiciel comme une simple « aide à la décision » ayant une fonctionnalité de « levée de doute ». Les entreprises insistent alors sur le fait que la véritable décision serait, elle, prise par l’humain au bout de la chaîne, et que la technologie ne serait qu’un outil neutre n’orientant le résultat de la surveillance d’aucune manière.

    Par exemple, pour l’ACN, « cette technologie peut aider à la détection de situations pouvant conduire à une infraction, mais ne prend pas, à date, de décision finale automatisée. C’est une simple aide à la décision qui laisse la liberté à l’homme de contrôler/confirmer/infirmer ». Même chose chez l’Agora (un club de directeurs de la sécurité), « ces signalements sont alors validés ou non par une action humaine. La technologie utilisée dans ce cadre intervient donc en amont, en tant que support de l’action humaine » ou l’AN2V : « Seul le regard et l’interprétation humaine envisage ou non une action ou une procédure. On est là dans un cas d’aide à la décision ».

    En réalité, ce travail de « détection de situations » réalisé par le logiciel présuppose d’avoir choisi en amont, d’une part, les événements pertinents à relever et, d’autre part, les critères pertinents pour détecter et retrouver ces évènements sur une image. Ainsi, de nombreuses décisions impactantes et révélant des choix politiques et moraux surviennent au cours du processus de construction de ces algorithmes. En effet, de façon identiques à ce que nous dénoncions pour la CAF, les algorithmes fonctionnent en traduisant et imitant des décisions et subjectivités humaines, contenues jusqu’au sein même des jeux de données qui sont fournis aux algorithmes pour l’apprentissage. Rien n’est neutre dans la VSA.

    Conclusion

    Au final, toutes ces stratégies ont une conséquence : dépolitiser la surveillance, en faire un objet banal et inéluctable, masquer sa véritable nature. On aimerait en rire mais que dire lorsque l’on voit que certaines entreprises comme Veesion ou l’ACN regrettent le caractère « anxiogène » de l’analyse de la CNIL quand elle évoque la versatilité des technologies ou le « changement de nature et de portée » des caméras ? Ou quand la SNCF exige de cette même CNIL qu’elle apporte preuves et études lorsqu’elle ne fait que relever « la dangerosité des technologies de [VSA] » et évoque le « sentiment de surveillance généralisée » ?

    Ce déni de ce que représente la surveillance, de ce qu’elle a causé dans l’Histoire, des raisons pour lesquelles on a cherché à la limiter il y a cinquante ans, est vertigineux. La surveillance a été et sera toujours un instrument de pouvoir pour les États. Nier que la collecte, l’organisation et la rationalisation d’informations sur une population est source de contrôle pour qui les détiennent est une manœuvre non seulement cynique mais aussi dangereuse et révélatrice de la perte de repères politiques d’un grand nombre d’acteurs. Car on pourrait ne pas être surpris que ces pratiques éhontées viennent d’entreprises capitalistiques qui n’ont d’autre but que de faire du profit (et encore). Mais que dire lorsque l’on retrouve l’ensemble de ces stratégies et discours des industriels dans la bouche des ministres et des élus censés savoir que dans un État de droit qui se respecte, tout pouvoir étatique doit être contrôlé et limité ?

    Nous nous battons depuis des années contre la surveillance abusive et le déploiement du contrôle de masse dans l’espace public. Aujourd’hui nous observons de façon inédite d’un côté la prégnance d’un marché tentaculaire de la sécurité, qui voit dans toute offre commerciale une occasion bonne à prendre, et de l’autre coté des gouvernants qui y répondent sans sourciller même si la demande n’existe pas et que les dangers sont réels. Ces manœuvres doivent être dénoncées. Car à mesure qu’elles s’installent comme des évidences, elles effacent de notre mémoire collective tous les exemples passés et présents de dérives du pouvoir étatique, de surveillance et de répression des populations. Elles participent à saper l’héritage des luttes démocratiques qui nous permettent de lutter contre les abus de pouvoirs et l’autoritarisme.

    Luttons contre ce monde de la technopolice, luttons contre l’article 7 !

    References

    References
    1 Les autres réponses reçues et non citées dans l’article sont disponibles ici : celles de l’association 810, du lobby AFEP, de la ville de Cagnes-sur-mer, du Cerema (Centre d’études et d’expertise sur les risques, l’environnement, la mobilité et l’aménagement), du CNPEN (Comité national pilote d’éthique du numérique), de Décathlon, du Défenseur des droits, de l’entreprise Digeiz, du délégué à la protection des données du ministère de l’Intérieur, de la Délégation à la protection des données (DPD) de la Ville et de l’Eurométropole de Strasbourg, du GPMSE (Groupement Professionnel des Métiers de la Sécurité Electronique), d’Île-de-France Mobilités, de la ville du Havre, de la ville de Neuilly -Plaisance, du PERIFEM (groupe réunissant les grandes enseignes de distribution, de l’entreprise Pizzorno, l’entreprise Quantaflow, du thinktank Renaissance Numérique, de l’entreprise Samsara, du groupe Transdev, de la Ville de Nice et de l’entreprise Wintics.
    ]]>
    Pétition des élu·es français·es contre la vidéosurveillance algorithmique de la loi JOhttps://www.laquadrature.net/?p=20097http://isyteck.com/autoblog/quadrature/index.php5?20230222_130145_Petition_des_elu__es_fran__ais__es_contre_la_videosurveillance_algorithmique_de_la_loi_JOWed, 22 Feb 2023 12:01:45 +0000Le Parlement doit rejeter l’article 7 de la loi Jeux olympiques 2024 !

    Notre page de campagne contre la loi JO

    Cette pétition s’adresse aux élu·es (conseillers municipaux, départementaux, régionaux, députés, sénateurs). Si possible, merci de nous indiquer votre signature depuis votre adresse mail officielle, afin de nous assurer qu’il s’agit bien de vous en écrivant à petition@technopolice.fr (merci de préciser votre mandat — par exemple « conseillère municipale de Paris (75) — et, le cas échéant, le parti auquel vous êtes rattaché·e). Nous refusons toute signature provenant de l’extrême-droite.

    À travers l’article 7 du projet de loi relatif aux Jeux Olympiques 2024, le gouvernement entend légaliser la vidéosurveillance algorithmique (VSA). Il s’agit ainsi de satisfaire aux demandes des industriels et de certains responsables du ministère de l’Intérieur pour permettre, via une simple autorisation préfectorale, le couplage de l’Intelligence artificielle aux caméras de vidéosurveillance disposées dans les lieux publics ou placées sur des drones. Prenant pour prétexte les Jeux olympiques organisés à l’été 2024, l’article 7 autoriserait ces technologies de surveillance massive pour toutes les manifestations « sportives, culturelles ou récréatives », allant des matchs de Ligue 1 aux marchés de Noël en passant par les festivals de musique. Le tout au nom d’une prétendue expérimentation de deux ans devant s’achever en juin 2025, imposant à toutes les personnes qui assisteront à ces événements de devenir à la fois cobayes et victimes de ces algorithmes sécuritaires.

    Qu’est-ce au juste que la VSA ? Il s’agit d’un type de logiciels consistant à automatiser l’analyse des flux de vidéosurveillance pour déclencher des alertes à destination des forces de police ou de sécurité dès lors que des « comportements suspects » sont repérés. Il peut par exemple s’agir du fait de rester statique dans l’espace public, de marcher à contre-sens de la foule, de se regrouper à plusieurs dans la rue ou encore d’avoir le visage couvert. Ces logiciels peuvent aussi suivre automatiquement le parcours d’une personne dans un territoire à l’aide d’attributs biométriques tels que la taille, le fait d’être perçu comme homme ou femme, ou encore la couleur de ses vêtements. Demain, il suffira de croiser ces technologies avec divers fichiers pour pratiquer massivement l’identification par reconnaissance faciale — une fonctionnalité que proposent déjà de nombreuses startups et industriels positionnés sur ce marché, à l’image du logiciel Briefcam, dont les logiciels sont déployés dans plus de 200 communes françaises.

    Si le gouvernement instrumentalise les Jeux olympiques en prétendant « expérimenter » la VSA, cela fait en réalité des années que des expérimentations ont lieu sur le territoire français, et ce en toute illégalité comme l’a lui-même reconnu le ministre de l’Intérieur. L’État a lui-même directement financé nombre de ces déploiements au travers du Fonds interministériel de prévention de la délinquance, de l’Agence nationale de la recherche ou du programme d’expérimentation lancé par le ministère de l’Intérieur pour Paris 2024 (lequel a par exemple conduit à tester la reconnaissance faciale lors du tournoi de Roland-Garros en 2021).

    Quant aux prétendues garanties apportées par le gouvernement aux libertés publiques dans le cadre de ce projet de loi, elles apparaissent tout-à-fait dérisoires au regard des enjeux soulevés par la VSA. Contrairement à ce que prétendent ses promoteurs, ces technologies ne sont pas de simples outils d’« aide à la décision » : l’adoption de l’article 7 du projet de loi Jeux olympiques s’assimilerait à un véritable changement d’échelle et de nature dans la surveillance de la population, installant dans nos sociétés démocratiques des formes de contrôle social qui sont aujourd’hui l’apanage de pays autoritaires comme la Chine. C’est ce qu’explique la CNIL lorsqu’elle écrit que l’article 7 « ne constitue pas une simple évolution technologique de dispositifs vidéo, mais une modification de leur nature », ajoutant qu’un tel déploiement, « même expérimental, (…) constitue un tournant » . La Défenseure des droits met également en garde1 Réponse de la Défenseure des droits à la consultation de la CNIL contre la VSA : selon elle, « le changement de paradigme » induit par le passage des « caméras de vidéoprotection « classiques » vers des dispositifs aux capacités de détection et d’analyse algorithmiques poussées est extrêmement préoccupant ». Elle insiste sur « les risques considérables que représentent les technologies biométriques d’évaluation pour le respect [des] droits »

    Il est aussi particulièrement choquant de constater que, de l’aveu même de ses promoteurs, ce basculement vers la surveillance biométrique de l’espace public est motivé par des considérations économiques. Sous couvert d’expérimentation, la loi prépare la banalisation de ces technologies tout en permettant aux acteurs privés de peaufiner leur algorithmes avant leur généralisation. Lorsqu’on sait que l’achat d’une seule caméra coûte à une collectivité entre 25 et 40 000€ (sans la maintenance ni les logiciels d’analyse), on comprend aisément que la vidéosurveillance et son pendant algorithmique constituent une immense manne financière pour les industriels du secteur : 1,6 milliards d’euros de chiffre d’affaire sur l’année 20202Pixel 2022, page 96 consultable ici : data technopolice rien qu’en France. Au niveau international, le marché devrait plus que doubler d’ici 2030 pour atteindre près de 110 milliards de dollars. Faisant fi du risque d’erreurs et d’abus en tous genres, certains promoteurs de la VSA expliquent dores et déjà qu’après la détection de « comportements suspects », les pouvoirs publics pourront amortir ces technologies en automatisant la vidéoverbalisation. Il y a donc fort à parier qu’une fois ces technologies achetées au prix fort, une fois des dizaines de milliers d’agent·es formé·es à leur utilisation, il sera pratiquement impossible de faire marche arrière.

    Conscient·es du risque que fait peser la vidéosurveillance algorithmique sur la vie démocratique de nos sociétés, nombre d’élu·es de par le monde ont décidé d’interdire son usage. En décembre 2022, suite à l’adoption d’une résolution du Conseil municipal, la ville de Montpellier est devenue la première commune française à interdire la VSA. Elle a ainsi rejoint la liste des municipalités en Europe et aux États-Unis qui ont proscrit une telle surveillance biométrique sur leur territoire. En réponse à une pétition signée par des dizaines de milliers de citoyens à travers le continent, le Parlement européen discute lui aussi d’une interdiction de ces technologies.

    Nous, élu·es de la République, refusons à notre tour le recours à la vidéosurveillance automatisée et le projet de société de surveillance qu’elle incarne. C’est pourquoi nous appelons chaque parlementaire à voter en conscience contre l’article 7 de la loi relative aux Jeux olympiques.

    Signataires

    • Abomangoli Nadège, députée de la 10e circonscription de Seine-Saint-Denis, LFI/NUPES
    • Accarion Ombeline, vice-présidente handicap du département de Loire Atlantique, Pays de la Loire, EELV
    • Ait-Salah-Lecervoisier, Florence, conseillère municipale d’Orly, LFI
    • Alexandre Laurent, député de l’Aveyron, LFI-NUPES
    • Alfonsi François, eurodéputé Verts/ALE, Parlement européen, RPS
    • Amard Gabriel, député du Rhône, LFI-NUPES
    • Amiot Ségolène, députée de Loire-Atlantique, LFI-NUPES
    • Amrani Farida, députée d’Essonne, LFI-NUPES
    • Aqua Jean-noël, conseiller de Paris, PCF
    • Arenas Rodrigo, député de Paris 10ème, LFI-NUPES
    • Aubry Martine, conseillère municipale d’opposition, La Queue-en-Brie, LFI
    • Autain Clémentine, députée de Seine-Saint-Denis, LFI-NUPES
    • Averous Annie, élue municipale à Castanet-Tolosan, Occitanie, Parti Socialiste
    • Back Antoine, adjoint au maire de Grenoble, Ensemble!
    • Baudonne Anne, conseiller d’arrondissement de la mairie du 20e, communiste
    • Barles Sébastien, adjoint au maire de Marseille, conseiller métropolitain à Marseille, PACA, EELV
    • Bassani Catherine, adjointe à la maire de Nantes, Pays de la Loire, EELV
    • Beltran-Lopez Luis, conseiller municipal délégué de Grenoble, EELV
    • Benarroche Guy, sénateur des Bouches-du-Rhône, EELV
    • Berland Jean-Louis, conseiller municipal de Saint-Michel-sur-Orge, Île-de-France, LFI/NUPES
    • Bernalicis Ugo, député du Nord, LFI-NUPES
    • Bernard Grégory, adjoint au maire et conseiller métropolitain, Clermont-Ferrand, Génération.s
    • Bex Christophe, député de la Haute-Garonne, LFI-NUPES
    • Billouet Simon, conseiller départemental de l’Isère, LFI
    • Bilongo Carlos Martens, député du Val d’Oise, LFI-NUPES
    • Biteau Benoît, eurodéputé Verts/ALE, Parlement européen, EELV
    • Bompard Manuel, député des Bouches du Rhônes, LFI-NUPES
    • Bonnet Nicolas, maire-adjoint, Clermont-Ferrand
    • Bony Catherine, conseillère régionale Auvergne-Rhône-Alpes, EELV
    • Boumertit Idir, député du Rhône, LFI-NUPES
    • Boutté Catherine, conseillère municipale d’opposition à Villeneuve-d’Ascq, Nord, LFI
    • Bosquillon Christophe, conseiller municipal à Cesson, Île-de-France, LFI
    • Boyard Louis, député du Val-de-Marne, LFI-NUPES
    • Brobecker Astrid, conseillère départementale Hauts-de-Seine, EELV Bruyère Jérôme, conseiller municipal à Givenchy-en-Gohelle, LFI
    • Bu Ludovic, conseiller municipal du Mans, groupe écologiste
    • Bub Jerôme, conseiller métropolitain écologiste de la Métropole Grand Lyon, EELV
    • Bussière Sophie, porte-parole d’EELV, conseillère régionale Nouvelle-Aquitaine, EELV
    • Bui-Xuan Myriam, conseillère municipale de Clapiers, Génération.s
    • Bury Thomas, conseiller municipal d’Asnières-sur-Seine, EELV
    • Cala Sylvère, conseiller municipal à Massy, Ile-de-France, LFI
    • Camara Lamine, conseiller régional Île-de-France, PCF
    • Carême Damien, eurodéputé Verts/ALE, Parlement européen, EELV
    • Candelier Catherine, conseillère municipale de Sèvres, Île-de-France, EELV
    • Caron Aymeric, député de Paris 18ème, LFI-NUPES
    • Carrière Sylvain, député de l’Hérault, LFI-NUPES
    • Cassé Damien, conseiller municipal, Noisiel, LFI
    • Cerezo-Lahiani Louise, conseillère municipale, La Ricamarie, sans étiquette
    • Challande Névoret Théo, adjoint au maire de Marseille en charge de la Démocratie et de la Lutte contre les discriminations, Écologiste
    • Chapal Arnaud, conseiller municipal de Basville et député suppléant de la Creuse, EELV
    • Chauche Florian, député du territoire de Belfort, LFI-NUPES
    • Chenevez Odile, élue municipale à Forcalquier, liste citoyenne
    • Chesnel-Le Roux Juliette, présidente du groupe des élus écologistes à la mairie de Nice, Écologiste
    • Chihi Mohamed, adjoint au maire de Lyon en charge des questions de sécurité, sûreté et tranquillité à Lyon, Auvergne-Rhône-Alpes, Écologiste
    • Chikirou Sophia, députée de Paris 6ème, LFI-NUPES
    • Citeau Simon, adjoint à la maire de Nantes, Pays de la Loire, EELV
    • Clouet Hadrien, député de la Haute-Garonne, LFI-NUPES
    • Coiffard Marie, conseillère municipale de Saint Martin d’Hères, en Isère, EELV
    • Colomban Nathalie, conseil municipal de Saint-Chamas, PACA, liste d’opposition, LFI
    • Coquerel Eric, député de la 1ère circonscription de Seine-Saint-Denis et président de la commission des Finances, LFI
    • Corbière Alexis, député de la Seine-Saint-Denis, LFI-NUPES
    • Cormand David, eurodéputé écologiste, Parlement européen, EELV
    • Coulomme Jean-François, député de la Savoie, LFI-NUPES
    • Courtay Murielle, conseillère municipale et d’agglomération à Cholet, Pays de la Loire, EELV
    • Couturier Catherine, députée de la Creuse, LFI/NUPES
    • Davi Hendrik, député de la 5ème circonscription des Bouches-du-Rhône, LFI-NUPES
    • Deglise Cédric, adjoint au maire délégué à la transition écologique, à la démocratie locale et aux associations à Chasse-sur-Rhône, Auvergne-Rhône-Alpes, LFI
    • Dageville Bénédicte, adjointe au maire du 11e arrondissement de Paris, PCF
    • Dannaud Charles, conseiller municipal de Forcalquier (Alpes-de-Haute-Provence), Forcalquier en commun
    • Déjean Pierre, conseiller municipal à Montigny-le-Bretonneux, ïle-de-France, LFI
    • Delbos-Corfield Gwendoline, eurodéputée Verts/ALE, Parlement européen, EELV
    • Delcambre Philippe, adjoint au maire, Transition écologique, Saint-Egrève, LFI
    • Delli Karima, eurodéputée Verts/ALE, Parlement européen, EELV
    • Delogu Sébastien, député des Bouches-du-Rhône, LFI-NUPES
    • Denes Owen, conseiller départemental d’Ille-et-Vilaine, EELV
    • Dossus Thomas, sénateur du Rhône, EELV
    • Dufour Alma, députée de Seine Maritime, LFI-NUPES
    • Duthoit Rémi, conseiller municipal et communautaire à Forcalquier, liste citoyenne
    • Etienne Martine, Meurthe-et-Moselle, LFI-NUPES
    • Erodi Karen, députée du Tarn, LFI-NUPES
    • Etoundi Zita, conseillère d’arrondissement (8e) Marseille, sans étiquette
    • Fardoux Clémentine, conseillère municipale à Aubagne, GES/LFI/NUPES
    • Fenasse Delphine, maire adjointe à l’Enfance, à l’activité périscolaire et au Programme de réussite éducative à Fontenay-sous-bois, LFI/Parti de Gauche
    • Fernandes Emmanuel, député du Bas-Rhin, LFI-NUPES
    • Ferrer Sylvie, députée des Hautes-Pyrénées, LFI-NUPES
    • Fiat Caroline, députée de Meurthe-et-Moselle, LFI-NUPES
    • Fillol Étienne, adjoint au maire d’Alfortville et conseiller territorial GPSEA, Île-de-France, Génération.s
    • Fischer Karine, conseillère régionale du Centre-Val-de-Loire, LFI,
    • Gaillard Perceval, député de la Réunion, LFI-NUPES
    • Galera Richard, conseiller municipal de Montreuil et vice-président Est-Ensemble, Île-de-France, LFI
    • Garrido Raquel, députée de la Seine-Saint-Denis, LFI-NUPES
    • Gaspaillard Damien, conseiller départemental des Côtes d’Armor, EELV
    • Genty Julien, Conseiller municipal à Esbly, Île-de-France, LFI/NUPES
    • Ghedjati Myriam, conseillère municipale, Port Saint Louis du Rhône, LFI
    • Girard Cyril, conseiller municipal, conseiller communautaire à Arles, groupe Changeons d’avenir
    • Girardot Moitié Chloé, vice-présidente du département de la Loire-Atlantique, Pays de la Loire, EELV
    • Gleizes Jérôme, conseiller de Paris 20e arrondissement, EELV
    • Gries Aurélie, adjointe du 7e arrondissement de Lyon, LFI
    • Grillon-Colledani Marie-Hélène, conseillère Municipale à Duttlenheim, Bas-Rhin, sans étiquette
    • Gruffat Claude, eurodéputé Verts/ALE, Parlement européen, EELV
    • Guetté Clémence, députée du Val-de-Marne, LFI-NUPES
    • Guiraud David, député de la 8e circonscription du Nord, LFI
    • Gutierez Grégory, conseiller municipal délégué Numérique et Citoyenneté, à Malakoff, Hauts-de-Seine, EELV
    • Hédouin Guillaume, conseiller régional de Normandie, groupe Normandie Écologie
    • Helfter-Noah Prune, conseillère 3e secteur de Marseille, conseillère métropolitaine Aix-Marseille-Provence Marseille, PACA, EELV
    • Hignet Mathilde, députée d’Ille-et-Vilaine, LFI-NUPES
    • Hoffsess Marc, adjoint à la maire de Strasbourg, Ecologiste
    • Huguin Angélique, conseillère municipale à Vadelaincourt, Grand Est, sans étiquette
    • Hugon Christophe, conseiller municipal Mairie de Marseille Délégué à la transparence, à lʼopen data municipal et au système dʼinformation, au numérique de la ville, au numérique responsable et à la transition numérique, parti pirate
    • Jadot Yannick, eurodéputé Verts/ALE, Parlement européen, EELV
    • Jamet Delphine, adjointe au maire en charge de l’administration générale, de l’évaluation des politiques publiques et de la stratégie de la donnée à Bordeaux, Aquitaine, EELV
    • Janssens Jonathan, conseiller municipal dans le groupe Tourcoing Vert Demain, Haut-de-France, sans étiquettes
    • Jourdan Maxime, conseiller municipal délégué de Villeurbanne, Génération.s
    • Joyeux Benjamin, conseiller régional de Haute-Savoie et membre des commissions santé, sécurité et relations internationales, Auvergne-Rhône-Alpes, Les Écologistes
    • Juquin Sylvie, conseillère métropolitaine pour la ville de Lormont à la métropole de Bordeaux, Écologiste
    • Keke Rachel, députée du Val-de-Marne, LFI-NUPES
    • Kerbrat Andy, député de Loire-Atlantique, 2e circonscription, commissaire aux lois, délégation aux collectivités territoriales et à la décentralisation, LFI/NUPES
    • Klingler Danièle, élue municipale et communautaire à Forcalquier, PACA, Liste citoyenne Forcalquier en commun
    • Labertrandie Lydia, conseillère Municipale à Cesson, Île-de-France, EELV
    • Lachaud Bastien, député de la Seine-Saint-Denis, LFI-NUPES
    • Lafay Franck, adjoint Communication & Services Publics à Saint Sernin du Bois en Saône-et-Loire
    • Lagarde Catherine, conseillère métropolitaine de Villeurbanne, membre de la commission éducation, culture, patrimoine et sport, Écologiste
    • Lahmer Annie, conseillère régionale écologiste d’Île de France, Île-de-France, Écologiste
    • Laïdouni-Denis Myriam, conseillère régionale Auvergne Rhône Alpes, EELV
    • Laisney Maxime, député de Seine-et-Marne, LFI-NUPES
    • Léaument Antoine, député de l’Essone, LFI-NUPES
    • Leboucher Élise, députée de la 4ème circonscription de la Sarthe, LFI/NUPES
    • Lecerf Meunier Harmonie, adjointe au maire de Bordeaux en charge de l’accès aux droits et des solidarités Bordeaux, EELV
    • Leduc Charlotte, députée de Moselle, LFI-NUPES
    • Le Dily Michèle, adjointe à la mairie du 8e arrondissement de Lyon, Lyon en commun
    • Lefebvre Stéphane, conseiller municipal délégué à la mobilité et aux différents modes de déplacement Cugnaux, Occitanie, NUPES
    • Le Gall Arnaud, député du Val d’Oise, LFI-NUPES
    • Legavre Jérôme, député de Seine-Saint-Denis, LFI-NUPES
    • Legrain Sarah, députée de Paris 16ème, LFI-NUPES
    • Lemaire Mirabelle, conseillère municipale LFI à Le Plessis Trévise, Île-de-France, LFI
    • Lepage Geneviève, conseillère municipale d’opposition à Villeneuve-lès-Avignon, LFI
    • Lepvraud Murielle, députée des Cotes-d’Armor, LFI-NUPES
    • Liévin Mathilde, conseillère municipale à La Madeleine, Liste citoyenne écologique et solidaire
    • Loe Mie Brice, conseiller municipal à Puteaux, EELV
    • Loiseau Franck, conseiller municipal à Cholet, Pays de la Loire, EELV
    • Lynseele Stéphanie, conseillère municipale à Queue-en-Brie, Île-de-France, LFI
    • Maes Bertrand, adjoint au maire de Lyon délégué au numérique, Génération Écologie
    • Maillebouis Fabienne, conseillère municipale à Rochefort-en-Yvelines, Île-de-France, sans étiquette
    • Mailler Sylvain, conseiller municipal à Chevilly-Larue, Île-de-France, Parti de Gauche
    • Majerowicz Sébastien, conseiller municipal de la commune de L’Arbresle dans le Rhône, LFI,
    • Malaisé Céline, conseillère régionale d’Île-de-France, présidente de la Gauche communiste, écologiste et citoyenne, Île-de-France, PCF
    • Marchand Jérôme, conseiller d’arrondissement Paris 14e, EELV
    • Marcel Lisa, élue municipale Forcalquier, liste citoyenne
    • Mariaud Jean, conseiller municipal d’opposition à Rochefort, EELV
    • Marque Sébastien, conseiller délégué à la maire du 12ème arrondissement de Paris, PCF
    • Martin Elisa, députée de la 3e circonscription de l’Isère, LFI/NUPES
    • Martin Pascale, députée de Dordogne, LFI-NUPEs
    • Martin Nicolas, vice-président de Nantes Métropole en charge des mobilités douces et conseiller municipal de Nantes en charge de la restauration scolaire, EELV
    • Martinet William, député des Yvelines, LFI-NUPES
    • Marszalek Antoine, élu municipal à Villeneuve-d’Ascq, LFI
    • Maudet Damien, député d’Haute-Vienne, LFI-NUPES
    • Mathieu Frédéric, député d’Ille-et-Vilaine, LFI-NUPES
    • Maximi Marianne, députée du Puy-de-Dôme, LFI-NUPES
    • Messier Maxime, conseiller municipal de Fontenay-aux-Roses, Île-de-France, EELV
    • Meunier Manon, députée de Haute-Vienne, LFI-NUPES
    • Michel Cécile, conseillère régionale, région Auvergne-Rhône-Alpes, Les écologistes
    • Mignot Didier, conseiller régional PCF d’île-de-France
    • Monta Julie, conseillère municipale à Revest-des-Brousses, PACA, sans étiquette
    • Montava David, conseiller municipal à Vitry-sur-Seine, Île-de-France, LFI
    • Monville Bénédicte, conseillère municipale et communautaire de Melun, Île-de-France, EELV
    • Nenner Charlotte, conseillère régionale Île-de-France, EELV
    • Neveu Bernard, élu municipal et communautaire de la commune à Castanet-Tolosan, Occitanie, LFI
    • Nicolas Julie, conseillère municipale à Lille, EELV
    • Nilor Jean-Philippe, député de Martinique, LFI-NUPES
    • Normand Xavier, maire de Castanet-Tolosan, Occitanie, EELV
    • Obono Danièle, députée de Paris 17ème, LFI-NUPES
    • Ouldji Soraya, adjointe à la ville de Strasbourg petite enfance, politique familiale, restauration scolaire, Écologiste
    • Oziol Nathalie, députée de l’Hérault, LFI-NUPES
    • Pahun Louise, conseillère départementale du canton de Nantes 4, vice-présidente Sports solidaires, responsables, activités de pleine nature, Pays de la Loire, Groupe écologiste
    • Panot Mathilde, députée du Val-de-Marne, LFI-NUPES
    • Perin Laurent, conseiller départemental du Nord, Génération.s
    • Pfeiffer Stéphane, 2e adjoint au maire de Bordeaux, EELV
    • Picard Yves, adjoint Vie locale, associative et démocratique de la mairie de Saint-Sulpice-la-Forêt en Bretagne, sans étiquette
    • Pilato René, député de Charente, LFI-NUPES
    • Piquemal François, député de Haute-Garonne, LFI-NUPES
    • Pochon Marie, députée de la Drôme, Auvergne-Rhône-Alpes, Écologiste/NUPES
    • Poix Évelyne, conseillère municipale de Vellerot-lès-Vercel dans le Doubs, EELV
    • Portes Thomas, député de la 3e circonscription de Seine-Saint-Denis, LFI/NUPES
    • Primault Lionel, adjoint au maire, Les Lilas, Seine-Saint-Denis, EELV
    • Primet Raphaelle, conseillère de Paris 20e, groupe communiste et citoyen
    • Provoost Christine, conseillère municipale, Bévenais, LFI
    • Prud’homme Loïc, député de Gironde, LFI-NUPES
    • Quintallet Ludivine, conseillère d’Alsace, Strasbourg, EELV
    • Rabardel Évelyne, conseillère départementale du Val-de-Marne, PCF
    • Rabeau Roland, conseiller municipal de Clamart, Île-de-France, EELV
    • Raifaud Sylvain, conseiller municipal et métropolitain de Paris 10e, co-président du groupe Écologiste Social et Citoyen
    • Ramdane Abdelkarim, adjoint à la maire de Strasbourg, EELV
    • Raux Jean-Claude, député écologiste de Loire-Atlantique, membre de la commission Affaires culturelles et éducation, Pays de la Loire, Ecologiste/NUPES
    • Ratenon Jean-Hugues, député de la Réunion, LFI-NUPES
    • Regnaud Mathilde, conseillère municipale et communautaire de Belfort, ainsi que suppléante du député (LFI-Nupes) Florian Chauche, NUPES
    • Regol Sandra, députée du Bas-Rhin, cheffe de file du groupe écologiste du projet de loi Jeux Olympiques et Paralympiques, Grand Est, EELV
    • Rémy-Leleu Raphaëlle, conseillère de Paris, EELV
    • Revel Ivan, conseiller municipal, Lyon, EELV
    • Reynaud Manu, adjoint au maire délégué à la ville apaisée, respirable et numérique, conseiller métropolitain en charge du numérique et président du groupe des élu·es Choisir l’écologie à Montpellier, EELV
    • Rigard Sophie, conseillère municipale à Saint Denis, sans étiquette
    • Rispal Yoann, conseiller municipal délégué à Fontenay-sous-Bois, Île-de-France, Gauche Communiste Écologiste et Citoyenne
    • Rivasi Michèle, eurodéputée Verts/ALE, Parlement européen, EELV
    • Roger Michel, conseiller d’arrondissement délégué au Maire du 20e, groupe communiste et citoyen
    • Rome Sébastien, député de l’Hérault, LFI-NUPES
    • Romera Sophie, conseillère départementale, canton de Grenoble 1, LFI
    • Roose Caroline, eurodéputée Verts/ALE, Parlement européen, EELV
    • Rosenblatt Annie, conseillère municipale ville d’Avignon, conseillère communautaire Grand Avignon, EELV
    • Rossignol Puech Clément, maire de Bègles et vice-président Bordeaux Métropole, EELV
    • Rouanet Dominique, conseillère municipale à Forcalquier, liste d’opposition
    • Rouffignac Didier, conseiller municipal à Saint-Molf, Pays de la Loire, EELV
    • Roziere Régine, adjointe à l’éducation et adjointe à la vie citoyenne de Sévérac d’Aveyron, LFI/NUPES
    • Ruffin François, député de la Somme, LFI-NUPES
    • Saintoul Aurélien, député des Hauts-de-Seine, LFI/NUPES
    • Sala Michel, député du Gard, LFI-NUPES
    • Salliot Julien, conseiller municipal de Bruz
    • Salmon Daniel, sénateur d’Ille-et-Vilaine, EELV
    • Satouri Mounir, eurodéputé Verts/ALE, Parlement européen, EELV
    • Saveret Gilles, élu conseiller municipal et communautaire à Meaux, Île-de-France, LFI
    • Senée Ghislaine, présidente du Pôle écologiste à la région Île-de-France, Écologiste
    • Simonnet Danielle, députée de Paris 15ème, LFI-NUPES
    • Smihi Amine, adjoint au maire délégué à la tranquillité, la sécurité, la prévention et la tenue de l’espace public à Bordeaux, EELV
    • Soldeville Jérôme, conseiller municipal, Grenoble, LFI
    • Soudais Ersilia, députée de Seine-et-Marne, LFI-NUPES
    • Steffen Joël, adjoint à la mairie de Strasbourg, EELV
    • Stambach-Terrenoir Anne, députée de Haute-Garonne, LFI-NUPES
    • Tain Daniel, conseiller municipal à Novalaise en Savoie
    • Taurinya Andrée, députée de la Loire, LFI-NUPES
    • Tavel Matthias, député de Loire-Atlantique, LFI-NUPES
    • Teisseire Christophe, adjoint à la maire du 12ème arrondissement de Paris, EELV
    • Textoris Joanne, conseillère municipale à Avignon, sans étiquette
    • Thomas Marie-claire, conseillère régionale Bourgogne-Franche-Comté, EELV
    • Tomic Sylvie, adjointe au maire de Lyon, déléguée à l’accueil, l’hospitalité et au tourisme responsable, Génération.s
    • Tondelier Marine, secrétaire nationale d’EELV, conseillère régionale des Hauts-de-France, conseillère municipale d’Hénin-Beaumont, EELV
    • Toussaint Marie, eurodéputée Verts/ALE, Parlement européen, EELV
    • Toutain Frédric, conseiller municipal à Nonant, Normandie, sans étiquette
    • Trichet-Allaire Sarah, conseillère municipale de Saint-Nazaire, Pays de la Loire, EELV
    • Troadec Luce, conseillère municipale à Valenciennes, LFI
    • Trouvé Aurélie, députée de Seine-Saint-Denis, LFI-NUPES
    • Vailhé David-Marie, conseiller municipal de la commune de Le Coteau, dans la Loire
    • Vannier Paul, député de la 5e circonscription du Val-d’Oise, LFI/NUPES
    • Van Thienen Manuel, conseiller municipal à Lafarre, Ardèche, sans étiquette
    • Vialard Louise, conseillère métropolitaine déléguée aux mutations économiques, élue de quartier Île de Nantes et conseillère municipale en charge du numérique responsable, e-citoyenneté et de l’open-data à Nantes, Écologiste
    • Vigignol Yannick, conseiller municipal délégué à l’Open data et à la vie associative à Clermont-Ferrand, EELV
    • Viguer Simon, adjoint au maire chargé des finances, des affaires juridiques et des marchés publics à Castanet-Tolosan, Occitanie, Parti Socialiste
    • Vince Jacques, conseiller municipal délégué à Villeurbanne, Les écologistes
    • Vivien Emmanuel, conseiller municipal, Lyon, EELV
    • Vuylsteker Katy, conseillère régionale Haut-de-France, EELV
    • Walter Léo, député de la 2e circonscription des Alpes-de-Haute-Provence, LFI/NUPES
    • Watanabe-Vermorel Thomas, adjoint à la maire du 10e arrondissement de Paris, EELV
    • Werlen Jean, conseiller municipal et conseiller métropolitain de Strasbourg, EELV
    • Zaoui Slimane, conseiller municipal sur la ville d’Esbly en Seine-et-Marne, sans étiquette
    • Zika Didier, conseiller Municipal de Sausset-Les-Pins, PACA, LFI/NUPES
    • Zorn Caroline, conseillère municipale et vice-présidente de l’Eurométropole de Strasbourg, Strasbourg écologiste et citoyenne

    References

    ]]>
    La Quadrature lance sa campagne de mobilisation contre la loi J.O.https://www.laquadrature.net/?p=20033http://isyteck.com/autoblog/quadrature/index.php5?20230213_135128_La_Quadrature_lance_sa_campagne_de_mobilisation_contre_la_loi_J.O.Mon, 13 Feb 2023 12:51:28 +0000Aujourd’hui, La Quadrature lance une campagne contre l’article 7 de la loi JO 2024 et la vidéosurveillance algorithmique (VSA) ! Déjà voté par le Sénat, ce texte utilise les Jeux olympiques comme prétexte pour légaliser la VSA et faire accepter la surveillance biométrique en France. Il arrive à l’Assemblée nationale dans quelques semaines et nous allons avoir besoin de vous pour le combattre et faire rejeter cet article !

    Voulu de longue date par le gouvernement, et fortement poussé par la police et le marché grandissant de la sécurité privée, le texte vise à donner une base légale à une technologie déjà présente dans les villes de France. Il ne s’agit pas d’une simple évolution technique mais d’un véritable changement de paradigme : à travers des algorithmes couplés aux caméras de surveillance, ces logiciels détectent, analysent et classent nos corps et comportements dans l’espace public. Le projet derrière ? Traquer les comportements soi-disant « suspects » et éradiquer de la rue des actions anodines mais perçues par l’État comme nuisibles ou anormales. En effet, ces algorithmes peuvent par exemple repérer le fait de rester statique dans l’espace public, de marcher à contre-sens de la foule, de se regrouper à plusieurs dans la rue ou encore d’avoir le visage couvert.

    Ces outils de surveillance biométrique sont intrinsèquement dangereux et ne peuvent être contenus par aucun garde-fou, qu’il soit légal ou technique. Les accepter c’est faire sauter les derniers remparts qui nous préservent d’une société de surveillance totale. Seuls le rejet et l’interdiction de la VSA doivent être envisagés. C’est pour cela que nous lançons une campagne de mobilisation dès aujourd’hui afin de lutter ensemble contre la surveillance biométrique.

    Retrouvez ici la page de campagne. Nous vous y proposons plusieurs moyens d’actions pour les prochaines semaines :

    1. Appeler sans relâche les député·es pour les convaincre de voter contre l’article 7 et faire pression sur la majorité présidentielle et les élu·es qui pourraient changer le cours du vote. Pour les convaincre, nous avons préparé quelques arguments phares que vous pouvez sélectionner, utiliser, remanier à votre sauce lorsque vous appelez les parlementaires.
    2. Leur envoyer des mails, lettres ou tout autre moyen de leur faire parvenir votre avis sur cet article 7.
    3. Organiser des réunions publiques pour se mobiliser contre la VSA et cet article 7. Nous publierons très prochainement des tracts, de l’affichage ainsi que des outils pour interpeller les élu·es de votre ville.
    4. Lire les articles et analyses et en parler autour de vous et sur les réseaux sociaux. D’ailleurs, restez à l’affût, on va certainement organiser une mobilisation au moment du vote.
    5. Enfin, La Quadrature a toujours besoin de soutien financier, si vous avez les moyens, n’hésitez pas à nous faire un don ici

    Luttons ensemble pour repousser l’article 7 et la surveillance totale !

    Loi J.O. : Refusons la surveillance biométrique !

    ]]>
    Loi J.O. : refusons la surveillance biométrique https://www.laquadrature.net/?p=20030http://isyteck.com/autoblog/quadrature/index.php5?20230213_124808_Loi_J.O.____refusons_la_surveillance_biometrique__Mon, 13 Feb 2023 11:48:08 +0000Courant mars, l’Assemblée nationale va se prononcer sur le projet de loi relatif aux Jeux olympiques et paralympiques, déjà adopté par le Sénat. En son sein, l’article 7 vise à autoriser la vidéosurveillance automatisée (VSA), cet outil de surveillance biométrique qui, à travers des algorithmes couplés aux caméras de surveillance, détecte, analyse et classe nos corps et comportements dans l’espace public. Il s’agit d’un changement d’échelle sans précédent dans les capacités de surveillance et de répression de l’État et de sa police.

    Sur cette page, vous retrouverez un ensemble de ressources et d’outils pour vous permettre de vous engager contre la VSA et contre l’article 7 du projet de loi Jeux olympiques.

    Une frise chronologique des passages à l’Assemblée indiquant les meilleurs jours pour téléphoner aux député·es
    Un « Piphone » : un outil qui fournit les numéros des député·es
    Un argumentaire pour convaincre les député·es

    1 · Frise législative : quel est le meilleur moment pour appeler ?

    2 · Piphone : choisir quel·le député·e appeler

    Stratégiquement, nous vous conseillons d’appeler les député·es de la majorité (Renaissance, Horizons et Modem) et du PS (qui s’est abstenu au Sénat). Vous pouvez les contacter toute la semaine et si possible les lundi, jeudi et vendredi, lorsqu’ils ne sont pas dans l’hémicycle. C’est probable que vous ayez un·e assistant·e au téléphone et ce n’est pas grave ! N’hésitez surtout pas à lui parler, en lui demandant ensuite de relayer votre opinion auprès de son ou de sa députée.

    3 · Argumentaire : convaincre le·a député·e de rejeter l’article 7

    Appelons sans relâche les député·es afin de faire pression sur la majorité présidentielle et les élu·es qui pourraient changer le cours du vote.
    Pour les convaincre, nous avons préparé quelques arguments phares que vous pouvez sélectionner, utiliser, remanier à votre sauce lorsque vous appelez les parlementaires. D’abord, cinq points d’alarme sur les dangers de la vidéosurveillance algorithmique. Ensuite deux « débunkages » d’arguments que l’on retrouve souvent dans la bouche des adeptes de la surveillance.
    La VSA est par essence un outil de surveillance totale :

    La VSA n’est pas un simple logiciel : elle analyse des milliers d’heures de vidéos pour catégoriser les comportements suivant ce que les autorités auront qualifié de « suspect » ou « anormal » pour l’appliquer en temps réel sur les caméras de surveillance. Cela crée un gigantesque système de ciblage « d’anomalies » afin d’automatiser le travail de la police. Il s’agit d’un réel changement de dimension de la surveillance et d’industrialisation du travail d’image pour démultiplier les notifications et interpellations, guidées par cette intelligence artificielle.
    La VSA existe déjà et est déployée dans l’opacité

    Déployée ces dernières années en toute opacité, la VSA est une technologie quasiment inconnue de la population. Développée et vendue discrètement par des entreprises, elle est implantée sans information par les collectivités, empêchant les habitant·es d’avoir facilement accès à ce qui est installé dans leur ville. Ce déploiement ne répond pas à un besoin démocratique mais à des logiques économiques alors qu’aucune preuve d’efficacité n’existe.
    Par exemple, le logiciel de l’entreprise Briefcam, déployé en catimini dans plus de 200 municipalités en France, permet de réaliser des recherches par attributs (couleur des vêtements, couvre-chef, sac, type de vêtement et supposé genre de la personne), de faire du suivi de personne à travers toutes les caméras de la ville et possède même l’option « comparaison faciale » qui permet de faire une recherche parmi les flux vidéos du visage identifié. C’est grâce à un long travail de documentation de notre part et d’investigation de journalistes qu’il a été possible de comprendre ce que peut réellement faire ce fameux logiciel de VSA le plus vendu en France.
    Cette opacité rend totalement impossible l’expression d’un choix démocratique sur la question.
    La VSA n’est pas moins dangereuse que la reconnaissance faciale.

    La VSA et la reconnaissance faciale reposent sur les mêmes algorithmes d’analyse d’images et de surveillance biométrique. La seule différence est que la première isole et reconnaît des corps, des mouvements ou des objets, lorsque la seconde détecte un visage. Ce sont généralement les mêmes entreprises qui développent ces deux technologies. Par exemple, la start-up française Two-I s’est d’abord lancé dans la détection d’émotion, a voulu la tester dans les tramways niçois, avant d’expérimenter la reconnaissance faciale sur des supporters de football à Metz. Finalement, l’entreprise semble se concentrer sur la VSA et en vendre à plusieurs communes de France. La VSA est une technologie biométrique intrinsèquement dangereuse, l’accepter c’est ouvrir la voie aux pires outils de surveillance.
    La France est la cheffe de file de l’Europe en terme de surveillance

    Avec cette loi, la France sera le premier État membre de l’Union européenne à légaliser et autoriser la surveillance biométrique, à l’opposée d’autres positionnements au sein de l’UE. Les discussions actuellement en cours sur le règlement européen sur l’intelligence artificielle envisagent même son interdiction formelle. La France confirmerait sa place de cheffe de file de la surveillance en Europe, s’éloignant toujours plus des idéaux de respect des droits fondamentaux et se rapprochant de la culture de la surveillance d’autres pays plus autoritaires. Les pays qui ont profité d’évènements sportifs pour tester et rendre acceptables des technologies de surveillance sont la Russie, la Chine et le Qatar.
    Aucun garde-fous possible pour la VSA

    Pour faire des traitements d’images pointus et reconnaître des formes avec précision, les algorithmes de VSA doivent être basés sur une technologie complexe dite de « deep learning » qui fonctionne grâce à des calculs si sophistiqués qu’ils dépassent l’entendement humain. L’algorithme décide lui-même quels paramètres sont pertinents pour détecter un évènement, sans qu’il soit possible de savoir lesquels ont été retenus pour donner le résultat. Il est impossible de garantir que le logiciel n’exploitera pas de données sensibles et de caractéristiques biométriques. Même les concepteurs de ces algorithmes n’ont pas de visibilité sur les données qu’ils exploitent. Ces technologies sont intrinsèquement dangereuses et ne pourront jamais être limitées efficacement sur le plan légal ou technique. Le seul garde-fou envisageable est l’interdiction de leur usage sur des activités humaines filmées dans l’espace public.
    Réponses aux contre-arguments
    « La VSA sera expérimentée uniquement pour les Jeux Olympiques »

    FAUX, les Jeux Olympiques ne sont pas une expérimentation : la VSA est déjà déployée en toute opacité et illégalité et continuera à l’être après. On a retrouvé des traces de contrat entre la ville de Toulouse et IBM pour détecter des comportements anormaux dès 2017, on compte au bas mot deux cent villes en France qui l’emploient et elle s’installe aussi dans les magasins. Il y a donc un projet politique de long terme et les JO ne sont donc qu’un prétexte pour tenter de légaliser cette technologie. Après les Jeux, la vidéosurveillance algorithmique sera généralisée : une fois que des dizaines de milliers d’agents de sécurité et de police sont formés, que la technologie est achetée et mise au point grâce à des fonds publics, il faudra bien la rentabiliser. Son abandon après cette soi-disant expérimentation est donc illusoire.
    « La VSA est seulement une aide à la décision »

    Faux, la VSA n’est pas une simple aide technique : pour la concevoir, les entreprises doivent prendre une série de décisions morales et subjectives (qu’est-ce qu’un comportement « suspect » ?). Son application est également politique puisque la VSA est un instrument de pouvoir donné à des services coercitifs. La VSA n’est pas un outil neutre mais analyse en permanence les corps et les déplacements, en particulier de celles et ceux qui passent le plus de temps dans la rue. Se cacher derrière une machine, c’est déresponsabiliser les choix des agents de sécurité : « c’est pas nous qui avons ciblé cette personne, c’est l’algorithme ». C’est aussi accepter la déshumanisation du rapport des citoyens avec l’État, qui finira par ne prendre que des décisions automatisées sur sa population comme cela commence à être le cas avec la vidéoverbalisation. La VSA n’est pas une « aide à la décision » mais constitue bien un changement d’échelle dans les capacités de surveillance de l’État.

    ]]>
    Nos arguments pour faire interdire la vidéosurveillance automatiséehttps://www.laquadrature.net/?p=19899http://isyteck.com/autoblog/quadrature/index.php5?20230123_150437_Nos_arguments_pour_faire_interdire_la_videosurveillance_auto